IoT

Por que é importante e conformidade

novembro 11, 2024
José Peixoto Vieira Filho


Por que é importante e conformidade

O mundo digital está cada vez mais conectado à medida que a proeminência dos dispositivos IoT continua a crescer exponencialmente. Tudo, desde dispositivos domésticos inteligentes até infraestruturas críticas, está on-line, tornando a segurança cibernética uma prioridade world para a segurança das pessoas e da infraestrutura internacional.

O número crescente de dispositivos conectados acarreta um custo vertiginoso do crime cibernético. As estimativas atuais prevêem que o custo do crime cibernético excederá 20 trilhões de dólares até 2026que é 150 por cento maior do que o valor de 2022.

Para combater as ameaças cibernéticas atuais, a União Europeia (UE) introduziu a Lei de Resiliência Cibernética (CRA) — uma extensa peça legislativa que visa reforçar a segurança cibernética de produtos com elementos digitais (PDEs) vendidos na UE.

A Lei de Resiliência Cibernética abrange uma ampla gama de PDEs, com requisitos de conformidade multifacetados e extensas penalidades legais e financeiras. Garantir a conformidade será essential para o sucesso dos fabricantes em todo o mundo à medida que o CRA começar a entrar em vigor.

O que é a Lei de Resiliência Cibernética da UE (CRA)?

O Parlamento Europeu aprovou a Lei da UE sobre Resiliência Cibernética em março de 2024 e promulgou-a em outubro de 2024, implementando mandatos de elaboração de relatórios. Até 2027, após 36 meses de relatórios obrigatórios, a CRA estará em pleno vigor em toda a União Europeia.

O CRA estabelece requisitos consistentes de segurança cibernética para PDEs, incluindo produtos de hardware-software e somente software program, garantindo a segurança durante todo o ciclo de vida.

O CRA tem um impacto amplo em todos os produtos digitais na UE, exceto em setores como o médico, militar, automóvel, aviação e marítimo.

Os principais objetivos da CRA são reduzir as vulnerabilidades nos produtos digitais, minimizar o risco de ataques cibernéticos e garantir um elevado nível de segurança cibernética para todos os produtos no mercado.

O não cumprimento da CRA pode levar a penalidades significativas de até 15 milhões de euros ou 2,5% do quantity de negócios (receita) world de uma empresa, o que for maior. O CRA proíbe efetivamente produtos não conformes das vendas na UE e pode revogar a sua marca CE exigida.

Por que a Lei de Resiliência Cibernética é importante?

A CRA responde diretamente à preocupação crescente da UE com a segurança cibernética. O número crescente de dispositivos conectados – desde dispositivos de consumo até sistemas de controle industrial – tornou o cenário mais vulnerável a ataques cibernéticos.

O CRA visa preencher lacunas na precise segurança cibernética estruturas e práticas, garantindo que os produtos sejam seguros desde o design, divulguem totalmente as dependências de software program e possam ser redefinidos para a configuração padrão segura, conforme necessário.

A Lei de Resiliência Cibernética da UE garante que a segurança é parte integrante do desenvolvimento, abrangendo uma vasta gama de produtos e indústrias.

Ao impor normas mais rigorosas e ao expandir a responsabilização, a UE protege proativamente os cidadãos, as empresas e as infraestruturas críticas do cenário de ameaças cibernéticas em constante evolução.

O CRA se aplica a você?

Se a sua empresa desenvolve, fabrica ou distribui produtos com elementos digitais na UE, o CRA provavelmente se aplica. O CRA se aplica a quaisquer novos produtos com elementos digitais (PDE) que se conectem direta ou indiretamente a um dispositivo ou rede, incluindo:

  • Dispositivos domésticos inteligentes (por exemplo, câmeras de segurança, fechaduras inteligentes, eletrodomésticos)
  • Software program VPN
  • Programas antivírus
  • Sistemas operacionais
  • Firewalls e sistemas de prevenção de intrusões

Além dos PDEs genéricos, o CRA categoriza “produtos de segurança cibernética e gerenciamento de rede” em Classe I e Classe II, enfrentando requisitos mais rígidos. Se seus produtos atendem a funções essenciais de segurança cibernética, você provavelmente está em uma dessas lessons e deverá aderir a medidas de conformidade aprimoradas.

Produtos somente de software program sob o CRA

A Lei de Resiliência Cibernética da UE inclui produtos somente de software program sob PDEs, categorizando muitos como classe I ou II com base na finalidade.

