À medida que os sistemas de AVAC&R (Aquecimento, Ventilação, Ar Condicionado e Refrigeração) se tornam cada vez mais conectados, a cibersegurança emerge como uma preocupação essencial. A União Europeia está a abordar este desafio através de várias iniciativas, incluindo a Lei da Ciber-resiliência (CRA – Cyber Resilience Act), que estabelece requisitos obrigatórios de cibersegurança para produtos com elementos digitais colocados no mercado da UE.

Esta regulamentação é particularmente relevante para o setor do AVAC&R, onde muitos produtos — desde frigoríficos e bombas de calor até sistemas de gestão de edifícios (BMS) — entram no seu âmbito de aplicação. Isto significa que os fabricantes terão de repensar a forma como projetam, desenvolvem e mantêm as suas soluções, garantindo que a cibersegurança é integrada desde a fase de conceção e mantida durante todo o ciclo de vida do produto.

A partir de dezembro de 2027, a conformidade com a CRA será um pré-requisito para a marcação CE e, consequentemente, para a comercialização de produtos com elementos digitais na UE. No entanto, as obrigações de reporte começam já em setembro de 2026, exigindo que as empresas atuem rapidamente em resposta a vulnerabilidades ou incidentes de segurança.

Como a CRA classifica os produtos de AVAC&R

A CRA classifica os produtos com elementos digitais em diferentes categorias, com base no seu nível de risco e sensibilidade:

1. Categoria Base (Autoavaliação): Inclui cerca de 90% dos produtos, como termóstatos padrão, controladores inteligentes de AVAC básicos e sensores não críticos. Nestes casos, o fabricante pode avaliar a conformidade internamente.

2. Classe I (Avaliação Externa ou Normas Harmonizadas): Abrange sistemas de gestão de identidade para plataformas de gestão de edifícios e ferramentas de acesso remoto seguro.

3. Classe II (Tecnologias Sensíveis): Inclui firewalls, microprocessadores e controladores de rede utilizados em chillers de alta performance. Estes sistemas requerem uma validação de segurança mais rigorosa.

4. Produtos Críticos (Certificação Europeia): Requerem o nível mais alto de escrutínio. Exemplos incluem módulos de segurança em contadores inteligentes e sistemas de controlo de refrigeração crítica para hospitais ou centros de dados.

Passos fundamentais para os fabricantes

A conformidade com a CRA exige uma abordagem estruturada que abrange todo o ciclo de vida do produto. Os fabricantes devem seguir estes passos essenciais:

1. Avaliação de Risco: Identificar os riscos específicos de cibersegurança associados a cada produto, diferenciando, por exemplo, o impacto operacional de um expositor de bebidas face a um frigorífico de vacinas.

2. Requisitos Essenciais do Produto: Implementar mecanismos de autenticação fortes e eliminar a dependência de credenciais padrão ou códigos PIN fracos (como "123").

3. Gestão de Vulnerabilidades: Estabelecer processos para gerir e notificar falhas de segurança num prazo de 24 horas após a identificação de um problema.

4. Documentação Técnica: Manter um ficheiro técnico detalhado que documente o impacto de quaisquer alterações no produto na segurança dos dados.

5. Marcação CE e Declaração de Conformidade: Garantir que todos os produtos ostentam a marca CE, confirmando o cumprimento dos requisitos de cibersegurança da CRA.

6. Conformidade Contínua: Assegurar a gestão de vulnerabilidades durante o ciclo de vida esperado do produto ou por um período mínimo de cinco anos.

7. Obrigações de Reporte: Notificar prontamente as autoridades competentes sobre quaisquer incidentes ou vulnerabilidades exploradas que impactem a segurança dos produtos.

Normas Harmonizadas de suporte

Para facilitar a implementação, a Comissão Europeia encarregou os organismos de normalização (CEN, CENELEC e ETSI) de desenvolver 41 normas harmonizadas. Estas dividem-se em dois grupos principais:

1. Normas Horizontais: Aplicáveis a vários tipos de produtos (Série EN 40000-1), com publicação prevista para agosto de 2026 (processos) e outubro de 2027 (produtos).

2. Normas Verticais: Direcionadas a tipos de produtos específicos para garantir que os riscos inerentes a cada categoria são devidamente abordados.

Até que as normas específicas da CRA estejam finalizadas, a norma IEC 62443 continua a ser a principal referência técnica utilizada na indústria para demonstrar a conformidade e fortalecer a resiliência dos sistemas digitais.