Sua empresa brasileira exporta produtos digitais para a UE. O Artigo 13.2 do Regulamento (UE) 2024/2847 exige uma avaliação dos riscos de cibersegurança associados ao produto. Não é uma avaliação organizacional tipo ISO 27001. É uma avaliação de produto: ameaças, ativos a proteger, medidas adotadas contra os 13 requisitos do Anexo I, Parte I, ponto 2. CRACheck a gera conforme o Regulamento.

A avaliação de riscos do CRA tem três camadas. Primeira: o Art. 13.2 exige que cubra planejamento, design, desenvolvimento, produção, entrega e manutenção. Segunda: o Art. 13.3 exige análise baseada na finalidade prevista, uso previsível, ambiente operacional e ativos a proteger. Terceira: deve indicar como os 13 requisitos de segurança do Anexo I, Parte I, ponto 2 se aplicam e como os 8 requisitos de gestão de vulnerabilidades da Parte II são cumpridos. A avaliação se integra como seção 3 do Anexo VII. CRACheck mapeia cada requisito e gera a avaliação como PDF. 149 €. 15-25 minutos.

Gerar dossiê CRA — 149 €Grátis: classificar seu produto

149 € pagamento único · 8 documentos ZIP · 15-25 minutos · Browser-side

Requisitos mapeados

13 requisitos

Anexo I, Parte I, ponto 2: (a) a (m). Secure by default, criptografia, minimização de dados, resiliência.

8 requisitos

Anexo I, Parte II: gestão de vulnerabilidades, SBOM, CVD, distribuição segura.

Art. 13.4

A avaliação se integra na documentação técnica do Art. 31 (seção 3 do Anexo VII).

Como gerar a avaliação de riscos CRA

CRACheck mapeia cada requisito do Anexo I contra seu produto.

Mapeie contra Anexo I, Parte I

CRACheck guia pelos 13 requisitos: sem vulnerabilidades exploráveis, secure by default, criptografia, minimização de dados, etc.

Identifique ameaças específicas

Baseado na finalidade prevista: que dados processa? Que redes acessa?

Documente medidas adotadas

Requisito → aplicável/não aplicável → medida adotada → justificativa.

Mapeie Parte II: gestão de vulnerabilidades

SBOM, política CVD, distribuição de atualizações.

Gere como seção 3 do Anexo VII

Integrada no dossiê completo de 8 PDFs.

Planeje atualização periódica

Art. 13.3: atualizar durante o período de suporte.

Erros na avaliação de riscos CRA

❌

FRAMEWORK

Uso ISO 27005, serve para o CRA

ISO 27005 é avaliação organizacional. O Art. 13.2 exige avaliação do produto. Os 13 requisitos do Anexo I são específicos de produto. ISO 27005 não os cobre diretamente.

❌

ESCOPO

Avalio riscos só no lançamento

O Art. 13.2 exige que cubra todas as fases. O Art. 13.3 obriga a atualizar durante todo o período de suporte. Não é estático.

❌

JUSTIFICATIVA

Se um requisito não se aplica, simplesmente ignoro

O Art. 13.4 exige justificativa clara quando requisitos não se aplicam. Ignorar sem justificar é descumprimento.

8 documentos com avaliação de riscos

A avaliação se integra como seção 3 do Anexo VII. CRACheck gera os 8 documentos completos.

Product Classifier

Classificação do produto conforme Anexo III: Default, Important Class I/II ou Critical.

Technical Documentation

Documentação técnica completa com as 8 seções do Anexo VII conforme Art. 31.

Risk Assessment

Avaliação de riscos de cibersegurança conforme Art. 13.2 e Anexo I, Parte I.

User Information

Informação e instruções ao usuário conforme Anexo II.

Declaration of Conformity

Declaração UE de conformidade conforme Art. 28 e Anexo V.

CVD Policy

Política de divulgação coordenada de vulnerabilidades (Anexo I, Parte II, ponto 5).

Notification Template

Modelo notificação ENISA Art. 14 (24h/72h/14 dias).

Obligations Calendar

Calendário: set 2026 (Art. 14), dez 2027 (aplicação plena), suporte 5 anos (Art. 13.8).

Veja antes de comprar — Baixar dossiê de amostra (PDF, empresa fictícia) — Estrutura real, artigos reais, formato real. Dados fictícios.

Gerado no seu navegador. Nenhum dado é transmitido.

Consultor europeu vs. CRACheck

🧾 CONSULTOR EUROPEU CIBERSEGURANÇA DE PRODUTO

€8.000–€20.000

Avaliação sob medida. 4-12 semanas.

