A cibersegurança é uma das principais prioridades da Comissão Europeia e uma pedra angular da Europa digital e conectada. O aumento dos ciberataques durante a crise do coronavírus demonstrou a importância de proteger os hospitais, os centros de investigação e outras infraestruturas.
Será necessário adotar medidas enérgicas neste domínio a fim de preparar a economia e a sociedade europeias para o futuro.
Custos anuais por violações de dados aumentam
Estima-se que os custos anuais resultantes das violações de dados se elevem a pelo menos 10 mil milhões de euros e que os custos anuais das tentativas mal intencionadas de perturbar o tráfego na Internet ascendam a pelo menos 65 mil milhões de euros (relatório de avaliação de impacto ).
A Comissão apresentou uma proposta para um novo acto legislativo sobre a ciber-resiliência a fim de proteger os consumidores e as empresas de produtos que não disponham de características de segurança adequadas.
Trata-se da primeira legislação deste tipo a ser adoptada a nível da UE, que introduz requisitos obrigatórios em matéria de cibersegurança para os produtos com elementos digitais, ao longo de todo o seu ciclo de vida.
Mais segurança em produtos digitais
Este acto legislativo, anunciado pela presidente Ursula von der Leyen em Setembro de 2021 no seu discurso sobre o estado da União, e que tem por base a Estratégia de Cibersegurança da UE e a Estratégia para a União da Segurança garantirá que os produtos digitais, por cabo ou por onda, sejam mais seguros para os consumidores de toda a UE.
Para além de aumentar a responsabilidade dos fabricantes, obrigando-os a prestar assistência a nível de segurança e a actualizar o seu software para fazer face às vulnerabilidades detectadas, permitirá aos consumidores dispor de informações suficientes sobre a cibersegurança dos produtos que compram e utilizam.
A vice-presidente executiva de Uma Europa Preparada para a Era Digital, Margrethe Vestager, afirmou o seguinte:
«Merecem sentir-se seguros com os produtos que compramos no mercado único. Da mesma maneira que podemos ter confiança num brinquedo ou num frigorífico que ostente a marcação CE poderemos, graças ao acto legislativo sobre a ciber-resiliência, ter a certeza de que os objetos e programas informáticos conectados que compramos oferecem garantias sólidas em matéria de segurança. A responsabilidade incumbirá a quem coloca os produtos no mercado.»
A vice-presidente da Promoção do Modo de Vida Europeu, Margaritis Schinas afirmou, por sua vez que:
«O ato legislativo sobre a ciber-resiliência é a nossa resposta às ameaças modernas à segurança, hoje em dia omnipresentes na nossa sociedade digital. A UE foi um dos precursores da criação de um ecossistema de ciber-segurança, tendo adoptado regras relativas às infraestruturas críticas, à preparação e à resposta em matéria de cibersegurança, bem como à certificação dos produtos de cibersegurança. Concluímos hoje este ecossistema através de um ato legislativo que garante a segurança em todo o lado: em casa, na empresas e a nível de todos os produtos interligados. A cibersegurança é uma questão social e não industrial.»
Maioria de equipamento informático isento de obrigações em matéria de cibersegurança
Thierry Breton, comissário do Mercado Interno, declarou:
«No que respeita à segurança, a Europa é apenas tão forte como o seu elo mais fraco, que pode ser um Estado-Membro vulnerável ou um produto não seguro na cadeia de abastecimento. Computadores, telefones, eletrodomésticos, dispositivos de assistência virtual, automóveis, brinquedos… cada um destas centenas de milhões de produtos conectados pode servir de porta de entrada para um ciberataque. E no entanto, hoje em dia, a maioria dos produtos de software e equipamento informático não está sujeita a qualquer tipo de obrigação em matéria de cibersegurança. Ao introduzir a cibersegurança desde a conceção, o ato legislativo sobre a ciber-resiliência contribuirá para proteger a economia europeia e garantir a nossa segurança coletiva.»
Há uma empresa vítima de ataques de software a cada 11 minutos
Cada 11 minutos uma organização é vítima de ataques de software de sequestro e calcula-se que, em 2021, o custo anual da cibercriminalidade no mundo inteiro tenha atingido os 5 500 milhões de euros (segundo a Cybersecurity Ventures, tal como citada no relatório do Centro Comum de Investigação de 2020 intitulado «Cybersecurity – Our Digital Anchor, a European perspective»).
