A União Europeia define novas normas de cibersegurança contidas na Lei da Resiliência Cibernética para fabricantes e desenvolvedores de produtos com elementos digitais.
Por Irene Iglesias Álvarez
Como previsto, a União Europeia (UE) escorou os fundamentos da sua cibersegurança através da apresentação formal Lei da Resiliência Cibernética. Um regulamento que define as novas normas de segurança digital no território visando “proteger consumidores e empresas” de “produtos com características de segurança inadequadas”. Uma regulamentação pioneira no Velho Continente que se esforça por se adaptar às idiossincrasias da sociedade moderna e introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais ao longo do seu ciclo de vida.
A lei, anunciada pela presidente Ursula von der Leyen em setembro de 2021, durante o seu discurso sobre o Estado da União Europeia, visa regular a comercialização de objetos ligados, que até agora não estavam sujeitos a quaisquer obrigações nesta área, a fim de reduzir os ciberataques que estes bens podem sofrer ao longo da sua vida útil. Também permitirá que os clientes destes produtos sejam devidamente informados sobre a cibersegurança dos produtos que compram e utilizam.
Que riscos enfrenta
Os ciberataques podem propagar-se através das fronteiras do mercado interno numa questão de minutos. O regulamento aborda, portanto, principalmente dois problemas. O primeiro diz respeito ao baixo nível de cibersegurança de muitos destes produtos e, mais importante, ao facto de muitos fabricantes não fornecerem atualizações para resolver as vulnerabilidades. Enquanto os fabricantes de produtos com elementos digitais por vezes enfrentam danos de reputação quando os seus produtos não têm segurança, o custo das vulnerabilidades é predominantemente suportado por utilizadores profissionais e consumidores. Isto limita os incentivos dos fabricantes para investir na conceção e desenvolvimento seguros e para fornecer atualizações de segurança.
A segunda questão é que as empresas e os consumidores muitas vezes não dispõem de informação suficiente e precisa quando se trata de escolher produtos que são seguros e muitas vezes carecem dos conhecimentos necessários sobre como garantir que os produtos que compram são configurados de forma segura. As novas regras abordam estas duas questões, abordando a questão das atualizações e também fornecendo informações atualizadas aos clientes.
Abordar a questão
A nova lei dirigida por Bruxelas exige que os produtos com elementos digitais só devem estar disponíveis no mercado se cumprirem os requisitos essenciais específicos de cibersegurança. Requer que os fabricantes tenham em conta a cibersegurança na conceção e desenvolvimento de produtos com tais elementos. Em termos de informação e instruções fornecidas ao utilizador final, a Lei da Resiliência Cibernética inclui a transparência como um elemento chave. Um elemento chave da proposta é a cobertura de todo o ciclo de vida dos produtos e, em particular, a obrigação dos fabricantes e desenvolvedores de fornecer informações de fim de vida e apoio de segurança, bem como a obrigação de fornecer atualizações de segurança e apoio durante um período de tempo razoável.
Tais obrigações seriam estabelecidas para os operadores económicos, desde fabricantes a distribuidores e importadores, conforme apropriado ao seu papel e responsabilidades na cadeia de abastecimento. Com base no Novo Quadro Legislativo para a legislação de produtos na UE, os fabricantes seriam sujeitos a um processo de avaliação da conformidade para demonstrar se os requisitos especificados relacionados com um produto foram cumpridos. Isto poderia ser feito através de uma autoavaliação ou de uma avaliação de conformidade por terceiros, dependendo do grau de criticidade do produto em questão. Quando a conformidade do produto com os requisitos aplicáveis tiver sido demonstrada, os fabricantes e os responsáveis pelo desenvolvimento elaborarão uma declaração de conformidade e poderão afixar a marcação CE. Isto indicará a conformidade dos produtos com elementos digitais com a CRA, para que possam circular livremente no mercado interno.
“Merecemos sentir-nos confiantes em relação aos produtos que compramos no mercado único. Tal como podemos confiar num brinquedo ou num frigorífico com a marca ‘CE’, a Lei da Resiliência Cibernética garantirá que os objetos e o software que compramos estejam em conformidade com fortes medidas de segurança”, disse a Vice-Presidente da Comissão Europeia para a Era Digital Margrethe Vestager.