CCTVplanner.io
    Conformidade15 minutos de leitura

    Software de origem russa em projetos de CFTV da UE (2026): revisão de conformidade, sanções e aquisições

    Uma análise factual e focada em aquisições para projetistas, integradores e autoridades contratantes da UE de sistemas de CFTV, abordando a mesma questão recorrente em 2026: como se aplicam as regras de origem, sanções e residência de dados quando se trata de software de projeto de CFTV? Este artigo resume o arcabouço disponível publicamente. Não se trata de aconselhamento jurídico — toda decisão concreta de aquisição deve ser confirmada por um advogado especializado em direito da aquisição.

    Importante: esta é uma análise factual, não uma consultoria jurídica.

    As sanções, os controles de exportação e as regras de contratação pública mudam frequentemente e são interpretadas de forma diferente nos Estados-Membros da UE. Nada neste artigo deve ser considerado como aconselhamento jurídico para qualquer transação específica. Para decisões vinculativas, consulte um advogado especializado em contratação pública na jurisdição relevante. As referências a normas, regulamentos e jurisprudência publicamente disponíveis são precisas, segundo o nosso melhor conhecimento, até maio de 2026.

    Índice

    Por que essa questão é importante nas contratações da UE em 2026?

    Desde 2022, a UE adotou vários pacotes de sanções sucessivas contra a Rússia, juntamente com evoluções paralelas nas regras de contratação pública dos Estados-Membros. O efeito cumulativo na aquisição de software tem sido substancial: as entidades adjudicantes que anteriormente não questionavam a origem do software agora incluem rotineiramente requisitos de divulgação da origem na fase de qualificação, e as propostas que não conseguem comprovar uma origem não sancionada são geralmente filtradas antes da análise comercial.

    O software de projeto de CFTV se enquadra em uma categoria particular de risco porque os artefatos que ele produz — plantas baixas, posicionamento de câmeras, topologia de rede, BOM — são sensíveis tanto do ponto de vista de segurança quanto operacional. Mesmo quando um instrumento de sanções não abrange explicitamente uma ferramenta específica de planejamento de CFTV, as autoridades contratantes tendem a adotar uma postura de precaução, especialmente em projetos de defesa, administração pública, infraestrutura crítica e grandes projetos de saúde ou transporte.

    Este artigo é a explicação que gostaríamos que existisse quando os clientes integradores começaram a nos perguntar sobre a origem do software em propostas de licitação. Ele é descritivo, não prescritivo — seu objetivo é apresentar a estrutura em linguagem simples para que um projetista de CFTV possa fazer as perguntas certas ao seu consultor de compras, em vez de substituir essa conversa.

    O atual quadro de sanções da UE — resumo de alto nível

    As medidas restritivas da UE contra a Rússia são implementadas por meio de Regulamentos do Conselho publicados no Jornal Oficial da União Europeia e atualizados por meio de pacotes de alterações sucessivos. O quadro opera em três pilares principais relevantes para a aquisição de software.

    Três pilares relevantes para o software

    • Controles de exportação. Restrições ao fornecimento de determinados bens, serviços, tecnologia e software à Rússia, com foco setorial em bens de dupla utilização, defesa e certas categorias industriais.
    • Sanções financeiras. O congelamento de ativos e a proibição de disponibilizar fundos ou recursos econômicos a pessoas e entidades listadas são algumas das medidas aplicáveis. O teste de "propriedade e controle" é específico para cada caso e se aplica mesmo quando o vendedor não é listado, mas é detido ou controlado por uma entidade listada.
    • Filtros de compras públicas. As disposições do Regulamento (UE) n.º 833/2014 do Conselho (com as alterações subsequentes) que proíbem a adjudicação de contratos públicos a determinadas pessoas e entidades russas foram transpostas e complementadas de diferentes formas pela legislação dos Estados-Membros relativa aos contratos públicos.

