Desde baby-monitors a smart-watches, produtos e softwares que contêm um componente digital são omnipresentes no nosso dia a dia. Menos evidente para muitos utilizadores é o risco de segurança que tais produtos e software podem apresentar.
O Regulamento Ciberresiliência visa salvaguardar os consumidores e as empresas que compram ou utilizam produtos ou software com uma componente digital. Com a introdução de requisitos de cibersegurança obrigatórios para os fabricantes e retalhistas desses produtos, a lei veria que as características de segurança inadequadas se tornaram uma coisa do passado, estendendo-se esta proteção ao longo de todo o ciclo de vida dos produtos.
O problema abordado pelo regulamento é duplo.
Em primeiro lugar, o nível inadequado de cibersegurança inerente a muitos produtos ou as atualizações de segurança inadequadas desses produtos e software.
Em segundo lugar, a incapacidade de os consumidores e as empresas determinarem atualmente quais os produtos que são ciberseguros ou de os configurarem de uma forma que garanta a proteção da sua cibersegurança.
O Regulamento Ciberresiliência garantirá:
- regras harmonizadas aquando da introdução no mercado de produtos ou programas informáticos com uma componente digital;
- um quadro de requisitos de cibersegurança que regem o planeamento, a conceção, o desenvolvimento e a manutenção desses produtos, com obrigações a cumprir em todas as fases da cadeia de valor;
- a obrigação de prestar o dever de diligência durante todo o ciclo de vida desses produtos.
Quando o regulamento entrar em vigor, o software e os produtos ligados à Internet ostentariam a marcação CE para indicar que cumprem as novas normas. Exigir que os fabricantes e retalhistas deem prioridade à cibersegurança, os clientes e as empresas ficariam habilitados a fazer escolhas mais informadas, confiantes nas credenciais de cibersegurança dos produtos com a marcação CE.
O regulamento foi anunciado na Estratégia da UE para a Cibersegurança de 2020 e complementa outra legislação neste domínio, nomeadamente o quadro SRI2.
Aplicar-se-á a todos os produtos ligados direta ou indiretamente a outro dispositivo ou rede, com exceção de exclusões específicas, tais como software de fonte aberta ou serviços já abrangidos pelas regras em vigor, o que é o caso dos dispositivos médicos, da aviação e dos automóveis.
Prevê-se que o regulamento entre em vigor no início de 2024. Os fabricantes terão de aplicar as regras 36 meses após a sua entrada em vigor. A Comissão procederá então à revisão periódica da lei e apresentará um relatório sobre o seu funcionamento.
Conteúdo relacionado
Visão geral
A União Europeia trabalha em várias frentes para promover a ciber-resiliência, salvaguardar a nossa comunicação e dados e manter a sociedade e a economia em linha seguras.
Ver também
O Regulamento Cibersolidariedade da UE melhorará a preparação, a deteção e a resposta a incidentes de cibersegurança em toda a UE.
Os operadores de serviços essenciais (OES), as autoridades nacionais de certificação da cibersegurança (NCCA) e as autoridades nacionais competentes (ANC) no domínio da cibersegurança estão entre os candidatos selecionados que receberão 11 milhões de EUR de financiamento através...
A Rede Europeia de Cibersegurança e o Centro de Competências em Cibersegurança ajudam a UE a manter e desenvolver as capacidades tecnológicas e industriais em matéria de cibersegurança.
O Grupo das Partes Interessadas para a Certificação da Cibersegurança foi criado para prestar aconselhamento sobre questões estratégicas relativas à certificação da cibersegurança.
O Regulamento Cibersegurança reforça a Agência da UE para a Cibersegurança (ENISA) e estabelece um quadro de certificação da cibersegurança para produtos e serviços.
O quadro de certificação da cibersegurança da UE para os produtos de TIC permite a criação de sistemas de certificação da UE adaptados e baseados no risco.
A Diretiva SRI2 é a legislação da UE em matéria de cibersegurança. Prevê medidas jurídicas para aumentar o nível global de cibersegurança na UE.