Cyber Resilience Act Foundation

Domine, na prática, os fundamentos do Cyber Resilience Act e prepare a sua organização para o novo quadro europeu. Conhecimento essencial para líderes, gestores e equipas de segurança

Formação Cyber Resilience Act Foundation CRA Curso Formação e Certificação

GARANTA A SUA VAGA NA PRÓXIMA EDIÇÃO

27-Out  – Live Online –  1.050,00 €     Inscrever-me

 

Live Online, formação síncrona, em tempo real. Interação com o formador e o grupo de formação.

 

ENQUADRAMENTO

O curso aborda os conceitos e princípios fundamentais de cibersegurança e os requisitos associados a produtos com elementos digitais no contexto do Regulamento de Ciber-Resiliência (designado de Cyber Resillience Act – CRA). Estes requisitos abrangem, mas não só, as boas práticas de segurança desde a conceção, a segurança ao longo do ciclo de vida dos sistemas de informação (SSDLC) e, demais requisitos que os operadores económicos e outras partes interessadas terão de cumprir, de modo a garantir produtos de software e hardware mais seguros.

Tal como definido pelo próprio nome, este é o “REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera os Regulamentos (UE) n.º 168/2013 e (UE) 2019/1020 e a Diretiva (UE) 2020/1828 (Regulamento de Ciber-Resiliência)”.

No decorrer do curso, e tendo por base os requisitos do regulamento de Ciber-Resiliência (CRA), os participantes vão conhecer e aprender, para além dos novos requisitos de cibersegurança para produtos de software e hardware, quais os problemas, objetivos e desafios que estiveram na base da proposta e do desenvolvimento do regulamento.

Vão ainda conhecer e aprender o seu objeto, âmbito de aplicabilidade, estrutura, e recursos de suporte disponíveis; quais as partes interessadas mais relevantes; qual o enquadramento do regulamento no contexto da estratégia de cibersegurança da UE, a sua relação com o novo quadro legislativo (NQL) para produtos, a Directiva SRI2 (NIS2), o Regulamento de Inteligência Artificial e outra legislação relacionada; quais as condições, requisitos de segurança e tipos de produtos com elementos digitais no contexto do regulamento, incluindo os produtos baseados em software de código-fonte aberto.

O curso abrange ainda temáticas como: a consulta, informação e capacitação de/com as diversas partes interessadas; quais as obrigações dos operadores económicos e os requisitos de conformidade do produto com normas harmonizadas; as competências e obrigações das autoridades notificadoras e dos organismos de avaliação da conformidade; e, os requisitos de fiscalização e sanções aplicáveis.

A importância deste regulamento surge da necessidade de harmonizar e melhorar a segurança dos produtos de hardware e software que são colocados no mercado na EU.

É obrigatório o seu cumprimento pelos diversos Operadores Económicos, incluindo fabricantes de software ou hardware, importadores, distribuidores, administradores de software de código-fonte aberto, e outras partes no contexto deste regulamento.

 Tal como definido pela Comissão Europeia
Este regulamento da Comissão Europeia tem por objetivo assegurar o bom funcionamento do mercado na UE, permitindo criar condições para o desenvolvimento de produtos seguros com elementos digitais, assegurando que os produtos de hardware e software são colocados no mercado com menos vulnerabilidades e garantindo que os fabricantes levam a sério a segurança ao longo de todo o ciclo de vida de um produto. Pretende-se ainda, criar condições que permitam aos utilizadores ter em conta a cibersegurança aquando da seleção e utilização de produtos com elementos digitais.

A resposta, e os requisitos do regulamento vêm permitir (de acordo com a Comissão Europeia):

  • assegurar que os fabricantes melhoram a segurança dos produtos com elementos digitais desde a fase de conceção e desenvolvimento e ao longo de todo o ciclo de vida;
  • assegurar um quadro de cibersegurança coerente, que facilite o cumprimento por parte dos produtores de hardware e software;
  • aumentar a transparência das propriedades de segurança dos produtos com elementos digitais, e
  • permitir que as empresas e os consumidores utilizem produtos com elementos digitais de forma segura.”

