CCTVplanner.io
    Conformidade15 minutos de leitura

    Software de origem russa em projetos de CCTV da UE (2026): revisão da conformidade, sanções e aquisições

    Uma análise factual e focada nas aquisições para os projetistas, integradores e autoridades adjudicantes da UE de sistemas de CCTV, abordando a mesma questão recorrente em 2026: como se aplicam as regras de origem, sanções e residência de dados quando se trata de software de projeto de CCTV? Este artigo resume o enquadramento publicamente disponível. Não se trata de aconselhamento jurídico — toda a decisão concreta de aquisição deve ser confirmada por um advogado especializado em direito da aquisição.

    Importante: trata-se de uma análise factual, não de uma consulta jurídica.

    As sanções, os controlos de exportação e as regras de contratação pública mudam frequentemente e são interpretadas de forma diferente nos Estados-Membros da UE. Nada neste artigo deve ser considerado como aconselhamento jurídico para qualquer transação específica. Para decisões vinculativas, consulte um advogado especializado em contratação pública na jurisdição relevante. As referências a normas, regulamentos e jurisprudência publicamente disponíveis são precisas, de acordo com o nosso melhor conhecimento, até maio de 2026.

    Índice

    Porque é que esta questão é importante nas contratações da UE em 2026?

    Desde 2022, a UE adotou vários pacotes de sanções sucessivas contra a Rússia, a par de evoluções paralelas nas regras de contratação pública dos Estados-Membros. O efeito cumulativo na aquisição de software tem sido substancial: as entidades adjudicantes que anteriormente não questionavam a origem do software incluem agora rotineiramente requisitos de divulgação da origem na fase de qualificação, e as propostas que não conseguem comprovar uma origem não sancionada são geralmente filtradas antes da análise comercial.

    O software de design CCTV enquadra-se numa categoria particular de risco porque os artefactos que produz — plantas, posicionamento das câmaras, topologia da rede, BOM — são sensíveis tanto do ponto de vista da segurança como operacional. Mesmo quando um instrumento de sanções não abrange explicitamente uma ferramenta específica de planeamento de CCTV, as autoridades adjudicantes tendem a adoptar uma postura de precaução, especialmente em projectos de defesa, administração pública, infra-estruturas críticas e grandes projectos de saúde ou de transportes.

    Este artigo é a explicação que gostaríamos que existisse quando os clientes integradores começaram a questionar-nos sobre a origem do software nas propostas de concurso. É descritivo, não prescritivo — o seu objetivo é apresentar a estrutura numa linguagem simples para que um designer de CCTV possa fazer as perguntas certas ao seu consultor de compras, em vez de substituir esta conversa.

    O atual quadro de sanções da UE — resumo de alto nível

    As medidas restritivas da UE contra a Rússia são implementadas através de Regulamentos do Conselho publicados no Jornal Oficial da União Europeia e atualizados através de sucessivos pacotes de alterações. O quadro opera em três pilares principais relevantes para a aquisição de software.

    Três pilares relevantes para o software

    • Controlos de exportação. Restrições ao fornecimento de determinados bens, serviços, tecnologia e software à Rússia, com enfoque sectorial nos bens de dupla utilização, defesa e determinadas categorias industriais.
    • Sanções financeiras. O congelamento de bens e a proibição de disponibilizar fundos ou recursos económicos a pessoas e entidades cotadas são algumas das medidas aplicáveis. O teste de "propriedade e controlo" é específico para cada caso e aplica-se mesmo quando o vendedor não está listado, mas é detido ou controlado por uma entidade listada.
    • Filtros de compras públicas. As disposições do Regulamento (UE) n.º 833/2014 do Conselho (com as alterações subsequentes) que proíbem a adjudicação de contratos públicos a determinadas pessoas e entidades russas foram transpostas e complementadas de diferentes formas pela legislação dos Estados-Membros relativa aos contratos públicos.