    Além da estrutura a nível da UE, Estados-Membros como a Alemanha, a França, a Polónia, os países nórdicos e os países bálticos introduziram a sua própria linguagem para os contratos públicos, com critérios mais rigorosos. O resultado é que o mesmo fornecedor pode ser aceite numa jurisdição da UE e rejeitado noutra, mesmo quando nenhum instrumento o menciona explicitamente. Por conseguinte, as equipas de contratação tendem a aplicar a linguagem mais rigorosa do Estado-Membro como referência interna.

    Lado americano: Ordens executivas NDAA §889 e do ICTS

    Do lado americano, dois instrumentos são rotineiramente citados, inclusive por funcionários de compras da UE, como parâmetros informais. A Seção 889 NDAA (Lei de Autorização de Defesa Nacional John S. McCain para o Ano Fiscal de 2019) proíbe que agências federais e contratados federais comprem ou usem equipamentos de telecomunicações e videovigilância abrangidos pela lei, de determinados fabricantes chineses. As ordens executivas sobre Tecnologia da Informação e Serviços de Comunicação (TICS), principalmente a Ordem Executiva 13873 e suas sucessoras, conferem ao Departamento de Comércio dos EUA ampla autoridade para revisar transações envolvendo adversários estrangeiros.

    Nenhum dos instrumentos se aplica juridicamente a uma contratação pública típica da UE. No entanto, são frequentemente utilizados como modelos de linguagem para contratos de contratação. Uma entidade adjudicante da UE em 2026, ao elaborar um concurso para um sistema de videovigilância, normalmente exigirá que o fornecedor declare que o seu software, alojamento e pessoal não seriam excluídos ao abrigo de regras equivalentes ao §889, mesmo quando o próprio §889 seja irrelevante para o contrato. Os fornecedores que não puderem fazer essa declaração ficam em desvantagem competitiva, independentemente da legalidade da sua proposta.

    Impacto direto das aquisições no software de projeto de CFTV

    As categorias abaixo são as quatro em que observamos surgir com mais frequência questões relacionadas à origem do software em projetos de CFTV da UE para 2026.

    Concursos do setor público

    Licitações governamentais, de defesa, saúde e educação incluem cada vez mais cláusulas explícitas de divulgação da "origem do software". O gatilho geralmente é uma das disposições de filtro de compras discutidas acima, aplicadas por meio de transposição nacional. Mesmo quando o limite legal é discutível, na prática, as propostas que não conseguem comprovar uma origem aceitável são filtradas na fase de qualificação. Os projetistas que responderem a licitações do setor público em 2026 devem esperar fazer declarações afirmativas de origem para cada ferramenta de software usada no processo de projeto, e não apenas para o próprio hardware de vigilância.

    Contratos de infraestrutura crítica

    As aquisições nos setores de energia, transporte, bancário e de serviços de água e saneamento são regidas pela NIS2 (Diretiva (UE) 2022/2555) e por normas setoriais sobrepostas. Embora a NIS2 seja baseada em risco e não na origem, as avaliações de risco resultantes geralmente identificam a origem da cadeia de suprimentos como um fator relevante, e os operadores de serviços essenciais incorporaram isso em seus modelos de aquisição. O nível de exigência para comprovação da origem do software em projetos de infraestrutura crítica é significativamente maior do que para aquisições comerciais em geral.

    Auditorias de conformidade em empresas privadas

    Grandes empresas com suas próprias estruturas de ESG (Ambiental, Social e de Governança), cadeia de suprimentos ou risco cibernético auditam rotineiramente seus fornecedores e subfornecedores. Mesmo quando não há licitação específica envolvida, um integrador que utiliza software cuja origem não pode ser comprovada pode ser removido da lista de fornecedores preferenciais durante uma avaliação anual. Essa dinâmica se acelerou consideravelmente em 2024 e 2025 e continua em 2026.