A sua relevância é de tal ordem, que são muitos os fabricantes que têm saudado a publicação desta lei, veja-se abaixo o resumo executivo da resposta da Microsoft no contexto da consulta pública efetuada [EXCERTO]:

 “Documento de posição política da Microsoft Proposta da Lei de Resiliência Cibernética da EU — Resposta à consulta pública — Lei de Resiliência Cibernética da UE — Janeiro de 2023 — Resumo executivo

 A Microsoft aplaude o foco da Comissão Europeia em melhorar a cibersegurança dos produtos de hardware e software, e estamos comprometidos com a parceria com a Comissão e governos em todo o mundo para reduzir os riscos de cibersegurança. Agradecemos a oportunidade de fornecer comentários sobre a proposta do Regulamento de Ciber-Resiliência (CRA) da União Europeia (EU) de setembro de 2022 e de contribuir para o desenvolvimento desta importante legislação. A proposta do CRA tem o potencial não só de requer atividades fundamentais para melhorar a cibersegurança na UE, mas também de incentivar a adoção a nível mundial ao longo do ciclo de vida dos produtos, desde a conceção até ao descontinuar do produto. Esta abordagem é consistente com o foco e a liderança da Microsoft no sector, no que respeita ao desenvolvimento seguro ao longo do ciclo de vida dos produtos, à divulgação coordenada de vulnerabilidades, e no desenvolvimento e promoção da adoção de normas e tecnologias robustas de cibersegurança.”

 

O Plano de Formação e todos os documentos associados a este curso estão protegidos por Direitos de Autor e registados como obra literária no IGAC – Portugal.

 

PÚBLICO-ALVO
Este curso destina-se a:

  • Profissionais da área de TI, especialistas em cibersegurança, e outros profissionais da área que necessitam de implementar os requisitos do CRA na sua organização.
  • Gestores, diretores e outras funções de liderança de operadores económicos ou de outras partes interessadas que precisem de compreender o impacto do CRA na sua organização, incluindo na gestão de riscos, conformidade e operações comerciais.
  • Profissionais envolvidos no desenvolvimento de produtos com elementos digitais e/ou nas suas soluções de tratamento remoto de dados, incluindo, no desenvolvimento de software, hardware e/ou nos seus componentes, incluindo, onde possam utilizar e/ou integrar a Inteligência Artificial
  • Gestores de projetos de TI, e profissionais envolvidos nas áreas de testes de segurança e de qualidade que necessitam de compreender os requisitos do CRA.
  • Profissionais responsáveis pela conformidade e auditoria, incluindo, diretores de conformidade, auditores e gestores risco que precisam compreender os requisitos do CRA e que necessitam de assegurar a conformidade da sua organização.
  • Profissionais que trabalhem em entidades críticas, essenciais e/ou importantes, ou seja, em setores sujeitos a mais riscos de cibersegurança e com necessidade de implementação de medidas de mitigação do risco e resiliência num contexto legislativo mais exigente, tal como, no âmbito da Diretiva NIS 2, do Regulamento DORA, da Directiva CRE, ou outra legislação relacionada e que necessitam de compreender os requisitos do CRA.
  • Profissionais na área de gestão e resposta a incidentes de segurança da informação e cibersegurança que necessitem de compreender os requisitos do CRA por forma a adequarem os seus cenários, processos e ferramentas de resposta a incidentes aos novos requisitos e melhorarem a resiliência da organização.
  • Qualquer pessoa que pretenda aprender os fundamentos relacionados com os conceitos de cibersegurança e requisitos para produtos com elementos digitais no contexto do Regulamento de Ciber-Resiliência (CRA) da UE.