    Para além da estrutura a nível da UE, Estados-Membros como a Alemanha, a França, a Polónia, os países nórdicos e os países bálticos introduziram a sua própria linguagem para os contratos públicos, com critérios mais rigorosos. O resultado é que o mesmo fornecedor pode ser aceite numa jurisdição da UE e rejeitado noutra, mesmo quando nenhum instrumento o menciona explicitamente. Por conseguinte, as equipas de contratação tendem a aplicar a linguagem mais rigorosa do Estado-Membro como referência interna.

    Lado americano: Ordens executivas NDAA §889 e do ICTS

    Do lado americano, dois instrumentos são rotineiramente citados, incluindo pelos responsáveis pelas compras da UE, como parâmetros informais. A Secção 889 NDAA (Lei de Autorização de Defesa Nacional John S. McCain para o Ano Fiscal de 2019) proíbe as agências federais e os contratantes federais de comprar ou utilizar equipamentos de telecomunicações e videovigilância abrangidos pela lei, a determinados fabricantes chineses. As ordens executivas sobre Tecnologia da Informação e Serviços de Comunicação (TICS), principalmente a Ordem Executiva 13873 e as suas sucessoras, conferem ao Departamento de Comércio dos EUA uma ampla autoridade para rever as transações que envolvam adversários estrangeiros.

    Nenhum dos instrumentos se aplica juridicamente a uma contratação pública típica da UE. No entanto, são frequentemente utilizados como modelos de linguagem para contratos de contratação. Uma entidade adjudicante da UE em 2026, ao elaborar um concurso para um sistema de videovigilância, exigirá normalmente que o fornecedor declare que o seu software, alojamento e pessoal não seriam excluídos ao abrigo de regras equivalentes ao §889, mesmo quando o próprio §889 seja irrelevante para o contrato. Os fornecedores que não possam fazer esta declaração ficam em desvantagem competitiva, independentemente da legalidade da sua proposta.

    Impacto direto das aquisições no software de projeto de CCTV

    As categorias abaixo são as quatro em que observamos surgir com maior frequência questões relacionadas com a origem do software nos projetos de CCTV da UE para 2026.

    Concursos do setor público

    Os concursos governamentais, de defesa, de saúde e de educação incluem cada vez mais cláusulas explícitas de divulgação da "origem do software". O gatilho é geralmente uma das disposições de filtro de compras discutidas acima, aplicadas através de transposição nacional. Mesmo quando o limite legal é discutível, na prática, as propostas que não conseguem comprovar uma origem aceitável são filtradas na fase de qualificação. Os projetistas que responderem a concursos do setor público em 2026 devem esperar fazer declarações afirmativas de origem para cada ferramenta de software utilizada no processo de projeto, e não apenas para o próprio hardware de vigilância.

    Contratos de infraestruturas críticas

    As aquisições nos setores da energia, dos transportes, da banca e dos serviços de água e saneamento são regidas pela NIS2 (Diretiva (UE) 2022/2555) e por normas setoriais sobrepostas. Embora a NIS2 se baseie no risco e não na origem, as avaliações de risco resultantes identificam frequentemente a origem da cadeia de abastecimento como um factor relevante, e os operadores de serviços essenciais incorporaram-no nos seus modelos de aquisição. O nível de exigência para a comprovação da origem do software em projetos de infraestruturas críticas é significativamente superior ao das aquisições comerciais em geral.

    Auditorias de conformidade em empresas privadas

    As grandes empresas com as suas próprias estruturas de ESG (Ambiental, Social e de Governação), cadeia de abastecimento ou risco cibernético auditam rotineiramente os seus fornecedores e subfornecedores. Mesmo quando não está em causa um concurso específico, um integrador que utilize software cuja origem não pode ser comprovada pode ser removido da lista de fornecedores preferenciais durante uma avaliação anual. Esta dinâmica acelerou consideravelmente em 2024 e 2025 e continua em 2026.

