1. Início

  2. Sobre a Festo

  3. Blog

  4. Inovação

  5. Cibersegurança

Como minimizar os riscos na segurança de redes industriais e cumprir o Regulamento de Ciber-Resiliência da UE (CRA)

A cibersegurança na automação industrial já não é uma opção, é essencial. À medida que a Indústria 4.0 avança, os sistemas conectados enfrentam riscos crescentes de ataques cibernéticos e regulamentos em evolução. Este artigo explora de que forma a Festo garante a conformidade e a fiabilidade da cibersegurança e da segurança dos produtos, e por que o Regulamento de Ciber-Resiliência da UE (CRA) é importante para a segurança de redes industriais.

O que é a segurança OT e por que é importante para a cibersegurança?

A segurança da Tecnologia Operacional (OT) protege os sistemas que controlam as operações industriais, incluindo a produção, a robótica, as redes energéticas e as infraestruturas críticas. Uma vez que a OT gere diretamente os processos físicos, a sua proteção é vital para a segurança, fiabilidade e produção ininterrupta.

À medida que os ciberataques são cada vez mais sofisticados, a segurança dos produtos é fundamental para garantir a segurança da OT. Uma violação pode interromper as operações, danificar os equipamentos, causar grandes riscos financeiros e de segurança e provocar uma potencial perda de dados. Isto torna as estratégias personalizadas indispensáveis para sistemas legados, exigências em tempo real e para a convergência de redes de IT e OT.

Os principais regulamentos e normas que moldam a segurança da OT incluem:

  • o Regulamento de Ciber-Resiliência (CRA): Estabelece requisitos de segurança mais rigorosos ao nível da UE, para produtos com componentes digitais, especialmente dispositivos conectados.
  • O Regulamento (UE) 2023/1230 relativo às máquinas da UE, aplicável a partir de 20 de janeiro de 2027, exige que os produtos sejam protegidos contra a corrupção e a manipulação.
  • A Diretiva NIS2 (UE) 2022/2555 da UE, aplicável a partir de 18 de outubro de 2024, estabelece requisitos de cibersegurança mais elevados para entidades essenciais e importantes.
  • o NIST SP 800-82: Guia norte-americano com as melhores práticas para arquiteturas da OT, mitigação de ameaças e resposta a incidentes.
  • Uma lista de materiais de software (SBOM) que enumera todas as bibliotecas e dependências de um produto de software para melhorar a transparência e a segurança.
  • a IEC 62443: Série de normas internacionais para a segurança dos sistemas de controlo industrial, desde a construção até à monitorização.
  • a ISA/IEC 61511: Trata dos sistemas instrumentados de segurança em que a segurança e a cibersegurança se cruzam.

O que são os sistemas de controlo industrial (ICS) e por que são fundamentais para a cibersegurança?

Os sistemas de controlo industrial (ICS) são soluções de hardware e software que monitorizam, controlam e automatizam processos em indústrias, como a da produção, da energia, do tratamento da água e do transporte. Os principais componentes incluem sistemas SCADA para supervisão remota, sistemas de controlo distribuído (DCS) para o controlo centralizado de instalações, PLCs para tarefas industriais específicas e HMIs que permitem que os operadores visualizem e giram os processos. Para além de garantir operações seguras e eficientes, os ICS são fundamentais para a defesa contra ciberataques que podem perturbar infraestruturas essenciais. O Regulamento de Ciber-Resiliência (CRA) destaca esta urgência, e a Festo irá garantir a segurança dos produtos e o apoio aos clientes, com soluções de automação compatíveis e fiáveis.

Como o CRA da União Europeia reforça a cibersegurança

O Regulamento de Ciber-Resiliência da UE foi concebido para garantir que todos os produtos conectados com componentes digitais - hardware e software - sejam seguros por construção, seguros por defeito e seguros ao longo de todo o seu ciclo de vida. Aplica-se a fabricantes, importadores e distribuidores que comercializam esses produtos na UE.

Os principais deveres são:

  • Avaliações de risco e de cibersegurança antes de comercializar os produtos
  • Updates contínuos de segurança e gestão de vulnerabilidades
  • Marcação CE (Conformité Européenne) para comprovar a conformidade
  • Comunicação das vulnerabilidades exploradas à ENISA a partir de 11 de setembro de 2026

A conformidade total torna-se obrigatória a partir de 11 de dezembro de 2027, com penalizações que podem ir até 15 milhões de euros ou 2,5% do volume de negócios global, em caso de não conformidade.

Mais sobre o CRA da UE
Eberhard Klotz

"O novo regulamento exige updates contínuos de segurança. Além disso, incentiva a transparência relativamente aos riscos de cibersegurança. Isto ajuda as organizações a manter uma forte proteção durante todo o ciclo de vida de um produto."

Eberhard Klotz, Sales Director Industry 4.0 and Digitalization

Como a Festo apoia os clientes ao abrigo do Regulamento de Ciber-Resiliência?

O hardware e o software da Festo com interfaces digitais, tais como PLCs, computadores edge, terminais de válvulas, controladores de movimento, ferramentas de engenharia e aplicações analíticas baseadas em IA, estão sujeitos ao CRA. Para apoiar a conformidade com o CRA, a Festo oferece uma ferramenta de código aberto para criar, editar e validar as SBOMs do CycloneDX, ajudando os utilizadores a documentar os componentes de software utilizados e a detetar vulnerabilidades. Ajudamos os construtores, distribuidores e importadores de máquinas a gerir a conformidade com o CRA relativamente a prazos, documentação e segurança.

Embora nenhum produto já esteja em conformidade com o CRA, a Festo possui a certificação IEC 62443-4-1 para o desenvolvimento seguro, auditada pela TÜV Süd, e aplica métodos de análise de ameaças e riscos (TARA) para identificar possíveis riscos na utilização dos nossos produtos e mitigá-los. Garantimos que, até dezembro de 2027, os clientes poderão utilizar as soluções da Festo com total confiança e em conformidade com os regulamentos da UE.

Ver a Festo no GitHub

Funções ao abrigo do CRA e contacto de segurança na Festo

O CRA impacta todas as funções na automação: Os OEM têm de provar que as máquinas estão em conformidade, os integradores são responsáveis pela segurança dos componentes, os operadores necessitam de garantias de continuidade e os responsáveis de compras devem avaliar a prontidão dos fornecedores. O maior desafio é a incerteza em torno da certificação, dos ciclos de vida dos produtos e do aprovisionamento, que abordamos com transparência e medidas devidamente documentadas. A Festo está alinhada com as normas ISO/IEC 29147 e ISO/IEC 30111.

As vulnerabilidades podem ser comunicadas à nossa Product Security Incident Response Team (PSIRT, em português, equipa de resposta a incidentes de segurança de produtos) através de um formulário de contacto ou de um e-mail para psirt@festo.com e, no nosso website, publicamos de forma transparente comunicados alertando para vulnerabilidades conhecidas e corrigidas.

Ir para Portal PSIRT

O seu passo a passo de conformidade com a cibersegurança para o CRA

☑ Compreender como o CRA afeta as máquinas, as operações e as compras.

☑ Confirmar a prontidão dos seus fornecedores para o CRA, não espere até 2027.

☑ Utilizar os avisos, comunicados e documentação de segurança da Festo para o planeamento.

☑ Manter-se alinhado com os requisitos da norma IEC 62443 e do CRA para evitar riscos de conformidade.

☑ Confie na Festo como parceiro de confiança na segurança dos produtos.

A união entre cibersegurança e aprendizagem contínua

Está curioso para saber mais sobre o Regulamento de Ciber-Resiliência e o respetivo impacto na automação? Assista aos nossos vídeos "Cyber Resilience Act - Explained in 5 Minutes" e "Enabling Technologies - Big Data, Cloud & Cybersecurity" no nosso portal de aprendizagem online Festo LX, para compreender rapidamente os componentes essenciais do CRA e como se preparar, enquanto fabricante, para a conformidade com o regulamento.

Vídeos Festo LX