 

OBJETIVOS

  • Introduzir os participantes aos principais conceitos relacionados com o Regulamento de Ciber-resiliência (CRA), onde se incluí, mas não só, as boas práticas de segurança desde a conceção, e ao longo do SSDLC, e demais requisitos aos quais os operadores económicos terão de cumprir, em termos de requisitos para produtos de software e produtos de hardware.
  • Conhecer quais os problemas, objetivos, e desafios de cibersegurança dos produtos com elementos digitais que estiveram na origem da proposta do regulamento de Ciber-Resiliência (CRA).
  • Apresentar a estrutura, âmbito e dar uma visão geral sobre regulamento de Ciber-Resiliência (CRA).
  • Saber identificar e conhecer as partes interessadas mais relevantes e o seu papel no contexto do regulamento, incluindo, os Operadores Económicos, Consumidores, Organismo de avaliação da conformidade, e demais partes relevantes.
  • Compreender a relação do regulamento de Ciber-Resiliência (CRA) com a estratégia de cibersegurança da UE, com o novo quadro legislativo (NQL) para produtos (incluíndo a “marcação CE), e com outros atos legislativos e políticas da União, incluindo a Directiva SRI2 (NIS2) e o Regulamento da Inteligência Artificial.
  • Conhecer quais as condições, requisitos de segurança e tipos de produtos com elementos digitais, incluindo, sistemas de AI de risco elevado e produtos baseados em software de código-fonte aberto.
  • Conhecer e identificar as partes interessadas que pertencem/podem pertencer à comunidade envolvida na troca de informações relevantes, na preparação das medidas de execução, na avaliação e reexame do regulamento,
  • Conhecer os requisitos para assegurar e para reforçar as competências das partes interessadas envolvidas na troca de informações relevantes, nas matérias de ciber-resiliência digital
  • Saber identificar as obrigações dos operadores económicos, e as disposições especificas em relação ao software livre e de código-fonte aberto
  • Compreender quais os requisitos do regulamento no que respeita à conformidade do produto com elementos digitais e processos aplicados pelo fabricante com as normas harmonizadas ou partes destas, incluindo, a emissão da declaração de conformidade UE, a marcação CE, a documentação técnica, e procedimentos de avaliação.
  • Compreender e saber identificar os requisitos para as autoridades notificadoras, a designação dos organismos de avaliação da conformidade, sua notificação e obrigações
  • Compreender os mecanismos de fiscalização, e possíveis condições para aplicação de sanções
  • Compreender s sistema europeu de certificação da cibersegurança, e de que forma se relaciona e suporta o cumprimento do regulamento de Ciber-Resiliência (CRA), outra legislação relacionada, e o papel do ECCG.

 

TÓPICOS

  • Introdução ao curso.
  • Conceitos e princípios fundamentais de cibersegurança e requisitos associados a produtos com elementos digitais no contexto do Regulamento de Ciber-Resiliência (CRA).
  • Problemas, objetivos, e desafios de cibersegurança dos produtos com elementos digitais e a proposta do regulamento de Ciber-Resiliência (CRA).
  • Introdução ao regulamento de Ciber-Resiliência (CRA), visão geral, âmbito de aplicabilidade, exclusões, estrutura macro e recursos de suporte relacionados.
  • Partes interessadas e o seu papel no contexto do regulamento de Ciber-Resiliência (CRA).
  • O regulamento de Ciber-Resiliência (CRA) como parte da estratégia de cibersegurança da UE, sua relação com o novo quadro legislativo (NQL) para produtos, e com outros atos legislativos e políticas da União.
  • Condições, requisitos de segurança e tipos de produtos com elementos digitais, incluindo, sistemas de AI e produtos baseados em software de código-fonte aberto
  • Consulta, informação e capacitação de/com as diversas partes interessadas com o objetivo de envolver a comunidade na preparação das medidas de execução, na avaliação e reexame do regulamento, e para reforçar as suas competências nas matérias de ciber-resiliência digital
  • Obrigações dos operadores económicos, incluindo, mas não só, a documentação, e a comunicação, e ainda, a aplicação de disposições especificas em relação ao software livre e de código-fonte aberto (possível envolvimento do ADCO)
  • Conformidade do produto com elementos digitais e processos aplicados pelo fabricante com as normas harmonizadas ou partes destas.
  • Autoridades notificadoras, organismos de avaliação da conformidade, notificação e suas obrigações mecanismos de avaliação e notificação
  • Fiscalização, aplicação da legislação, confidencialidade e sanções aplicáveis
  • O sistema europeu de certificação da cibersegurança, esquemas de certificação e suporte à conformidade com o Regulamento de Ciber-Resiliência (CRA) e outra legislação relacionada da EU.

 

DURAÇÃO: 2 dias + exame

EXAME
O exame “Certified Cyber Resilience Act Foundation” abrange os seguintes domínios de competência:

  • Domínio 1: Fundamentos, estrutura e visão geral do CRA no contexto legislativo da UE
  • Domínio 2: Obrigações dos OE e disposições de software livre e de código-fonte aberto
  • Domínio 3: Avaliação de conformidade e certificação
  • Domínio 4: Autoridades notificadoras e organismos de avaliação de conformidade
  • Domínio 5: Fiscalização e sanções

Idioma(s): Inglês e Português (consulte a BEHAVIOUR para a disponibilidade em outros idiomas).
Duração: 1 hora
Tipo de exame: Múltipla-escolha.
Número de Perguntas: 40 perguntas.
Nota de Aprovação: 260/400 pontos.
Resultados: “Aprovado ou Reprovado” com avaliação quantitativa.
Se o candidato não for aprovado no exame, tem o direito a uma nova tentativa gratuita dentro de um período máximo de 2 meses, a contar da data do resultado do exame inicial.

 

NÍVEL DE CERTIFICAÇÃO
Após completar com sucesso o exame de certificação e assinar o acordo/Código de ética os participantes atingem a credencial de “Certified Cyber Resilience Act Foundation (CCRAF)” os participantes.

Serão emitidos um Certificado e uma Insígnia digital de Certificação (i.e., “bagdet”) aos participantes que, com sucesso, concluam o exame de certificação e satisfaçam todos os requisitos da certificação a que se candidatam.

O programa de certificação de pessoas “Certified Cyber Resilience Act Foundation (CCRAF)” é desenvolvido e mantido de acordo com os requisitos aplicáveis da norma internacional ISO/IEC 17024.

Este programa de certificação é válido apenas para pessoas (não empresas) e a certificação e manutenção depende do resultado do exame, e do comprometimento e cumprimento do contrato/código de ética mais atualizado. Caso o profissional não cumpra o contrato/código de ética (antes, ou durante), a certificação não é atribuída ou é revogada.

Nota: Esta certificação não tem requisitos de experiência. Caso existam alterações ao contrato/código de ética, o profissional será contactado para aderir à versão atualizada do documento. Sem a manutenção desse requisito não poderá continuar a utilizar a sua certificação.

 

INFORMAÇÕES GERAIS

  • Formação na língua portuguesa ou inglesa
  • Recursos materiais da formação online e em Inglês, com acesso online, e de acordo com as condições adjudicadas
  • Certificado digital de Frequência de Formação Behaviour com 16 créditos CPD/CPE
  • Exame de Certificação online, em Português ou Inglês. O exame pode ser realizado até 2 meses, a contar da data de início do curso
  • Se o candidato não for aprovado no exame, tem o direito a uma nova tentativa gratuita dentro de um período máximo de 2 meses, a contar da data de lançamento da nota do exame inicial
  • Diploma digital de Certificação e Insígnia digital de Certificação, após passagem com sucesso no exame e conclusão do processo de candidatura. Este registo não tem qualquer custo associado