    Envolvimentos de integração transfronteiriços

    As empresas de integração com operações tanto em jurisdições da UE como fora da UE enfrentam complexidades adicionais devido às diferenças nos padrões de concurso. Uma ferramenta aceitável para um projeto comercial privado numa jurisdição pode não ser aprovada para um projeto público noutra. Muitas empresas de integração resolveram este problema uniformizando a utilização de ferramentas de origem europeia em todos os projetos, simplificando a resposta a qualquer concurso futuro, independentemente do local onde é realizado.

    Como os compradores verificam a origem do software

    Um agente de compras que realiza uma verificação de origem utiliza um conjunto de ferramentas bastante standard. Nenhuma destas verificações, isoladamente, comprova a origem — compõem um panorama triangulado a partir de informação pública.

    • Registo WHOIS do domínio do fornecedor — país do registrador, organização registrante, ASN do servidor de nomes.
    • Divulgação, pelo fornecedor, do nome da entidade jurídica, país de registo e número de identificação fiscal — normalmente exigida na qualificação.
    • Análise do fornecedor de alojamento — a região da nuvem onde a infraestrutura SaaS é executada fisicamente, comprovada por uma declaração ou um contrato de alojamento com terceiros.
    • Documentos públicos das empresas — registos de beneficiários finais, estrutura da empresa-mãe e qualquer referência cruzada com listas de sanções.
    • Atestado da cadeia de abastecimento — uma declaração escrita do fornecedor que descreve onde o software é desenvolvido, alojado e suportado, e que nomeia quaisquer subcontratantes.

    Para aquisições de maior risco (defesa, infraestruturas críticas), a avaliação pode abranger a origem do código-fonte, testes de segurança por terceiros e um parecer jurídico independente. O custo adicional desta avaliação de nível superior é considerável, e as autoridades adjudicantes solicitam-na geralmente apenas quando o montante ou a sensibilidade do contrato o justificam.

    Ângulo de transferência de países terceiros segundo GDPR

    Os artigos 44.º a 49.º GDPR regem as transferências de dados pessoais para países fora do Espaço Económico Europeu. A regra geral é que esta transferência é proibida, a menos que se aplique uma das salvaguardas especificadas: uma decisão de adequação da Comissão Europeia, um mecanismo de transferência aprovado, como cláusulas contratuais-tipo com medidas suplementares adequadas, ou uma derrogação para situações específicas.

    O Tribunal de Justiça da União Europeia, no caso Schrems II (Processo C-311/18, 2020), deixou claro que as cláusulas contratuais-tipo devem ser complementadas por uma avaliação de impacto da transferência que tenha em conta as leis do país de destino e se estas oferecem uma proteção essencialmente equivalente. A Rússia não consta da lista de adequação da Comissão Europeia, e a interpretação predominante é que alcançar uma proteção "essencialmente equivalente" para as transferências para a Rússia é difícil, dada a situação jurídica local. A consequência prática é que qualquer ferramenta de projeto de CCTV que transmita dados pessoais para servidores na Rússia, ou para entidades sob jurisdição russa, enfrenta um encargo significativo de avaliação de impacto da transferência, algo que as ferramentas alojadas na UE simplesmente não enfrentam.

    Para projetos de CCTV, isto é importante porque as ferramentas de design lidam com dados pessoais com mais frequência do que as pessoas imaginam — metadados do projeto, informações do site do cliente final, endereços de e-mail da conta, conteúdo de chamadas de suporte. Um comprador que leve GDPR a sério quererá ter a garantia de que nenhum destes dados sairá da UE/EEE de uma forma que desencadeie a fiscalização do Capítulo V.

    Por que razão existe o CCTVplanner — alojado na UE, desenvolvido na UE

    O CCTVplanner é operado pela DEFENSAR, registada na Polónia, com o frontend alojado na Polónia e o backend em infraestruturas de cloud na região da UE. É este o significado do título "100% Desenvolvido e Alojado na UE" — a entidade legal, a engenharia e o alojamento estão todos dentro da União Europeia, e não existem subcontratados de países terceiros na arquitetura padrão.

