A obrigatoriedade de comunicação de ocorrências na violação de segurança aplica-se apenas a empresas que possuem, gerem ou fornecem tecnologia para infra-estruturas críticas, segundo a legislação aprovada esta quinta-feira pelo Parlamento Europeu.
Empresas como a Google, Amazon, Ebay e Skype ficam isentas da obrigação de revelar incidentes de segurança, de acordo com a nova lei de cibersegurança aprovada esta quinta-feira no Parlamento Europeu. Os deputados das assembleia aprovaram a directiva Segurança de Redes e Informação, em grande maioria.
Mas, de acordo com as propostas originais, os chamados “facilitadores dos serviços da sociedade de informação” seriam obrigados a reportar a uma autoridade nacional qualquer violação de segurança capaz de “afectar significativamente a continuidade dos serviços críticos e fornecimento de bens”, quer houvessem dados comprometidos ou não.
Tal como aprovada, a nova lei abrange apenas empresas que detêm, gerem ou fornecem tecnologia para infra-estruturas críticas. As organizações empresariais foram rápidas em saudar a nova legislação, destacando o facto de incidir sobre as infra-estruturas críticas e numa abordagem baseada na gestão de risco.
Mas a deputada do Partido Pirata no Parlamento Europeu, Amelia Andersdotter, revelou ser da minoria que votou contra a lei: “estabelece todas as coisas erradas e nenhuma das coisas certas”, considera.
Caberá aos Estados-membros decidir como vão transcrever a directiva para as legislações nacionais. Por isso as sanções sobre encobrimento de incidentes de segurança deverão variar consoante os países. Todavia, o artigo 15 da lei estipula que estes devem investigar todos os casos de não conformidade.
A Comissária Europeia para a Agenda Digital, Neelie Kroes, tenciona chegar a um acordo com os Estados-membros da UE até ao final de 2014.