1. Início

  2. Sobre a Festo

  3. Blog

  4. Inovação

  5. Segurança cibernética

Como minimizar os riscos na segurança da rede industrial e cumprir a Lei de Resiliência Cibernética da União Europeia (CRA)

A segurança cibernética na automação industrial deixou de ser opcional - hoje, ela é essencial. Com o avanço da Indústria 4.0, os sistemas conectados enfrentam riscos crescentes de ataques cibernéticos e atualizações constantes da regulamentação. Este artigo explora como a Festo garante a conformidade e a confiabilidade na segurança cibernética e na segurança do produto - e por que a Lei de Resiliência Cibernética (CRA) da União Europeia é importante para a segurança da rede industrial.

O que é segurança de TO e por que ela é importante para a segurança cibernética?

A segurança da tecnologia operacional (TO) protege os sistemas que controlam as operações industriais, abrangendo manufatura, robótica, redes de energia e infraestrutura crítica. Visto que a TO gerencia diretamente os processos físicos, sua proteção é vital para a segurança, a confiabilidade e a produção ininterrupta.

Face à crescente sofisticação dos ataques cibernéticos, a segurança do produto agora é crucial para garantir a segurança da OT. Uma violação pode interromper as operações, danificar equipamentos, causar grandes riscos financeiros e de segurança e provocar uma possível perda de dados. Isso torna as estratégias personalizadas essenciais para sistemas legados, demandas em tempo real e a convergência das redes de TI e TO.

Os principais regulamentos e normas que regem a segurança de TO incluem:

  • Lei de Resiliência Cibernética (CRA): Estabelece requisitos de segurança mais elevados em toda a UE para produtos com elementos digitais, especialmente dispositivos conectados.
  • O Regulamento de Máquinas (UE) 2023/1230, em vigor a partir de 20 de janeiro de 2027, exige que os produtos sejam protegidos contra corrupção e manipulação.
  • A Diretiva NIS2 (UE) 2022/2555, em vigor desde 18 de outubro de 2024, estabelece requisitos mais altos de segurança cibernética para entidades essenciais e importantes.
  • NIST SP 800-82: Guia do instituto NIST dos EUA com as melhores práticas para arquiteturas de TO, mitigação de ameaças e resposta.
  • Uma lista de materiais de software (SBOM), com todas as bibliotecas e dependências presentes em um produto de software para aumentar a transparência e a segurança.
  • IEC 62443: Norma internacional para segurança dos sistemas de controle industrial, do projeto ao monitoramento.
  • ISA/IEC 61511: Aborda os sistemas instrumentados de segurança que aliam proteção e segurança cibernética.

O que são sistemas de controle industrial (ICS) e por que eles são essenciais para a segurança cibernética?

Os sistemas de controle industrial (ICS) são soluções de hardware e software que monitoram, controlam e automatizam processos nos setores de transformação, energia, tratamento de água e transporte. Os principais componentes incluem sistemas SCADA para supervisão remota, Sistemas de Controle Distribuído (DCS) para controle centralizado da fábrica, CLPs para tarefas específicas da fábrica e HMIs que permitem aos operadores visualizar e gerenciar os processos. Além de garantir operações seguras e eficientes, os ICS são essenciais para a defesa contra ataques cibernéticos que podem causar uma disrupção da infraestrutura essencial. Em resposta à Lei de Resiliência Cibernética (CRA), que destaca essa necessidade urgente, a Festo irá garantir a segurança do produto e oferecer suporte aos clientes com soluções de automação compatíveis e confiáveis.

Como a CRA da União Europeia fortalece a segurança cibernética

A Lei de Resiliência Cibernética da UE é um regulamento criado para garantir que todos os produtos conectados com elementos digitais - hardware e software - sejam seguros em termos de concepção, configuração e durante todo o ciclo de vida. Ela se aplica a fabricantes, importadores e distribuidores que colocam esses produtos no mercado da UE.

