- Software de sistemas de gestão de identidade, gestores de palavras-passe, leitores biométricos, assistentes domésticos inteligentes e câmaras de segurança privadas são abrangidos pelas novas regras
O Parlamento Europeu aprovou esta semana o Cyber Resilience Act (“CRA”), que estabelece requisitos de cibersegurança para “produtos com elementos digitais” (“PDE”) colocados no mercado da UE.
O termo PDE é definido de forma ampla para incluir produtos de hardware e software, como software antivírus, VPNs, dispositivos domésticos inteligentes, brinquedos conectados e wearables.
O texto aprovado pelo Parlamento Europeu é idêntico à versão de compromisso entre o Parlamento e o Conselho em Dezembro de 2023, que descrevemos aqui.
Os produtos importantes e críticos serão incluídos em listas diferentes com base no seu carácter crítico e no nível de risco de cibersegurança que representam.
As duas listas serão propostas e actualizadas pela Comissão Europeia. Os produtos considerados de maior risco para a cibersegurança serão examinados de forma mais rigorosa por um organismo notificado, enquanto outros poderão passar por um processo de avaliação da conformidade mais ligeiro, muitas vezes gerido internamente pelos fabricantes.
Recapitulando, as obrigações primárias do CRA aplicam-se aos fabricantes de PDEs, que devem:
- implementar certos requisitos “essenciais” de cibersegurança nos seus PDEs;
- efectuar avaliações de conformidade dos PDE; e
- notificar as autoridades competentes e outros sobre vulnerabilidades identificadas e incidentes graves de cibersegurança.
- Tal como acontece com a mais recente regulamentação europeia em matéria de tecnologia, o incumprimento pode resultar em coimas significativas: até 15 milhões de euros ou 2,5% do volume de negócios global, consoante o que for mais elevado.
O CRA terá de ser formalmente adoptado pelo Conselho antes de se tornar lei. Essa adopção ocorrerá provavelmente em Abril de 2024. A versão final da CRA será então publicada no Jornal Oficial da UE. A maioria das disposições da CRA aplicar-se-á na íntegra três anos após a data da sua publicação (embora as obrigações de comunicação em caso de vulnerabilidade se apliquem 21 meses após essa data).
Durante as negociações, os eurodeputados garantiram que produtos como software de sistemas de gestão de identidade, gestores de palavras-passe, leitores biométricos, assistentes domésticos inteligentes e câmaras de segurança privadas são abrangidos pelas novas regras.
As actualizações de segurança dos produtos devem ser instaladas automaticamente e separadamente das actualizações de funcionalidade.
Os eurodeputados defendem que a Agência da União Europeia para a Cibersegurança (ENISA) deve ser envolvida de forma mais estreita quando são detectadas vulnerabilidades e ocorrem incidentes.
A agência será notificada pelo Estado-Membro em causa e receberá informações para poder avaliar a situação e, caso identifique um risco sistémico, informará os outros Estados-Membros para que possam tomar as medidas necessárias.
Para sublinhar a importância das competências profissionais no domínio da cibersegurança, os eurodeputados introduziram também no regulamento programas de educação e formação, iniciativas de colaboração e estratégias para aumentar a mobilidade da mão de obra.