UE propõe lei para cibersegurança no comércio de TICs

Texto prevê multa no valor de até 2,5% do faturamento anual da empresa que estiver em desacordo com critérios de segurança. Se aprovada, será a primeira legislação do segmento.
Crédito: Freepik
Crédito: Freepik

A Comissão Europeia apresentou uma proposta de lei para cibersegurança no comércio com foco na proteção de consumidores, fabricantes e desenvolvedores de softwares, equipamentos de informática e telecomunicações. Caso o projeto avance, esta será a primeira legislação para este segmento a ser adotada por toda a União Europeia.

O texto, que vem sendo chamado de Lei de Resiliência Cibernética, exige a elaboração de uma “documentação técnica” antes do produto ser comercializado, contendo informações como processos de tratamento de vulnerabilidades e versões de software que afetem a conformidade com os requisitos essenciais. Este detalhamento será usado para comprovar que a fabricação está de acordo com a lei e deve ficar disponível para consulta e fiscalização por pelo menos dez anos após o lançamento no mercado.

O projeto também prevê que as instruções de segurança aos usuários sejam feitas de forma “compreensível, inteligível e legível”. Além disso, deve haver monitoramentos da segurança ao longo da vida útil recomendada do produto ou, caso este prazo não esteja especificado, por pelo menos cinco anos.

O descumprimento das regras de cibersegurança no comércio implica na aplicação de multa em valores que podem chegar a até 2,5% do faturamento anual global da empresa em desacordo – este percentual também pode ser de 1%, de forma cumulativa, se comprovado o envio de informações “incorretas, incompletas ou enganosas” a organismos de fiscalização.

Classificação

A Comissão propõe um mecanismo de classificação do nível de “risco de segurança cibernética”, divididos em:

Classe I, de menor risco, incluindo:

  • Software de sistemas de gestão de identidade e de acessos privilegiados;
  • Navegadores autônomos e incorporados;
  • Gerenciadores de senhas;
  • Programa que monitora software malicioso;
  • Produtos com elementos digitais com função de rede privada virtual (VPN);
  • Sistemas de gestão de redes;
  • Ferramentas de gerenciamento de configuração de rede;
  • Sistemas de monitoramento de tráfego de rede;
  • Gestão de recursos de rede;
  • Sistemas de gerenciamento de informações e eventos de segurança (SIEM);
  • Gerenciamento de atualização/patch, incluindo gerenciadores de inicialização;
  • Sistemas de gerenciamento de configuração de aplicativos;
  • Software de acesso/compartilhamento remoto e
  • Interfaces de rede física;

Classe II, de maior risco, fazem parte:

  • Sistemas operacionais para servidores, desktops e dispositivos móveis;
  • Infraestrutura de chave pública e emissores de certificados digitais;
  • Microprocessadores de uso geral;
  • Roteadores, modems destinados à conexão com a internet e switches, destinados
    para uso industrial;
  • Módulos de Segurança de Hardware (HSMs);
  • Criptoprocessadores;
  • Leitores de smartcards e tokens;
  • Sistemas de Automação e Controle Industrial (IACS)
  • Dispositivos industriais de Internet das Coisas e
  • Componentes de sensores e atuadores de robôs e controladores de robôs.

Veja a lista completa neste link.

Se o produto for classificado como produto crítico da classe I, será exigido um relatório de avaliação da segurança cibernética feito pelo fabricante, em conformidade com o Regulamento (UE) 2019/881, já em vigor, ou ser submetido a uma avaliação por terceiro caso ele não possua. Já quanto aos itens Classe II, devem sempre envolver uma avaliação de fora da empresa.

Fiscalização da cibersegurança no comércio

A proposta atribui a responsabilidade de fiscalização à Agência da União Europeia para a Cibersegurança (Enisa, na sigla em inglês). É a ela que os fabricantes devem notificar casos de vulnerabilidade.

“A notificação deve incluir detalhes sobre essa vulnerabilidade e, quando aplicável, quaisquer medidas corretivas ou mitigadoras tomadas”, prevê a lei.

Com base nas notificações recebidas, a Enisa deve preparar um relatório técnico bienal sobre as tendências emergentes em matéria de cibersegurança, que vai auxiliar o acompanhamento das medidas pela Comissão.

O texto, divulgado na última quinta-feira, 19, será analisado pelo Parlamento Europeu e o Conselho da UE. Se for aprovado, terá dois anos para entrar em vigor.

Avatar photo

Carolina Cruz

Repórter com trajetória em redações da Rede Globo e Grupo Cofina. Atualmente na cobertura de telecom nos Três Poderes, em Brasília, e da inovação, onde ela estiver.

Artigos: 1110