    Para as equipas de compras, isto traduz-se numa resposta curta e direta às questões sobre a origem dos dados descritas acima. Não existe nenhum subprocessador russo, chinês ou de jurisdição americana em qualquer ponto do fluxo de dados. Não há encargos de avaliação de impacto de transferência ao abrigo do Capítulo V GDPR, porque os dados não saem da UE. Não existe nenhum fator de desqualificação equivalente ao §889 na cadeia de abastecimento. Fiável para integradores de todo o mundo, a arquitetura padrão da UE é a característica que surge com mais frequência nas discussões sobre compras em 2026.

    A posição da UE num parágrafo

    • A entidade operacional DEFENSAR está registada e é residente fiscal na Polónia.
    • Frontend alojado na Polónia; backend na nuvem da região UE (eu-oeste).
    • Não existem subprocessadores de dados de países terceiros na arquitetura padrão.
    • Em conformidade com GDPR por defeito — não é necessária uma avaliação de impacto de transferência separada para os compradores da UE.

    A realidade da "transição da JVSG "

    Uma questão prática que ouvimos dos integradores em 2026 é: "Estamos satisfeitos com a nossa atual ferramenta de design de CCTV, mas a equipa de compras sinalizou a divulgação da origem do software como um risco. Como seria a transição?" A resposta é basicamente mecânica: exportar a planta para DXF, importá-la para o CCTVplanner, substituir as câmaras de um catálogo com mais de 65.000 modelos, ajustar os limites DORI, redirecionar a cablagem e exportar o ficheiro PDF com várias páginas. Criámos um guia passo a passo para a migração, cujo link se encontra abaixo. Nenhuma das etapas é particularmente difícil. A parte mais difícil é, geralmente, a decisão de fazer a mudança, e não a mudança em si.

    Especificamente para as mudanças impulsionadas pelos processos de compras, a nossa recomendação é documentar a transição por escrito — o evento que desencadeou a mudança, as alternativas avaliadas, a ferramenta escolhida para a substituir e a data em que a ferramenta existente será desativada do fluxo de trabalho. Tanto os consultores de compras como os auditores de ESG valorizam as decisões documentadas, e um registo escrito da transição é um documento comum nos processos de due diligence.

    Aviso final

    Este artigo é uma análise factual baseada em normas, regulamentos e jurisprudência publicamente disponíveis até maio de 2026. Não constitui aconselhamento jurídico e não substitui a consulta de um advogado especializado em direito das compras na sua jurisdição. As sanções, os controlos às exportações e as regras de contratação pública estão em constante evolução e são interpretadas de forma diferente nos Estados-Membros da UE. Todas as decisões concretas relativas a contratos públicos devem ser confirmadas por um advogado familiarizado com a entidade adjudicante, o setor e a jurisdição em causa.

    Nenhuma declaração neste artigo tem a intenção de depreciar qualquer país, empresa ou categoria de fornecedor. O objetivo é descrever a estrutura de compras de acordo com a experiência dos compradores em 2026, para que os integradores possam preparar propostas e projetar fluxos de trabalho que sobrevivam à fase de qualificação.

    Perguntas frequentes

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Artigos relacionados

    CCTVplanner vs JVSG

    Comparação lado a lado, incluindo a posição de residência dos dados.

    Guia de Migração do JVSG para 2026

    Guia passo a passo para uma transição orientada para as compras.

    Melhor software gratuito para design de CCTV (2026)

    Opções gratuitas verificadas quanto à origem na UE e conformidade GDPR.

    EN 62676-4 :2025 Atualização OODPCVS (2026)

    Atualização das normas relevantes para a linguagem de contratação pública da UE.

    Calculadora DORI

    Calculadora de navegador alojada na UE, sem necessidade de instalação.

    Calculadora EN 62676-4

    Recomendação de lentes em conformidade com as normas, alojada na UE.

    ← Voltar ao Blog

    © 2026 CCTVplanner. Todos os direitos reservados.