    Engajamentos de integração transfronteiriços

    As empresas de integração com operações tanto em jurisdições da UE quanto fora da UE enfrentam complexidades adicionais devido às diferenças nos padrões de licitação. Uma ferramenta aceitável para um projeto comercial privado em uma jurisdição pode não ser aprovada para um projeto público em outra. Muitas empresas de integração resolveram esse problema padronizando o uso de ferramentas de origem europeia em todos os projetos, simplificando a resposta a qualquer licitação futura, independentemente de onde ela seja realizada.

    Como os compradores verificam a origem do software

    Um agente de compras que realiza uma verificação de origem utiliza um conjunto de ferramentas bastante padrão. Nenhuma dessas verificações, isoladamente, comprova a origem — elas compõem um panorama triangulado a partir de informações públicas.

    • Registro WHOIS do domínio do fornecedor — país do registrador, organização registrante, ASN do servidor de nomes.
    • Divulgação, pelo fornecedor, do nome da entidade jurídica, país de registro e número de identificação fiscal — normalmente exigida na qualificação.
    • Análise do provedor de hospedagem — a região da nuvem onde a infraestrutura SaaS é executada fisicamente, comprovada por uma declaração ou um contrato de hospedagem com terceiros.
    • Documentos públicos de empresas — registros de beneficiários finais, estrutura da empresa controladora e qualquer referência cruzada com listas de sanções.
    • Atestado da cadeia de suprimentos — uma declaração por escrito do fornecedor descrevendo onde o software é desenvolvido, hospedado e suportado, e nomeando quaisquer subprocessadores.

    Para aquisições de maior risco (defesa, infraestrutura crítica), a avaliação pode abranger a procedência do código-fonte, testes de segurança por terceiros e um parecer jurídico independente. O custo adicional dessa avaliação de nível superior é considerável, e as autoridades contratantes geralmente a solicitam apenas quando o valor ou a sensibilidade do contrato a justificam.

    Ângulo de transferência de países terceiros segundo GDPR

    Os artigos 44 a 49 GDPR regem as transferências de dados pessoais para países fora do Espaço Económico Europeu. A regra geral é que essa transferência é proibida, a menos que se aplique uma das salvaguardas especificadas: uma decisão de adequação da Comissão Europeia, um mecanismo de transferência aprovado, como cláusulas contratuais padrão com medidas suplementares adequadas, ou uma derrogação para situações específicas.

    O Tribunal de Justiça da União Europeia, no caso Schrems II (Processo C-311/18, 2020), deixou claro que as cláusulas contratuais padrão devem ser complementadas por uma avaliação de impacto da transferência que leve em consideração as leis do país de destino e se estas oferecem proteção essencialmente equivalente. A Rússia não consta da lista de adequação da Comissão Europeia, e a interpretação predominante é que alcançar uma proteção "essencialmente equivalente" para transferências para a Rússia é difícil, dada a situação jurídica local. A consequência prática é que qualquer ferramenta de projeto de CFTV que transmita dados pessoais para servidores na Rússia, ou para entidades sob jurisdição russa, enfrenta um ônus significativo de avaliação de impacto da transferência, algo que as ferramentas hospedadas na UE simplesmente não enfrentam.

    Para projetos de CFTV, isso é importante porque as ferramentas de design lidam com dados pessoais com mais frequência do que as pessoas imaginam — metadados do projeto, informações do site do cliente final, endereços de e-mail da conta, conteúdo de chamados de suporte. Um comprador que leva GDPR a sério vai querer ter a garantia de que nenhum desses dados sairá da UE/EEE de uma forma que desencadeie a fiscalização do Capítulo V.

    Por que o CCTVplanner existe — hospedado na UE, desenvolvido na UE

    O CCTVplanner é operado pela DEFENSAR, registrada na Polônia, com o frontend hospedado na Polônia e o backend em infraestrutura de nuvem na região da UE. Esse é o significado do título "100% Desenvolvido e Hospedado na UE" — a entidade legal, a engenharia e a hospedagem estão todas dentro da União Europeia, e não há subcontratados de países terceiros na arquitetura padrão.

