Já alguma vez parou para pensar no que poderia acontecer se um ciberataque tivesse como alvo um sistema HVAC/R? Estas tecnologias são muitas vezes os “trabalhadores silenciosos” por detrás do nosso conforto e segurança, responsáveis por preservar produtos e manter ambientes saudáveis. Como resultado, vulnerabilidades podem levar a consequências que vão muito além de dados comprometidos. Um ciberataque bem-sucedido pode interromper serviços essenciais e comprometer a segurança e fiabilidade dos sistemas HVAC/R, afetando potencialmente a operação de edifícios, o conforto dos ocupantes e até infraestruturas críticas. É por isso que a cibersegurança em todos os setores, incluindo o nosso, está a tornar-se uma prioridade estratégica para a Comissão Europeia (CE).

O foco na cibersegurança na União Europeia (UE) começou no início do século XXI, à medida que a internet se tornou uma parte importante da economia e da sociedade. Em 2000, a CE publicou uma comunicação-chave que sublinhava a necessidade de proteger a infraestrutura digital e combater o crime informático.¹ No entanto, só em 2007 a cibersegurança foi amplamente reconhecida como uma questão crítica em toda a UE. Isto aconteceu após uma vaga de ciberataques coordenados à Estónia, que interromperam serviços governamentais e financeiros², marcando um ponto de viragem e impulsionando ações mais abrangentes a nível europeu.

Desde então, a CE desenvolveu uma série de iniciativas e regulamentos que deixam uma coisa clara: a cibersegurança é uma responsabilidade partilhada. Isto inclui todos nós que trabalhamos com tecnologias HVAC/R, que estão a tornar-se cada vez mais conectadas, inteligentes e essenciais para a infraestrutura crítica. Vamos analisar mais de perto as principais ações da UE que estão a moldar esta realidade em evolução.

Lançar as bases: ENISA e definição da estratégia

Em 2004, a CE criou a ENISA³, a sua primeira agência dedicada à cibersegurança. A função da ENISA é alcançar um elevado nível comum de cibersegurança em toda a Europa, contribuindo para a política cibernética da UE, reforçando a fiabilidade de produtos, serviços e processos de TIC através de esquemas de certificação de cibersegurança, cooperando com Estados-Membros e organismos da UE, e ajudando a preparar a Europa para os desafios futuros. A ENISA publica regularmente orientações para a proteção de sistemas de Internet das Coisas (IoT)⁴, que se aplicam diretamente a equipamentos HVAC/R que utilizam sensores inteligentes, controlos remotos ou conectividade em nuvem.

A primeira Estratégia de Cibersegurança da UE⁵ foi adotada em 2013. Sublinhava a proteção de redes e sistemas de informação em toda a UE, o apoio ao combate ao cibercrime e o desenvolvimento de capacidades industriais. A estratégia foi atualizada em 2020 para refletir a crescente complexidade das ameaças cibernéticas. Esta versão atualizada, chamada “Estratégia de Cibersegurança da UE para a Década Digital”, centrou-se na proteção da infraestrutura digital, na construção de resiliência em toda a UE e na promoção da cooperação internacional. Esta estratégia aplica-se claramente ao setor HVAC/R através do seu enfoque em dispositivos conectados, infraestrutura crítica e segurança das cadeias de fornecimento.

Como regulou a UE a cibersegurança nos últimos anos?

Nos últimos anos, a CE tem estado particularmente ativa na introdução de regulamentos de cibersegurança, muitos dos quais afetam diretamente operadores e produtos HVAC/R conectados.

Primeiro, como parte da Estratégia de Cibersegurança da UE, foi adotado em 2019 o Cybersecurity Act⁶. Este marcou um dos primeiros passos importantes em direção a uma resposta europeia coordenada às ameaças cibernéticas. Em particular, esta lei reforçou significativamente o papel da ENISA, concedendo-lhe um mandato permanente e expandindo as suas responsabilidades em matéria de cooperação operacional e gestão de crises entre os Estados-Membros. Também aumentou os recursos financeiros e humanos da ENISA, permitindo que a agência apoiasse melhor os esforços de cibersegurança em toda a UE. Curiosamente, a sigla ENISA significava originalmente “European Network and Information Security Agency”, nome substituído em 2019 por “European Union Agency for Cybersecurity” para refletir o papel mais amplo da agência.

Em 2016, foi publicada a Diretiva sobre a Segurança das Redes e Sistemas de Informação (Diretiva NIS), que exigia que os operadores de serviços essenciais tomassem medidas de segurança adequadas. Os serviços essenciais incluíam energia, transportes, saúde e infraestrutura digital. Esta diretiva foi atualizada em 2022, com a publicação da NIS2⁷, que expandiu o âmbito e os requisitos da diretiva original. Especificamente, a nova regra passou a aplicar-se também a fornecedores de comunicações eletrónicas públicas, mais serviços digitais, gestão de resíduos e águas residuais, fabrico de produtos críticos, serviços postais e de correio expresso, administração pública a nível central e regional, bem como ao setor espacial. Os requisitos incluem políticas para segurança da cadeia de fornecimento, gestão de vulnerabilidades e programas de educação e sensibilização em cibersegurança. Em termos de prazos, a NIS2 determinou que cada Estado-Membro deveria adotar uma estratégia nacional de cibersegurança até outubro de 2024.

Na NIS1, o HVAC/R não era explicitamente abrangido, exceto quando fazia parte de um serviço crítico (por exemplo, um sistema de arrefecimento num hospital ou centro de dados). Nesses casos, a responsabilidade era do operador (e não necessariamente do fornecedor HVAC/R). No entanto, fabricantes ou prestadores de serviços HVAC/R podem ser abrangidos pela NIS2 se os seus produtos forem usados em infraestruturas críticas, fornecerem monitorização remota, conectividade IoT ou software relacionado com HVAC/R, e forem empresas de média ou grande dimensão (geralmente 50+ colaboradores ou mais de €10M de faturação) numa cadeia de fornecimento relevante.

O Cyber Resilience Act (CRA)⁸ entrou em vigor a 10 de dezembro de 2024, sendo o primeiro regulamento europeu a impor requisitos de cibersegurança a todos os produtos com elementos digitais colocados no mercado da UE. Estabelece normas comuns para produtos com elementos digitais, incluindo hardware e software. Estes produtos devem cumprir requisitos específicos de cibersegurança ao longo de todo o ciclo de vida, incluindo atualizações automáticas de segurança e reporte de incidentes. A lei também introduz um dever de cuidado para os fabricantes, garantindo que os produtos sejam seguros por conceção e por defeito. O CRA aplica-se a partir de 11 de dezembro de 2027 (exceto para organismos de avaliação da conformidade, que devem cumprir até 11 de junho de 2026; e obrigações de reporte dos fabricantes, que se tornam obrigatórias a 11 de setembro de 2026).

De acordo com o CRA, as empresas HVAC/R que produzem equipamentos inteligentes terão de integrar a cibersegurança no design do produto, no desenvolvimento e na gestão do ciclo de vida. Por exemplo, terão de garantir que o firmware seja seguro, atualizado regularmente e protegido contra ameaças conhecidas. Também terão de reportar vulnerabilidades, fornecer orientação adequada ao utilizador e demonstrar conformidade para poder colocar o produto no mercado da UE.

A Radio Equipment Directive Delegated Act (RED DA)⁹, adotada em 2021, é outra parte importante do enquadramento europeu de cibersegurança. Baseia-se na Diretiva de Equipamentos de Rádio (RED), acrescentando requisitos de segurança, saúde e compatibilidade eletromagnética para dispositivos que utilizam frequências de rádio e podem ligar-se à internet. Este ato é relevante para produtos sem fios e conectados, podendo incluir alguns dispositivos HVAC/R que utilizam comunicação sem fios (como Wi-Fi, Bluetooth ou redes móveis). O RED DA será aplicável a partir de agosto de 2025.

O RED DA tem também impacto direto no setor HVAC/R, particularmente em produtos com capacidades de comunicação sem fios, como termóstatos inteligentes com Wi-Fi, painéis de controlo HVAC ligados por Bluetooth, unidades de refrigeração que enviam dados via rede móvel para uma plataforma na nuvem ou sensores de temperatura/humidade sem fios.

Resumo e conclusão

Em suma, a Estratégia de Cibersegurança da UE (2013) define a visão geral para construir uma Europa digital resiliente, enquanto o Cybersecurity Act (2019) coloca essa visão em prática, reforçando a ENISA e criando um quadro de certificação para garantir a segurança dos produtos. Paralelamente, existem regulamentos como o Radio Equipment Directive Delegated Act (2021), que aborda a cibersegurança em equipamentos sem fios e de rádio, a Diretiva NIS/NIS2 (2016/2022), que impõe medidas de cibersegurança para operadores de infraestruturas críticas, e o Cyber Resilience Act (2024), que estabelece requisitos de segurança para produtos digitais. Todos estes elementos trabalham em conjunto para proteger sistemas conectados, incluindo os do setor HVAC/R.

Cumprir as políticas de cibersegurança não é apenas mais um desafio para o nosso setor, mas sim uma prioridade crítica. Num mundo cada vez mais conectado, proteger os nossos sistemas já não é opcional. É uma responsabilidade partilhada para garantir a sua segurança e fiabilidade.