✓ CRACHECK

149 €

Avaliação documentada contra Anexo I + 7 documentos. 15 min.

Documentar riscos vs. implementar medidas

● CAMADA 1

O que o CRACheck faz

Mapeia os 13 requisitos do Anexo I contra seu produto. Documenta a avaliação conforme Art. 13.2 e 13.3. Gera PDF integrável como seção 3 do Anexo VII.

∅ CAMADA 2

O que o CRACheck NÃO faz

Não faz pentest. Não audita código. Não implementa medidas. Isso é trabalho da sua equipe.

Nós documentamos os riscos e as medidas. Você implementa as medidas.

Regime sancionatório — Artigo 64 do Regulamento (UE) 2024/2847

O Art. 64 estabelece três níveis de multas administrativas.

🇪🇺

Descumprimento requisitos essenciais Anexo I + Art. 13 + Art. 14

€15M / 2,5%

Art. 64.2.

🇪🇺

Descumprimento Art. 31 + Art. 28 + Art. 18

€10M / 2%

Art. 64.3.

🇪🇺

Informação incorreta a autoridades

€5M / 1%

Art. 64.4.

Descumprimento dos requisitos do Anexo I é Art. 64.2 (€15M / 2,5%).

Alternativas

Alternativa	Custo	O que você obtém
Consultor europeu cibersegurança	€8.000–€20.000	Avaliação sob medida. 4-12 semanas.
Adaptar ISO 27005 internamente	Grátis + tempo	Não cobre os 13 requisitos do Anexo I.
Não documentar a avaliação	0 €	Art. 13.3: deve ser documentada. Descumprimento.
CRACheck	149 €	Avaliação documentada contra Anexo I + 7 docs. 15 min.

Exporta vários produtos digitais?

Cada produto precisa de avaliação própria. Os riscos diferem por produto. Volumen: €99/produto (10-pack).

Solicitar preço por volume

Resposta em um dia útil.

O que o CRACheck garante e o que não garante

CRACheck gera um documento estruturado conforme o Art. 31 e Anexo VII do Regulamento (UE) 2024/2847 a partir das informações que você introduz. A veracidade, precisão e completude dessas informações é sua responsabilidade como fabricante.

Garantimos que a estrutura do documento segue o Art. 31 e Anexo VII do Regulamento (UE) 2024/2847 e que as referências legais citadas estão corretas na data da última verificação. Não garantimos que um documento específico seja aceito por uma autoridade de vigilância do mercado em um caso específico.

CRACheck não é aconselhamento jurídico. Para situações específicas, consulte um advogado ou consultoria regulatória especializada.

Perguntas frequentes — avaliação de riscos

A avaliação CRA substitui a que já faço com ISO 27005?

Não. São complementares. ISO 27005 cobre riscos organizacionais. Art. 13.2 exige avaliação do produto específico.

Com que frequência preciso atualizar?

Art. 13.3: "conforme apropriado durante o período de suporte". Na prática: ante mudanças significativas, novas ameaças ou vulnerabilidades.

E se um dos 13 requisitos não se aplica?

Art. 13.4: incluir justificativa clara na documentação. CRACheck permite marcar como "não aplicável" com campo de justificativa.

Preciso de laboratório de ensaio?

A avaliação de riscos é documento analítico, não teste de laboratório. Os relatórios de testes são seção 6 do Anexo VII (separada).

Como integro com desenvolvimento ágil?

A avaliação reflete o estado atual do produto ao ser disponibilizado. Atualize a cada release significativa.

É uma assinatura?

Não. Pagamento único. 30 dias de edição, 10 regenerações. O PDF baixado é seu para sempre.

Posso pedir reembolso?

Conforme o Art. 16.m da Diretiva (UE) 2011/83, ao ativar a licença você dá consentimento expresso para a geração imediata do conteúdo digital, renunciando ao prazo de desistência de 14 dias. Reembolsos aceitos apenas por falha técnica reprodutível.

E se a regulamentação mudar?

Se a regulamentação mudar durante a vigência da sua licença, você pode regenerar o documento com a versão atualizada do gerador sem custo adicional.

Fontes legais oficiais

Regulamento (UE) 2024/2847 — Cyber Resilience Act — texto completo

⚠️ Aviso importante: CRACheck é uma ferramenta de autoavaliação documental, não aconselhamento jurídico nem auditoria de terceiros. O documento conforme o Artigo 31 e Anexo VII do Regulamento (UE) 2024/2847 é gerado a partir dos dados que você introduz. A veracidade dos dados é sua responsabilidade. CRACheck não substitui uma avaliação profissional qualificada.