Em um mundo cada vez mais conectado, a resiliência cibernética tem sido vista como resposta aos muitos desafios e riscos derivados da digitalização. Estar preparado para prever ameaças, antecipar-se a elas e desenvolver um plano capaz de responder e se recuperar de eventos desafiadores é o que significa, na prática, a sua aplicação. Tanto que o assunto vem chamando a atenção de muitos reguladores no sentido de proteger interesses econômicos e comerciais.
Exemplo disso é a proposta adotada, no início de outubro de 2022, pela Comissão Europeia para a Lei de Resiliência Cibernética, um dos instrumentos regulatórios mais recentes no âmbito da União Europeia (UE) com o intuito de ampliar a segurança cibernética no bloco. Segundo a Comissão, a ideia é estabelecer regras comuns para salvaguardar produtos e serviços associados aos 27 países-membros.
Aliás, considerando que a UE sempre teve um papel influenciador global quando se trata de regulação – principalmente no setor financeiro -, servindo de inspiração para vários países, incluindo o Brasil, alguns especialistas creem que essa proposta para a Lei de Resiliência Cibernética poderá definir novos padrões globais nesta área.
Até porque, vale recordar que o trabalho da UE envolvendo essa questão já vem sendo desenvolvido há um bom tempo, estando, portanto, bem fundamentado. Para se ter uma ideia, teve início com a primeira Diretiva de Segurança de Redes e Informações, por meio da qual o bloco passou a última década legislando para cumprir os objetivos de sua estratégia de segurança cibernética. Mas afinal, o que estabelece a nova lei e que pontos podem motivar iniciativas similares em outros países? Confira!
O que prevê a Lei de Resiliência Cibernética europeia?
Apesar de várias leis existentes na UE cobrirem a segurança cibernética, elas se detêm a setores específicos, enquanto a Lei de Resiliência Cibernética chega de forma mais abrangente como “produtos com elementos digitais”. Dessa forma, argumenta a Comissão Europeia, é possível garantir que os padrões de segurança cibernética sejam aplicáveis a qualquer software ou hardware que possa estar sujeito a ataques em vetores digitais.
É importante destacar que isso inclui todos os dispositivos habilitados para Internet no contexto da Internet das Coisas (IoT) que foram, de certa forma, excluídos até então da estrutura legal da UE. Agora com a nova lei, a Comissão terá poderes para impor multas aos fabricantes de IoT que não cumprirem os padrões de segurança necessários e recolher ou proibir produtos não conformes.
Ao mesmo tempo, a Lei de Resiliência Cibernética também obriga que sejam relatadas à Agência da União Europeia para Segurança Cibernética (ENISA, na sigla em inglês) qualquer vulnerabilidade explorada ativamente, bem como qualquer incidente que afete a segurança de um produto. O prazo será de até 24 horas após o conhecimento do fato.
Por fim, de acordo com a proposta, a Lei de Resiliência Cibernética exigirá ainda que as autoridades de fiscalização do mercado sejam designadas ou criadas em cada país-membro da UE. Essas autoridades nacionais terão como responsabilidade a aplicação a nível doméstico e cooperarão com a ENISA e o Conselho Europeu de Proteção de Dados.
Principais objetivos da nova regulação
De acordo com a Comissão Europeia, a Lei de Resiliência Cibernética tem como principais objetivos:
- Garantir que os fabricantes melhorem a segurança dos produtos com elementos digitais desde a fase de projeto e desenvolvimento, assim como ao longo de todo o ciclo de vida do bem;
- Assegurar uma estrutura de segurança cibernética coerente, facilitando a conformidade para produtores de hardware e software;
- Aumentar a transparência das propriedades de segurança de produtos com elementos digitais; e
- Permitir que empresas e consumidores usem produtos com elementos digitais de forma segura e que levem em conta a cibersegurança ao selecionar e utilizar tais produtos.
Prováveis desdobramentos da Lei de Resiliência Cibernética
Ao obrigar fabricantes e desenvolvedores a realizar e relatar ativamente avaliações de conformidade, a Lei de Resiliência Cibernética europeia provavelmente resultará em custos significativos para algumas empresas, apontam alguns analistas de mercado.
De acordo com eles, essa obrigação aumentará a carga crescente sobre as empresas de notificar as autoridades sobre diferentes tipos de incidentes – incluindo violações de dados pessoais e incidentes cibernéticos.
De modo que, assim como a Lei Geral de Proteção de Dados da UE acabou criando áreas voltadas exclusivamente para a conformidade e proteção de dados dentro das organizações, as exigências no âmbito da Lei de Resiliência Cibernética provavelmente também irão gerar reformulações no campo de trabalho da segurança cibernética como um todo. Especialmente no caso das grandes empresas, incluindo gigantes internacionais de tecnologia.
Veja ainda:
Internet das coisas eleva preocupação com segurança cibernética
Identidade digital: veja as tendências para uma das principais apostas da segurança cibernética
Tecnologia financeira mira segurança à medida que ameaças cibernéticas crescem
Segurança de dados: o que é e como ela impacta a experiência do usuário
Fraudes: como evitar através da segurança de autenticação