  • Sistemas Operacionais: O CRA exige que plataformas como Linux, que gerenciam recursos de {hardware} e sistema, incorporem fortes medidas de segurança.
  • Ferramentas antivírus e de segurança: Como defesas críticas contra malware e outras ameaças, o software program antivírus deve atender aos rigorosos padrões CRA para garantir a proteção eficaz dos ambientes digitais.
  • VPN: O CRA cobre totalmente VPNs, garantindo que criptografem conexões e protejam os dados do usuário com os mais altos padrões de segurança.

E quanto ao software program gratuito e de código aberto (FOSS)?

Uma pergunta comum diz respeito ao software program livre e de código aberto (FOSS). Por natureza, o FOSS não se enquadra nas regulamentações do CRA, a menos que faça parte de uma atividade comercial. Por exemplo, se o software program de código aberto for utilizado num produto com fins lucrativos ou monetizado, está sujeito ao CRA. Mesmo que o software program esteja disponível gratuitamente, integrá-lo a um produto comercial coloca-o sob a alçada da lei.

CRA: Principais requisitos de conformidade

A Lei de Resiliência Cibernética impõe padrões rigorosos para garantir a segurança cibernética desde o desenvolvimento de um produto até os estágios de fim de vida. Para cumprir os padrões, um PDE deve considerar a segurança cibernética durante todo o ciclo de vida, e o fabricante deve levar diversas considerações.

Os requisitos visam reforçar a segurança e são fortemente penalizados para garantir a conformidade:

  1. Seguro por design: Os produtos devem ser desenvolvidos tendo a segurança como preocupação principal, incluindo configurações que minimizem vulnerabilidades.
  2. Lista de materiais de software program (SBOM): Os fabricantes devem manter um SBOM, uma lista detalhada dos componentes de software program usados ​​em um produto, para facilitar a identificação e resolução de vulnerabilidades.
  3. Gerenciamento de vulnerabilidades: Os fabricantes devem testar e avaliar continuamente seus produtos em busca de vulnerabilidades. Os fabricantes devem corrigir rapidamente as vulnerabilidades e fornecer atualizações seguras, de preferência por meio de mecanismos automáticos de aceitação.
  4. Transparência e divulgação: Os fabricantes devem divulgar vulnerabilidades corrigidas ao público, garantindo que os usuários sejam informados e possam tomar medidas.
  5. Penalidades por descumprimento: Os fabricantes que não cumprirem os requisitos do CRA enfrentam multas pesadas e a perda potencial de seus Certificação CEo que significa que os seus produtos já não podem ser vendidos na UE.

Como se preparar para a conformidade com a Lei de Resiliência Cibernética da UE

Os fabricantes devem agir agora para garantir a conformidade com a CRA antes que esta entre em vigor. A legislação exige a navegação por etapas e considerações abrangentes, sendo os principais preparativos:

  1. Notice uma avaliação de risco: Avalie seus produtos atuais para entender se e como o CRA se aplica. Considere o seu nível de risco, especialmente se se enquadrarem na Classe I ou II.
  2. Crie segurança no processo de desenvolvimento: Adote um segurança por design abordagem, onde as considerações de segurança são incorporadas desde o início, em vez de serem adicionadas posteriormente.
  3. Manter um SBOM: crie e atualize uma lista detalhada dos componentes de software program do seu produto. Certifique-se de que essas informações sejam legíveis por máquina, fáceis de localizar e prontas para serem compartilhadas com as partes interessadas, se necessário.
  4. Plano de gerenciamento de vulnerabilidades: Desenvolva um processo robusto para identificar, corrigir e divulgar vulnerabilidades em seu produto. O processo deve incluir planos para a emissão rápida e eficiente de atualizações seguras de software program com comunicação ou controle (aceitação) do usuário.
  5. Habilite recursos OTA abrangentes: Implemente um sistema robusto de atualização over-the-air para garantir patches consistentes e oportunos para conformidade contínua.
  6. Colabore com especialistas: Os requisitos complexos do CRA tornam essencial trabalhar com especialistas em segurança cibernética e conformidade authorized e regulatória.

A Lei de Resiliência Cibernética exige segurança para produtos conectados para combater as crescentes ameaças cibernéticas. Ele garante que os fabricantes priorizem a segurança durante todo o ciclo de vida do produto.

Para as empresas na UE, a conformidade com a CRA é essencial – não apenas legalmente, mas para se manterem competitivas num mercado regulamentado.

A CRA tem algumas das maiores penalidades monetárias e o escopo de todas as regulamentações de segurança, e todos os dados coletados estarão totalmente sujeitos a revisão até 2027. Os fabricantes devem agir agora para garantir que os produtos atendam aos padrões da CRA e evitar as consequências dispendiosas da não conformidade.

Incorporar a segurança cibernética e garantir a conformidade com CRA ajuda a mitigar riscos e proporciona uma vantagem competitiva com produtos seguros e resilientes.



Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *