Pular para o conteúdo principal

Nota: Produtos abrangidos por AI Act e CRA

Âmbito

Esta nota destina-se a fabricantes de produtos com elementos digitais que são, em simultâneo, sistemas de IA de alto risco (AI Act, Art. 6) e produtos abrangidos pelo Cyber Resilience Act (Regulamento (UE) 2024/2847). Ao contrário da relação NIS2 ↔ DORA - dois regimes de gestão de risco organizacional resolvidos por lex specialis -, aqui a relação é de presunção de conformidade e avaliação de conformidade única no eixo da cibersegurança.

Os dois regulamentos aplicam-se cumulativamente, mas o legislador construiu uma ponte explícita no plano técnico da cibersegurança para evitar trabalho em duplicado.

A relação não é lex specialis - é presunção de conformidade

O Art. 12 do CRA estabelece que um produto classificado como sistema de IA de alto risco ao abrigo do Art. 6 do AI Act é presumido conforme com os requisitos de cibersegurança do Art. 15 do AI Act quando se verifiquem, cumulativamente, três condições:

Condição (CRA Art. 12)O que exigeOnde o SbD-ToE entra
Anexo I, Parte I do CRARequisitos essenciais de cibersegurança do produtoCap. 04 (arquitetura), Cap. 10 (testes), Cap. 12
Anexo I, Parte II do CRARequisitos de tratamento de vulnerabilidades (processos do fabricante)Cap. 05 (SBOM/SCA), Cap. 12
Declaração UE de conformidadeDemonstrar nela o nível de cibersegurança exigido pelo Art. 15 do AI ActEvidência técnica agregada (Cap. 03–12)

Verificadas as três, não é necessário demonstrar separadamente o Art. 15 do AI Act: a conformidade com o CRA, declarada, vale como conformidade com aquele requisito do AI Act.

Avaliação de conformidade única

O CRA Art. 12 remete a avaliação para o procedimento de avaliação de conformidade do Art. 43 do AI Act. Além disso, os organismos notificados competentes para o sistema de IA de alto risco ao abrigo do AI Act são também competentes para controlar a conformidade com o Anexo I do CRA (sujeito ao Art. 39 do CRA). Resultado prático: uma avaliação, um organismo, uma declaração - cobrindo o eixo cibersegurança de ambos os regulamentos.

⚖️ Derrogação. Determinados produtos importantes e críticos (CRA, Anexos III e IV) podem seguir procedimentos de avaliação de conformidade alternativos previstos no CRA, em função da sua classificação e de eventuais certificados. A escolha do procedimento é matéria de compliance/jurídico.

Onde os âmbitos se cruzam e onde divergem

TemaAI ActCRAConvergência
Cibersegurança do produtoArt. 15Anexo I, Parte IPresunção (CRA Art. 12)
Tratamento de vulnerabilidadesImplícito no Art. 15Anexo I, Parte II (detalhado)Adotar o processo CRA (mais exigente) cobre ambos
Cadeia de fornecimento / SBOMArt. 15 (integridade)Anexo ISBOM único (Cap. 05)
ReporteArt. 73 (incidentes graves)Art. 14 (vulnerabilidades ativamente exploradas / incidentes graves a ENISA)Circuitos distintos, base de deteção partilhada (Cap. 12)
Marcação CE / declaraçãoArt. 43, 47–49Avaliação CRACoordenadas via Art. 12
Governação de dados, supervisão humana, transparência, FRIAArt. 10, 13, 14, 27Só AI Act (fora do CRA e do SbD-ToE)

O que continua próprio de cada regulamento

Só o AI Act (não coberto pela presunção do CRA): gestão de risco (Art. 9), governação de dados e enviesamento (Art. 10), supervisão humana (Art. 14), transparência (Art. 13 e 50), avaliação de impacto sobre direitos fundamentais (Art. 27) e as obrigações GPAI (Art. 53/55). A presunção do Art. 12 do CRA cobre apenas o Art. 15 (cibersegurança) - todas as restantes obrigações de alto risco do AI Act mantêm-se integralmente.

Só o CRA: tratamento de vulnerabilidades ao longo de todo o ciclo de vida (Anexo I, Parte II), divulgação coordenada de vulnerabilidades, obrigação de atualizações de segurança e período de suporte, e o reporte de vulnerabilidades ativamente exploradas a ENISA/CSIRT (Art. 14).

Riscos de Duplicação (Evitar)

Duplicação potencialPorque evitarForma única recomendada
Duas avaliações de conformidade de cibersegurançaCusto e inconsistênciaAcionar a presunção do CRA Art. 12; uma só avaliação (Art. 43 AI Act)
Dois processos de vulnerability handlingDivergência de SLAs/registosImplementar o do CRA (Anexo I, Parte II); serve também o Art. 15
Dois SBOMOverhead, derivaSBOM/AI-BOM único (Cap. 05)
Duas bases de evidência técnicaRe-trabalhoEvidência de cibersegurança única (Cap. 03, 04, 10, 12) marcada por fonte

Estratégia de Implementação Única (SbD-ToE)

✏️ Refresh 2026-05-30. Estratégia actualizada após o release agentic — várias peças que eram "a implementar" estão agora dentro do canon (ARC-015, DEP-012, OPS-012..014, Policy 38, Policy 39).

