UE terá primeira legislação para cibersegurança de IoT

Um projeto de Lei sobre Resiliência Cibernética que deve ser apresentado em breve, exigindo requisitos básicos de segurança cibernética mais rigorosos para equipamentos conectados, como os da Internet das Coisas, foi divulgado previamente pela EURACTIV, rede de mídia especializada em políticas da União Europeia.

O objetivo da futura lei é abordar as vulnerabilidades que estão impactando amplamente o setor IoT que, por seu alto nível de interconectividade possibilidade que os prejuízos da invasão de um único dispositivo gere grandes efeitos colaterais danosos para toda uma organização, cadeia de suprimentos ou mesmo em escala mundial.

Se vier a entrar em vigor, esta será a primeira legislação do mundo a introduzir um quadro legislativo para todos os dispositivos ligados a fim de garantir mais cibersegurança por todo o ciclo de vida dos produtos conectados.

Segundo os termos da proposta, fabricantes de produtos IoT terão de cumprir requisitos durante as fases de projeto, desenvolvimento e produção antes que os equipamentos cheguem ao mercado e devem seguir sendo continuamente monitorados para que seja possível identificar vulnerabilidades durante todo o ciclo de vida por meio de atualizações automáticas gratuitas.

“Seriam estabelecidas obrigações para operadores econômicos, desde fabricantes até distribuidores e importadores, em relação à colocação de produtos com elementos digitais no mercado, de forma adequada ao seu papel e responsabilidades nas cadeias de abastecimento”, diz o projeto de lei.

A lista de exigências inclui um nível “apropriado” de cibersegurança, a proibição de lançamento de com vulnerabilidade conhecidas, configuração de segurança por padrão, proteção contra acessos não autorizados, limitação de superfícies de ataque e minimização dos impactos de incidentes.

Além disso, os produtos devem garantir confidencialidade dos dados, inclusive via criptografia e processar apenas os dados estritamente necessários para suas operações.  Os fabricantes também serão obrigados a identificar vulnerabilidades por meio de testes regulares, resolvê-las prontamente e informar sobre incidentes e vulnerabilidades exploradas.

Os fabricantes também terão de realizar avaliações de conformidade por meio de procedimentos internos ou exames realizados por órgãos certificados. Importadores e distribuidores serão obrigados a verificar a conformidade dos produtos.

Multas por não cumprimento das exigências, caso o projeto se torne lei, podem chegar a 15 milhões de euros ou 2,5% do volume dos negócios anuais realizados (o que for o valor mais elevado). As regras propostas passariam a ser aplicáveis após 24 meses de sua entrada em vigor, com a exceção de que a obrigação de comunicação dos fabricantes se aplicaria a partir de 12 meses.

A Comissão Europeia estima que, se aprovada, a Lei de Resiliência Cibernética, pode trazer à economia europeia uma economia entre 180 e 290 bilhões de euros por ano.

Histórico

A Comissão Europeia lançou em março de 2022 uma consulta pública para reunir os pontos de vista e experiências de todas as partes relevantes sobre o que será a nova Lei Europeia de Resiliência Cibernética.

A iniciativa havia sido anunciada inicialmente presidente do bloco  Ursula von der Leyen em um discurso datado de setembro de 2021. A lei estabelecerá regras de cibersegurança para produtos e serviços digitais colocados no mercado da União Europeia.

“Se tudo está conectado, tudo pode ser hackeado.  Como os recursos são escassos, temos de agrupar nossas forças. […] É por isso que precisamos de uma Política Europeia de Defesa Cibernética, inclusive uma legislação que estabeleça padrões comuns sob uma nova Lei Europeia de Resiliência Cibernética”, afirmou Ursula von der Leyen.

A Lei de Resiliência Cibernética deverá complementará o quadro legislativo existente na UE, que inclui uma diretiva para segurança de redes e sistemas de informação (SRI) e a Lei de Segurança Cibernética, bem como a futura diretiva que inclui medidas para elevar o nível comum de cibersegurança por toda a região (NIS 2 proposta em dezembro de 2020.

A consulta pública se manteve aberta até 25 de maio de 2022. Além disso, a comissão havia publicado um convite para apresentar uma visão geral dos problemas atualmente identificados e possíveis formas de resolvê-los. A chamada também ficou aberta paralelamente à consulta pública.

O atual quadro legislatório da UE aplicável a produtos digitais inclui vários atos legislativos, porém apenas alguns aspectos relacionados à cibersegurança de produtos digitais tangíveis e de software incorporado.