A Lei de Resiliência Cibernética é finalmente adotada
Como resultado da minha participação anterior e de Rob no Projeto DOSStive a oportunidade de prestar atenção à questão cada vez mais crítica da «vigilância do mercado da cibersegurança», no que diz respeito aos componentes eletrónicos importados de fora da UE e, de forma mais ampla, à cibersegurança dessas cadeias de abastecimento.
Um objetivo do DOSS projeto é o desenvolvimento de um descritor de segurança abrangente para dispositivos IoT – o “Passaporte de Segurança do Dispositivo” – que encontrará uma aplicação óbvia agora que o Lei de Resiliência Cibernética (CRA) é finalmente adotado. Na sexta-feira, 11 de outubro, o texto recebeu a aprovação last pelo Conselho da versão substancialmente reforçada adoptada pelo Parlamento Europeu.
O contexto mais amplo é a agenda de longa knowledge da UE para digitalizar (todas as partes da) economia da UE. A última iteração desta agenda, a ‘Década Digital‘ abrange a década precise até 2030 e já produziu múltiplas leis em diferentes domínios políticos. O impacto whole só será sentido nos próximos 3 a 5 anos, quando a maioria delas entrar em vigor. No seu conjunto, estas novas leis estão a preparar o terreno para uma forma de governação pós-2030 fortemente digitalizada para a UE. O resultado esperado é um conjunto de serviços digitais «sempre ativos», construídos sobre uma densa camada de sistemas interoperáveis, dados, processos automatizados e infraestruturas digitais.
Uma maior digitalização implica uma maior exposição ao cibercrime. Durante o mesmo período, foram adotadas diversas leis para completar o quadro que aborda a segurança cibernética, incluindo a Lei da Cibersegurança (2019), a Diretiva NIS2 (2022) e, mais recentemente, a Lei da Resiliência Cibernética.
Em 2022, procurando uma melhor forma de compreender o quadro completo, decidi produzir um mapeamento visible da componente de digitalização das agendas políticas da UE por área política.
O resultado completo é visível aqui.
O que este mapeamento revelou do panorama geral, abrangendo todos os domínios políticos da UE, poderia ser resumido como o digitalização de três grandes fluxos: pessoas, dinheiro e bens.
A livre circulação de mercadorias é um dos três pilares do Mercado Único da UE. O princípio consiste num conjunto único de regras, aplicadas uniformemente em toda a UE (& EEE*) aos produtos que são colocados e permanecem disponíveis no mercado.
Os critérios aplicáveis são estabelecidos pela legislação específica do produto que outline a lista de «requisitos essenciais‘os produtos abrangidos devem atender para obter aprovação. Originalmente denominadas «requisitos essenciais de segurança», as listas de critérios aplicáveis foram alargadas para incluir os estabelecidos na legislação horizontal (por exemplo, ambiente ou desempenho energético). ‘Vigilância do Mercado’ é o conjunto de processos e órgãos envolvidos para garantir que os produtos cumpram os requisitos essenciais que lhes são aplicáveis, antes e durante a sua colocação no mercado. A digitalização destas etapas e funções importantes, mas burocráticas, não é nova. Mas as informações são coletadas em sistemas separados, separados por finalidade, categoria de produto e/ou geografia.
Para a fase precise, o esforço para “digitalizar” ainda mais estes processos tem mais a ver com permitir o acesso atempado a dados relevantes através desses diferentes sistemas por parte das autoridades relevantes, eliminando barreiras legais e técnicas. Visa também simplificar ainda mais os procedimentos exigidos aos produtores através da aplicação sistemática de o princípio da única vez. A necessidade disto surgiu do crescente quantity de bens não alimentares adquiridos em plataformas digitais que contornam ilegalmente o escrutínio estabelecido de “vigilância do mercado” e as etapas de verificação da conformidade. O objetivo last é um sistema de rastreamento digital que documente a conformidade, acompanhando de perto o próprio produto particular person, desde a concepção até o descomissionamento.
A IoT e outros produtos conectados e software program relacionado são os principais candidatos para esse acompanhamento regulatório ao longo de seu ciclo de vida. É difícil imaginar uma indústria mais adequada para implementar uma abordagem de “rastreamento digital” para fiscalização do mercadodo que a própria indústria que produz a parte central de qualquer sistema de rastreamento digital. Além disso, como um evento recente dramaticamente ilustrado, os riscos induzidos pelo acesso remoto malicioso e pela adulteração das cadeias de abastecimento persistem muito para além do ponto de compra, com consequências potencialmente letais.
Nos últimos anos, foram acrescentados requisitos relevantes em matéria de cibersegurança à lista aplicável a produtos específicos em que o risco de cibersegurança tinha uma relação direta com riscos de segurança (por exemplo, determinados dispositivos médicos). Mas, até agora, não existia um conjunto abrangente de «requisitos essenciais» que abordassem a segurança cibernética de forma suficientemente ampla para serem aplicados à gama crescente de produtos e aplicações conectados e abrangendo todo o ciclo de vida do produto/componente.
A Lei da Cibersegurança (2019) capacitou a ENISA para apoiar o desenvolvimento da certificação de cibersegurança. Mas esses regimes de certificação são voluntários e motivados pelas mudanças nas expectativas do lado da procura – o que é um dos efeitos pretendidos do SRI2. Ao abrigo da NIS2 – que entrará em vigor em 18 de outubro de 2024 – um proprietário/operador de sistema que não understand a devida diligência de segurança cibernética em componentes IoT que representem um risco para as suas operações, poderá enfrentar multas administrativas substanciais.
É aqui que a Lei de Resiliência Cibernética fará uma diferença actual.
Embora se concentre na cibersegurança, a Lei da Resiliência Cibernética é também parte integrante da legislação de «vigilância do mercado». Estabelece a segurança cibernética ‘requisitos essenciais’ aplicando-se a produtos com elementos digitais.
O texto last é extenso e mais abrangente do que normalmente seria o caso da legislação de “fiscalização do mercado”. Considera explicitamente os efeitos indiretos e de segundo nível das decisões que autoriza as autoridades a tomar. Também faz referências explícitas à “segurança pública” como razão legítima para agir em casos específicos.
O âmbito é inevitavelmente amplo e inclui componentes (ver secção de definições do texto). Categoriza os produtos por nível de risco, uma característica comum das leis de fiscalização do mercado.
Prevê uma série de atos de execução e de habilitação, bem como potenciais novas normas que se tornem plenamente implementáveis. O seu pleno efeito, incluindo grandes multas potenciais por incumprimento, só será sentido a partir de 2028. A adoção da CRA poderá desencadear efeitos em cascata interessantes na reforma aduaneira da UE. Mas isso fica para um episódio posterior.
Qualquer pessoa atenta às implicações práticas deve começar a lê-lo a partir dos anexos onde os escopos e requisitos do produto estão claramente definidos. Até à sua publicação oficial, o texto mais recente está disponível aqui.
Gaelle Le Gars. Contate-a em gaellelegars em theinternetofthings.eu