As principais obrigações compreendem:

  • Avaliações de risco e de segurança cibernética antes de colocar os produtos no mercado
  • Atualizações contínuas de segurança e gerenciamento de vulnerabilidades
  • Marcação CE (Conformidade Europeia) para comprovar a conformidade
  • Comunicação de vulnerabilidades exploradas à ENISA a partir de 11 de setembro de 2026

A conformidade total se torna obrigatória em 11 de dezembro de 2027, com penalidades de até 15 milhões de euros ou 2,5 % do faturamento global em caso de não conformidade.

Mais sobre a CRA da UE
Eberhard Klotz

"O novo regulamento exige atualizações de segurança contínuas. Ele também incentiva a transparência sobre os riscos de segurança cibernética. Isso ajuda as organizações a manter uma proteção sólida durante todo o ciclo de vida de um produto."

Eberhard Klotz, Sales Director Industry 4.0 and Digitalization

Como a Festo apoia os clientes no âmbito da Lei de Resiliência Cibernética?

O hardware e o software da Festo com interfaces digitais - como CLPs, computadores de borda, terminais de válvulas, controladores de movimento, ferramentas de engenharia e aplicativos analíticos baseados em IA - estão sujeitos à CRA. Para apoiar a conformidade com a CRA, a Festo oferece uma ferramenta de código aberto para criar, editar e validar as SBOMs CycloneDX, ajudando os usuários a documentar os componentes de software utilizados e detectar vulnerabilidades. Ajudamos os fabricantes, distribuidores e importadores de máquinas a gerenciar a conformidade com a CRA em termos de cronogramas, documentação e segurança.

Embora ainda não tenha produtos em conformidade com a CRA, a Festo possui a certificação IEC 62443-4-1 para desenvolvimento seguro, auditada pela TÜV Süd, e aplica métodos de Análise de Ameaças e Riscos (TARA) para identificar possíveis riscos ao usar nossos produtos e mitigá-los. Asseguramos que, até dezembro de 2027, os clientes poderão usar com confiança as soluções Festo em conformidade com os regulamentos da UE.

Ver a Festo no GitHub

Funções no âmbito da CRA e Contato de Segurança na Festo

A CRA afeta todas as funções na automação: Os OEMs devem provar que as máquinas estão em conformidade, os integradores são responsáveis por componentes seguros, as operadoras exigem garantia de continuidade e os responsáveis por aquisições devem avaliar a prontidão dos fornecedores. O maior desafio é a incerteza em relação à certificação, aos ciclos de vida dos produtos e ao fornecimento, o qual abordamos com transparência e medidas documentadas. A Festo está alinhada com a ISO/IEC 29147 e a ISO/IEC 30111.

As vulnerabilidades podem ser relatadas à nossa Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) por meio do formulário de contato ou e-mail para psirt@festo.com e, em nosso site, publicamos de forma transparente os comunicados sobre vulnerabilidades conhecidas e corrigidas.

Ir para o Portal PSIRT

Sua lista de verificação passo a passo da conformidade de segurança cibernética com a CRA

☑ Entender como a CRA afeta as máquinas, as operações e as aquisições.

☑ Confirmar agora a prontidão dos seus fornecedores para a CRA - não esperar até 2027.

☑ Utilizar avisos, declarações e a documentação de segurança da Festo para o planejamento.

☑ Manter-se alinhado com os requisitos da IEC 62443 e da CRA para evitar riscos de conformidade.

☑ Apostar na Festo como seu parceiro confiável em segurança de produtos.

Segurança cibernética aliada ao aprendizado contínuo

Ficou curioso sobre a Lei de Resiliência Cibernética e seu impacto na automação? Assista aos nossos vídeos 'Cyber Resilience Act - Explained in 5 Minutes' e 'Enabling Technologies - Big Data, Cloud & Cybersecurity' em nosso portal de aprendizagem on-line Festo LX para entender rapidamente os fundamentos da CRA e como se preparar como fabricante para a conformidade.

Para os vídeos do Festo LX