Para que garantir que, antes da sua entrada no mercado, os produtos com componentes digitais, tais como câmaras domésticas, frigoríficos inteligentes, televisores e brinquedos conectados, são seguros, os representantes dos Estados-Membros (Coreper) chegaram a uma posição comum sobre a proposta legislativa relativa aos requisitos horizontais de cibersegurança dos produtos com elementos digitais (Regulamento Ciber-Resiliência).
Carme ARTIGAS BRUGAL, secretária de Estado da Digitalização e da Inteligência Artificial de Espanha disse “estamos prestes a celebrar o acordo hoje alcançado no Conselho que promove o compromisso da UE para com o mercado único digital seguro. A Internet das coisas e outros objectos conectados têm de apresentar um nível mínimo de cibersegurança quando são vendidos na UE, assegurando que as empresas e os consumidores estão efectivamente protegidos contra ciberameaças. Trata-se de um marco importante para a Presidência espanhola e esperamos fazer avançar o mais possível as negociações com o Parlamento”.
Objetivos da proposta
O projecto de regulamento introduz requisitos obrigatórios em matéria de cibersegurança aplicáveis à concepção, ao desenvolvimento, à produção e à disponibilização no mercado de produtos de hardware e de software, a fim de evitar a sobreposição de requisitos decorrentes de diferentes actos legislativos nos Estados-Membros da UE.
O regulamento proposto será aplicável a todos os produtos que estejam directa ou indirectamente conectados a outros dispositivos ou redes. Algumas excepções aplicam-se aos produtos para os quais já estão estabelecidos requisitos de cibersegurança nas regras da UE em vigor, por exemplo no que diz respeito aos dispositivos médicos, à aviação ou aos automóveis.
A proposta visa colmatar as lacunas, clarificar as correlações e tornar a legislação em vigor em matéria de cibersegurança mais coerente, assegurando que os produtos com componentes digitais, por exemplo, os produtos da Internet das coisas (IdC), se tornam seguros ao longo de toda a cadeia de abastecimento e ao longo de todo o seu ciclo de vida.
Por último, o regulamento proposto também permite que os consumidores tenham em conta a cibersegurança aquando da selecção e utilização de produtos com elementos digitais, dando aos utilizadores a oportunidade de fazerem escolhas informadas de produtos de hardware e software com as características de cibersegurança adequadas.
Principais elementos da proposta da Comissão que se mantêm
A posição comum do Conselho mantém as grandes linhas da proposta da Comissão, nomeadamente no que diz respeito:
– às regras para redistribuir a responsabilidade pela conformidade pelos fabricantes, que deverão assegurar a conformidade com os requisitos de segurança dos produtos com elementos digitais disponibilizados no mercado da UE, inclusive às obrigações como a avaliação dos riscos de cibersegurança, a declaração de conformidade e a cooperação com as autoridades competentes
– aos requisitos essenciais dos processos de tratamento das vulnerabilidades para que os fabricantes assegurem a cibersegurança dos produtos digitais, e às obrigações dos operadores económicos, como os importadores ou distribuidores, em relação a esses processos
– às medidas destinadas a melhorar a transparência em matéria de segurança dos produtos de hardware e software para os consumidores e os utilizadores empresariais, bem como um quadro de fiscalização do mercado para fazer cumprir estas regras
Alterações introduzidas pelo Conselho
O texto do Conselho, porém, altera diversas partes da proposta da Comissão, nomeadamente no tocante aos seguintes aspectos:
– o âmbito de aplicação da legislação proposta, nomeadamente no que diz respeito às categorias específicas de produtos que deverão cumprir os requisitos do regulamento
– as obrigações de comunicação de vulnerabilidades activamente exploradas e incidentes às autoridades nacionais competentes (“equipas de resposta a incidentes de segurança informática” – CSIRT), em vez de à Agência da UE para a Cibersegurança (ENISA), estabelecendo esta última uma plataforma única de comunicação de informações
– elementos para a determinação do tempo de vida esperado do produto pelos fabricantes
– medidas de apoio às pequenas e microempresas
– uma declaração de conformidade simplificada
Próximas etapas
O acordo hoje alcançado sobre a posição comum do Conselho (“mandato de negociação”) permitirá à Presidência espanhola encetar negociações com o Parlamento Europeu (“trílogos”) sobre a versão final da proposta legislativa.
Contexto
Nas Conclusões do Conselho de 2 de Dezembro de 2020 sobre a cibersegurança dos dispositivos conectados, de 2 de Dezembro de 2020, foi sublinhada a importância de avaliar a necessidade de dispor, a longo prazo, de uma legislação horizontal a fim de abordar todos os aspectos relevantes da cibersegurança dos dispositivos conectados, tais como a disponibilidade, a integridade e a confidencialidade, e que especifique as condições para a colocação no mercado.
Anunciada pela primeira vez pela presidente da Comissão Ursula von der Leyen no seu discurso sobre o estado da União, em Setembro de 2021, a ideia foi retomada nas Conclusões do Conselho, de 23 de maio de 2022, sobre o desenvolvimento da postura da União Europeia no ciberespaço, que exortavam a Comissão a propor, até final de 2022, requisitos comuns em matéria de cibersegurança para dispositivos conectados.
Em 15 de Setembro de 2022, a Comissão adoptou a proposta de regulamento do Parlamento Europeu e do Conselho relativo aos requisitos horizontais de cibersegurança dos produtos com elementos digitais e que altera o Regulamento (UE) 2019/1020 (“Regulamento Ciber-Resiliência”), o qual complementará o quadro em matéria de cibersegurança da UE: a Directiva Segurança das Redes e da Informação (Directiva SRI), a Directiva Segurança das Redes e da Informação revista (SRI 2) e o Regulamento Cibersegurança da UE.
