A partir de 11 de setembro de 2026, os fabricantes são obrigados a comunicar vulnerabilidades ativamente exploradas e incidentes graves com impacto na segurança dos produtos com elementos digitais.
Quais são as principais regras?
A ANR exige que os fabricantes notifiquem vulnerabilidades ativamente exploradas e incidentes graves com impacto na segurança do seu produto com elementos digitais. Têm de apresentar um alerta precoce no prazo de 24 horas após terem tomado conhecimento e uma notificação completa no prazo de 72 horas. Deve ser apresentado um relatório final o mais tardar 14 dias após a disponibilidade de uma medida corretiva para vulnerabilidades ativamente exploradas e no prazo de um mês para incidentes graves.
Os fabricantes comunicam informações apenas uma vez através da Plataforma Única de Comunicação de Informações (PUR) das ANR. A notificação é dirigida à Equipa de Resposta a Incidentes de Segurança Informática (CSIRT) do seu estabelecimento principal e, salvo circunstâncias particularmente excecionais, as informações são disponibilizadas simultaneamente à ENISA. A CSIRT que recebe inicialmente a notificação partilhará sem demora a notificação com todas as outras CSIRT em cujo território o produto com elementos digitais foi disponibilizado.
Em circunstâncias excecionais e com base em motivos justificados relacionados com a cibersegurança, a CSIRT pode decidir adiar a divulgação a outras CSIRT: em 11 de dezembro de 2025, a Comissão adotou um ato delegado que especifica mais pormenorizadamente os termos e condições de aplicação desses motivos relacionados com a cibersegurança.
Quando estará concluída a Plataforma Única de Comunicação de Informações das ANR?
Nos termos do artigo 16.o da ANR, a ENISA é incumbida da criação da Plataforma Única de Comunicação de Informações (PUR) das ANR.
A ENISA lançou um concurso público e contratou serviços de um contratante para apoiar o desenvolvimento do PNR.
A Plataforma Única de Comunicação de Informações estará operacional até 11 de setembro de 2026 (data de entrada em vigor dos requisitos de comunicação de informações das ANR), com um período de teste antes dessa data.
A ENISA publicada mantém uma FAQ sobre o PRR das ANR, disponível nesta ligação.
Organismos de cooperação pertinentes
Documentos de referência e ligações
Perguntas mais frequentes sobre a aplicação das ANR
Perguntas frequentes sobre o SRP da CRA
Ato delegado relativo às CSIRT que retêm notificações a divulgar através da Plataforma Única de Comunicação de Informações (adotada, publicação pendente do período de objeção)
Conteúdo relacionado
Visão geral