  1. Evidência de cibersegurança única (Cap. 03 playbook agentic, Cap. 04 ARC-014/ARC-015, Cap. 10 §C5, Cap. 12 + OPS-011..014) — serve simultaneamente o Art. 15 do AI Act e o Anexo I (Parte I) do CRA.
  2. Processo único de tratamento de vulnerabilidades (Cap. 05 DEP-011..014, Cap. 12, Policy 39 §7) conforme o Anexo I (Parte II) do CRA — cobre também a robustez exigida pelo Art. 15, incluindo a resposta a incidentes upstream em supply chain AI (AML.T0019, AML.T0109, AML.T0110).
  3. SBOM + AI BOM único (Cap. 05 DEP-012 em formato CycloneDX 1.6 ml-bom, Policy 39) a alimentar ambos os regulamentos — satisfaz CRA Art. 13(1)(b) (SBOM) e AI Act Art. 10 (dados/proveniência) e Art. 11/Anexo IV (lista de componentes).
  4. Declaração UE de conformidade que demonstra o nível de cibersegurança do Art. 15, acionando a presunção do Art. 12 do CRA. Cláusulas contratuais com providers AI (Cap. 14 US-21 + Policy 33 §10) declaram conformidade Art. 53/55 quando GPAI.
  5. Avaliação de conformidade única pelo organismo notificado AI Act (Art. 43), estendida ao Anexo I do CRA.
  6. Matriz de origem regulatória — no catálogo do Cap. 02, coluna Fonte com enum AI Act, CRA, Ambos, Outras.
  7. Camada agentic transversalARC-015 (agente como principal), REQ-AGN-001..004 (mandate, kill-switch, intent), OPS-012..014 (audit per tool, budget, jailbreak detection) e Policy 38 (mandates lifecycle) cobrem simultaneamente o Art. 14 + Art. 15 + Art. 26 do AI Act e o Anexo I (Parte I) do CRA (cybersec by design). Uma única arquitectura, duas presunções de conformidade.

Checklist de Convergência (SIM = pronto)

  • Evidência de cibersegurança mapeada simultaneamente ao Art. 15 (AI Act) e ao Anexo I, Parte I (CRA) — incluindo ARC-015 e eval suites (Cap. 10 §C5).
  • Processo de vulnerability handling conforme o Anexo I, Parte II (CRA) documentado, com extensão para upstream AI supply chain (Policy 39 §7).
  • Declaração UE de conformidade demonstra o nível de cibersegurança do Art. 15 (CRA Art. 12).
  • Avaliação de conformidade única (Art. 43 AI Act) acordada com o organismo notificado.
  • SBOM + AI BOM único (CycloneDX 1.6 ml-bom para a parte AI) cobre ambos os regulamentos.
  • Circuitos de reporte distintos (AI Act Art. 73 / CRA Art. 14) com base de deteção técnica partilhada (OPS-014 + Policy 30 §9.3).
  • Catálogo do Cap. 02 com coluna Fonte preenchida (AI Act / CRA / Ambos).
  • Mandates (Policy 38) declaram simultaneamente nível A0–A4 (AI Act Art. 14) e cybersec measures (CRA Anexo I Parte I).
  • Não existem processos paralelos divergentes de cibersegurança.

Perguntas Frequentes

Q1. Preciso de fazer duas avaliações de conformidade de cibersegurança? Não. O CRA Art. 12, conjugado com o Art. 43 do AI Act, permite uma avaliação única - o mesmo organismo notificado pode controlar ambos.

Q2. O CRA substitui o Art. 15 do AI Act? Não substitui. Cria uma presunção de conformidade com o Art. 15 quando cumpres o Anexo I (Partes I e II) e o demonstras na declaração. As restantes obrigações de alto risco do AI Act mantêm-se.

Q3. E o tratamento de vulnerabilidades? Implementa o do CRA (Anexo I, Parte II) - é o mais detalhado e, por construção, satisfaz a robustez/cibersegurança esperada pelo Art. 15.

Q4. Os reportes são os mesmos? Não. O AI Act (Art. 73, incidentes graves) e o CRA (Art. 14, vulnerabilidades ativamente exploradas/incidentes graves a ENISA) têm gatilhos, prazos e circuitos distintos. Partilham a deteção técnica (Cap. 12); a submissão é parametrizada por regulamento.

Referências

  • Regulamento (UE) 2024/1689 (AI Act) - Art. 6, 15, 43.
  • Regulamento (UE) 2024/2847 (CRA) - Art. 12, Art. 14, Anexo I (Partes I e II), Anexos III/IV.
  • Cross-check AI Act e Cross-check CRA (deste capítulo).
  • SbD-ToE Manual (Cap. 01Cap. 14).

Nota Final

O SbD-ToE já abstrai os controlos técnicos de cibersegurança. A convergência AI Act/CRA concretiza-se ao usar a mesma evidência técnica para ambos e ao acionar a presunção do Art. 12 do CRA: uma avaliação, uma declaração, dois regulamentos satisfeitos no eixo cibersegurança - sem redundância, mantendo as obrigações próprias de cada regime.