Crédito: Freepik
A Comissão Europeia apresentou uma proposta de lei para cibersegurança no comércio com foco na proteção de consumidores, fabricantes e desenvolvedores de softwares, equipamentos de informática e telecomunicações. Caso o projeto avance, esta será a primeira legislação para este segmento a ser adotada por toda a União Europeia.
O texto, que vem sendo chamado de Lei de Resiliência Cibernética, exige a elaboração de uma “documentação técnica” antes do produto ser comercializado, contendo informações como processos de tratamento de vulnerabilidades e versões de software que afetem a conformidade com os requisitos essenciais. Este detalhamento será usado para comprovar que a fabricação está de acordo com a lei e deve ficar disponível para consulta e fiscalização por pelo menos dez anos após o lançamento no mercado.
O projeto também prevê que as instruções de segurança aos usuários sejam feitas de forma “compreensível, inteligível e legível”. Além disso, deve haver monitoramentos da segurança ao longo da vida útil recomendada do produto ou, caso este prazo não esteja especificado, por pelo menos cinco anos.
O descumprimento das regras de cibersegurança no comércio implica na aplicação de multa em valores que podem chegar a até 2,5% do faturamento anual global da empresa em desacordo – este percentual também pode ser de 1%, de forma cumulativa, se comprovado o envio de informações “incorretas, incompletas ou enganosas” a organismos de fiscalização.
Classificação
A Comissão propõe um mecanismo de classificação do nível de “risco de segurança cibernética”, divididos em:
Classe I, de menor risco, incluindo:
Software de sistemas de gestão de identidade e de acessos privilegiados;
Navegadores autônomos e incorporados;
Gerenciadores de senhas;
Programa que monitora software malicioso;
Produtos com elementos digitais com função de rede privada virtual (VPN);
Sistemas de gestão de redes;
Ferramentas de gerenciamento de configuração de rede;
Sistemas de monitoramento de tráfego de rede;
Gestão de recursos de rede;
Sistemas de gerenciamento de informações e eventos de segurança (SIEM);
Gerenciamento de atualização/patch, incluindo gerenciadores de inicialização;
Sistemas de gerenciamento de configuração de aplicativos;
Software de acesso/compartilhamento remoto e
Interfaces de rede física;
Classe II, de maior risco, fazem parte:
Sistemas operacionais para servidores, desktops e dispositivos móveis;
Infraestrutura de chave pública e emissores de certificados digitais;
Microprocessadores de uso geral;
Roteadores, modems destinados à conexão com a internet e switches, destinados
para uso industrial;
Módulos de Segurança de Hardware (HSMs);
Criptoprocessadores;
Leitores de smartcards e tokens;
Sistemas de Automação e Controle Industrial (IACS)
Dispositivos industriais de Internet das Coisas e
Componentes de sensores e atuadores de robôs e controladores de robôs.
Veja a lista completa neste link.
Se o produto for classificado como produto crítico da classe I, será exigido um relatório de avaliação da segurança cibernética feito pelo fabricante, em conformidade com o Regulamento (UE) 2019/881, já em vigor, ou ser submetido a uma avaliação por terceiro caso ele não possua. Já quanto aos itens Classe II, devem sempre envolver uma avaliação de fora da empresa.
Fiscalização da cibersegurança no comércio
A proposta atribui a responsabilidade de fiscalização à Agência da União Europeia para a Cibersegurança (Enisa, na sigla em inglês). É a ela que os fabricantes devem notificar casos de vulnerabilidade.
“A notificação deve incluir detalhes sobre essa vulnerabilidade e, quando aplicável, quaisquer medidas corretivas ou mitigadoras tomadas”, prevê a lei.
Com base nas notificações recebidas, a Enisa deve preparar um relatório técnico bienal sobre as tendências emergentes em matéria de cibersegurança, que vai auxiliar o acompanhamento das medidas pela Comissão.
O texto, divulgado na última quinta-feira, 19, será analisado pelo Parlamento Europeu e o Conselho da UE. Se for aprovado, terá dois anos para entrar em vigor.
O post UE propõe lei para cibersegurança no comércio de TICs apareceu primeiro em TeleSíntese.
TeleSíntese
