UE propõe lei para cibersegurança no comércio de TICs
A Comissão Europeia apresentou uma proposta de lei para cibersegurança no comércio com foco na proteção de consumidores, fabricantes e desenvolvedores de softwares, equipamentos de informática e telecomunicações. Caso o projeto avance, esta será a primeira legislação para este segmento a ser adotada por toda a União Europeia.
O texto, que vem sendo chamado de Lei de Resiliência Cibernética, exige a elaboração de uma “documentação técnica” antes do produto ser comercializado, contendo informações como processos de tratamento de vulnerabilidades e versões de software que afetem a conformidade com os requisitos essenciais. Este detalhamento será usado para comprovar que a fabricação está de acordo com a lei e deve ficar disponível para consulta e fiscalização por pelo menos dez anos após o lançamento no mercado.
O projeto também prevê que as instruções de segurança aos usuários sejam feitas de forma “compreensível, inteligível e legível”. Além disso, deve haver monitoramentos da segurança ao longo da vida útil recomendada do produto ou, caso este prazo não esteja especificado, por pelo menos cinco anos.
O descumprimento das regras de cibersegurança no comércio implica na aplicação de multa em valores que podem chegar a até 2,5% do faturamento anual global da empresa em desacordo – este percentual também pode ser de 1%, de forma cumulativa, se comprovado o envio de informações “incorretas, incompletas ou enganosas” a organismos de fiscalização.
Classificação
A Comissão propõe um mecanismo de classificação do nível de “risco de segurança cibernética”, divididos em:
Classe I, de menor risco, incluindo:
- Software de sistemas de gestão de identidade e de acessos privilegiados;
- Navegadores autônomos e incorporados;
- Gerenciadores de senhas;
- Programa que monitora software malicioso;
- Produtos com elementos digitais com função de rede privada virtual (VPN);
- Sistemas de gestão de redes;
- Ferramentas de gerenciamento de configuração de rede;
- Sistemas de monitoramento de tráfego de rede;
- Gestão de recursos de rede;
- Sistemas de gerenciamento de informações e eventos de segurança (SIEM);
- Gerenciamento de atualização/patch, incluindo gerenciadores de inicialização;
- Sistemas de gerenciamento de configuração de aplicativos;
- Software de acesso/compartilhamento remoto e
- Interfaces de rede física;
Classe II, de maior risco, fazem parte:
- Sistemas operacionais para servidores, desktops e dispositivos móveis;
- Infraestrutura de chave pública e emissores de certificados digitais;
- Microprocessadores de uso geral;
- Roteadores, modems destinados à conexão com a internet e switches, destinados
para uso industrial; - Módulos de Segurança de Hardware (HSMs);
- Criptoprocessadores;
- Leitores de smartcards e tokens;
- Sistemas de Automação e Controle Industrial (IACS)
- Dispositivos industriais de Internet das Coisas e
- Componentes de sensores e atuadores de robôs e controladores de robôs.
Veja a lista completa neste link.
Se o produto for classificado como produto crítico da classe I, será exigido um relatório de avaliação da segurança cibernética feito pelo fabricante, em conformidade com o Regulamento (UE) 2019/881, já em vigor, ou ser submetido a uma avaliação por terceiro caso ele não possua. Já quanto aos itens Classe II, devem sempre envolver uma avaliação de fora da empresa.
Fiscalização da cibersegurança no comércio
A proposta atribui a responsabilidade de fiscalização à Agência da União Europeia para a Cibersegurança (Enisa, na sigla em inglês). É a ela que os fabricantes devem notificar casos de vulnerabilidade.
“A notificação deve incluir detalhes sobre essa vulnerabilidade e, quando aplicável, quaisquer medidas corretivas ou mitigadoras tomadas”, prevê a lei.
Com base nas notificações recebidas, a Enisa deve preparar um relatório técnico bienal sobre as tendências emergentes em matéria de cibersegurança, que vai auxiliar o acompanhamento das medidas pela Comissão.
O texto, divulgado na última quinta-feira, 19, será analisado pelo Parlamento Europeu e o Conselho da UE. Se for aprovado, terá dois anos para entrar em vigor.