Importa pois, mais do que nunca, garantir um elevado nível de cibersegurança e fazer com que os produtos digitais, que constituem um dos principais vectores destes ataques, sejam mais seguros.
À medida que o numero de produtos inteligentes e conectados vai aumentando, os incidente de cibersegurança a nível de um produto tornam-se mais suscetíveis de ter repercussões sobre toda a cadeia de abastecimento, podendo perturbar gravemente as actividades económicas e sociais no mercado interno e pôr em risco a segurança ou mesmo a vida das pessoas.
As medidas hoje propostas baseiam-se no novo quadro legislativo da UE em matéria de produtos e definirão:
- Regras para a colocação no mercado de produtos com elementos digitais, a fim de garantir a sua cibersegurança;
- Requisitos essenciais para a concepção, o desenvolvimento e a produção de produtos com elementos digitais e obrigações dos operadores económicos em relação a esses produtos;
- Requisitos essenciais para os processos de tratamento da vulnerabilidade aplicados pelos fabricantes para assegurar a cibersegurança de produtos com elementos digitais durante todo o ciclo de vida, bem como obrigações dos operadores económicos em relação a esses processos. Os fabricantes terão também de comunicar vulnerabilidades e incidentes activamente explorados;
- Regras em matéria de fiscalização e vigilância do mercado.
Segurança mais transparente
As novas regras permitirão criar um novo equilíbrio, uma vez que os fabricantes passarão a ter de garantir a conformidade dos produtos com elementos digitais disponibilizados no mercado da UE com as regras de segurança em vigor.
Trarão, pois, benefícios para os consumidores e os cidadãos, bem como para as empresas que utilizam produtos digitais, tornando as características de segurança mais transparentes, promovendo a confiança nos produtos com elementos digitais e assegurando um maior nível de protecção dos direitos fundamentais dos cidadãos, como a protecção da vida privada e dos dados.
Num momento em que legisladores de todo o mundo procuram encontrar respostas para estes problemas, é provável que este ato legislativo se torne um ponto de referência a nível internacional, e não apenas a nível do mercado interno da UE.
As normas da UE baseadas no acto legislativo facilitarão a sua aplicação e constituirão uma mais-valia para o sector da cibersegurança da UE nos mercados mundiais.
As medidas propostas serão aplicáveis a todos os produtos que estejam direta ou indiretamente ligados a outro dispositivo ou rede.
Estão previstas algumas excepções no que respeita aos produtos para os quais a legislação da UE em vigor já prevê requisitos em matéria de cibersegurança, como por exemplo os dispositivos médicos, a aviação ou os automóveis.
Próximas etapas
Cabe agora ao Parlamento Europeu e ao Conselho analisar este projecto de acto legislativo, após o que os operadores económicos e os Estados-Membros disporão de dois anos para se adaptar aos novos requisitos.
Constituirá uma excepção a obrigação imposta aos fabricantes de comunicar as vulnerabilidades activamente exploradas e os incidentes, que se aplicaria já um ano antes da entrada em vigor do acto legislativo, uma vez que exige menos adaptações organizacionais que as outras novas obrigações.
A Comissão procederá a revisões periódicas do novo acto e apresentará relatórios sobre o seu funcionamento.
Contexto
A Estratégia para a Cibersegurança apresentada em Dezebro de 2020 propõe a integração da cibersegurança em todos os elementos da cadeia de abastecimento e um agrupamento mais estreito das actividades e dos recursos da UE nas quatro comunidades de cibersegurança, ou seja, mercado interno, aplicação da lei, diplomacia e defesa.
Assenta na Estratégia Digital Europeia e na Estratégia para a União da Segurança e tem por base diversos actos legislativos, acções e iniciativas aplicadas pela UE a fim de reforçar as suas capacidades em matéria de cibersegurança e criar uma Europa mais forte neste domínio.
O novo acto legislativo complementará o actual quadro da UE em matéria de resiliência: a Directiva relativa à segurança das redes e da informação (Diretiva SRI), a Directiva relativa a medidas destinadas a garantir um elevado nível comum de cibersegurança na União (Diretiva SRI 2), recentemente acordada pelo Parlamento Europeu e pelo Conselho, e o Regulamento Cibersegurança.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine e receba informações como esta no seu email.