    Para as equipes de compras, isso se traduz em uma resposta curta e direta às perguntas sobre a origem dos dados descritas acima. Não há nenhum subprocessador russo, chinês ou de jurisdição americana em nenhum ponto do fluxo de dados. Não há ônus de avaliação de impacto de transferência sob o Capítulo V GDPR, porque os dados não saem da UE. Não há nenhum fator de desqualificação equivalente ao §889 na cadeia de suprimentos. Confiável para integradores de todo o mundo, a arquitetura padrão da UE é o recurso que surge com mais frequência nas discussões sobre compras em 2026.

    A posição da UE em um parágrafo

    • A entidade operacional DEFENSAR está registada e é residente fiscal na Polónia.
    • Frontend hospedado na Polônia; backend na nuvem da região da UE (eu-west).
    • Não há subprocessadores de dados de terceiros países na arquitetura padrão.
    • Em conformidade com GDPR por padrão — não é necessária uma avaliação de impacto de transferência separada para compradores da UE.

    A realidade da "transição da JVSG "

    Uma pergunta prática que ouvimos de integradores em 2026 é: "Estamos satisfeitos com nossa ferramenta atual de projeto de CFTV, mas a equipe de compras sinalizou a divulgação da origem do software como um risco. Como seria a transição?" A resposta é basicamente mecânica: exportar a planta baixa para DXF, importá-la para o CCTVplanner, substituir as câmeras de um catálogo com mais de 65.000 modelos, ajustar os limites DORI, redirecionar a fiação e exportar o arquivo PDF com várias páginas. Criamos um guia passo a passo para a migração, cujo link está abaixo. Nenhuma das etapas é particularmente difícil. A parte mais difícil geralmente é a decisão de fazer a mudança, não a mudança em si.

    Especificamente para mudanças impulsionadas por processos de compras, nossa recomendação é documentar a transição por escrito — o evento que desencadeou a mudança, as alternativas avaliadas, a ferramenta escolhida para substituí-la e a data em que a ferramenta existente será desativada do fluxo de trabalho. Tanto os consultores de compras quanto os auditores de ESG valorizam decisões documentadas, e um registro escrito da transição é um documento comum em processos de due diligence.

    Aviso final

    Este artigo é uma análise factual baseada em normas, regulamentos e jurisprudência publicamente disponíveis até maio de 2026. Não constitui aconselhamento jurídico e não substitui a consulta a um advogado especializado em direito das compras na sua jurisdição. As sanções, os controlos de exportação e as regras de contratação pública estão em constante evolução e são interpretadas de forma diferente nos Estados-Membros da UE. Todas as decisões concretas relativas a contratos públicos devem ser confirmadas por um advogado familiarizado com a entidade adjudicante, o setor e a jurisdição em causa.

    Nenhuma declaração neste artigo tem a intenção de depreciar qualquer país, empresa ou categoria de fornecedor. O objetivo é descrever a estrutura de compras conforme a experiência dos compradores em 2026, para que os integradores possam preparar propostas e projetar fluxos de trabalho que sobrevivam à fase de qualificação.

    Perguntas frequentes

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Artigos Relacionados

    CCTVplanner vs JVSG

    Comparação lado a lado, incluindo a posição de residência dos dados.

    Guia de Migração do JVSG para 2026

    Guia passo a passo para uma transição orientada por compras.

    Melhor software gratuito para design de CFTV (2026)

    Opções gratuitas verificadas quanto à origem na UE e conformidade GDPR.

    EN 62676-4 :2025 Atualização OODPCVS (2026)

    Atualização das normas relevantes para a linguagem de contratação pública da UE.

    Calculadora DORI

    Calculadora de navegador hospedada na UE, sem necessidade de instalação.

    Calculadora EN 62676-4

    Recomendação de lentes em conformidade com as normas, hospedada na UE.

    ← Voltar ao blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Todos os direitos reservados.