Ciber-Resiliência: cibersegurança para produtos digitais e serviços auxiliares

Na terceira semana de Setembro deverá ser conhecida uma proposta legislativa da Comissão Europeia dedicada à ciber-resiliência, uma iniciativa que visa dar resposta às necessidades do mercado e proteger os consumidores de produtos inseguros, introduzindo regras comuns em matéria de cibersegurança para os fabricantes e vendedores de produtos digitais materiais e imateriais e de serviços auxiliares.

Os objetivos da iniciativa dividem-se em três categorias principais:
• reforçar e assegurar um nível sistematicamente elevado de cibersegurança para os produtos digitais e os serviços auxiliares. Mais especificamente, garantir a segurança de série de produtos deste tipo e de serviços conexos ao longo de todo o seu ciclo de vida de uma forma proporcional aos riscos inerentes;
• permitir aos utilizadores escolherem o nível de segurança desses produtos em função das suas necessidades, nomeadamente reforçando a transparência das características em matéria de cibersegurança. Tal protegeria os utilizadores contra produtos digitais e serviços auxiliares não seguros e incentivaria os fornecedores a oferecerem produtos mais seguros, reforçando assim a confiança no mercado único digital;
• melhorar o funcionamento do mercado interno criando condições de concorrência equitativas para os fornecedores de produtos digitais e de serviços auxiliares.
Além de requisitos essenciais em matéria de cibersegurança, esta iniciativa deverá impor obrigações aos operadores económicos e introduzir disposições relativas à avaliação da conformidade, à comunicação de informações aos organismos de avaliação da conformidade e à fiscalização do mercado.

Recorde-se que, no seu discurso sobre o estado da União de 2021, a presidente da Comissão Europeia, Ursula von der Leyen, sublinhou que a UE deveria procurar estar na vanguarda no domínio da cibersegurança, tendo anunciado, nesse contexto, nova legislação europeia sobre a ciber-resiliência que viria complementar o quadro de referência existente em matéria de cibersegurança, em especial o constante da Diretiva relativa à segurança das redes e da informação (2016/1148) e do Regulamento relativo à Cibersegurança (2019/881).

Na prática, os requisitos essenciais em matéria de cibersegurança – quer estejam totalmente regulamentados num ato legislativo de grande alcance («horizontal»), quer em medidas ad hoc – traduzir-se-ão em normas harmonizadas específicas para as diferentes categorias de produtos.

O quadro jurídico da União Europeia atualmente aplicável aos produtos digitais inclui vários atos legislativos, como a legislação da UE sobre produtos específicos respeitante aos aspetos ligados à segurança e a legislação geral em matéria de responsabilidade pelos produtos.

No entanto, a legislação em vigor cobre apenas determinados aspetos relativos à cibersegurança dos produtos digitais corpóreos e, se for caso disso, do software incorporado relativo a esses produtos.

O quadro normativo da UE em matéria de produtos (como, por exemplo, a Diretiva Segurança Geral dos Produtos – 2001/95/CE – e a Diretiva Máquinas – 2006/42/CE, ambas atualmente objeto de revisão) não contempla requisitos específicos de cibersegurança relativos, nomeadamente, ao ciclo de vida completo de um produto. No entanto, a fixação de requisitos relativos à totalidade dos ciclos de vida é considerada essencial uma vez que os softwares conhecem necessidades de atualização regulares.

Este quadro não abrange a totalidade dos tipos de produtos digitais. Em especial, não abrange todos os tipos de equipamento informático amplamente utilizados (por exemplo, equipamento informático não contemplado pela Diretiva Equipamentos de Rádio ou pelo Regulamento Dispositivos Médicos) e também não contempla os produtos de software não incorporados, apesar de as vulnerabilidades desses produtos servirem cada vez mais de porta de entrada para os ciberataques.

Para a Comissão, muitas vezes os vendedores (por exemplo, fabricantes de equipamento informático, criadores de software, distribuidores e importadores) não aplicam salvaguardas de cibersegurança adequadas e, do mesmo modo, a resposta dos fornecedores às vulnerabilidades existentes ao longo do ciclo de vida dos produtos também é inadequada. Estes, por falta de incentivos económicos, não fornecem sistematicamente informações sobre a segurança, o que faz com que seja mais difícil para os consumidores informaram-se e avaliarem-na.

Segundo a Comissão, a introdução de requisitos horizontais em matéria de cibersegurança para os produtos digitais e os serviços auxiliares permitiria melhor a cibersegurança para os consumidores e os utilizadores em toda a cadeia de abastecimento da UE e favorecer a seleção de bens e serviços mais seguros e de melhor qualidade. Tal reforçaria a confiança do público na economia digital, contribuindo para o crescimento económico e dos investimentos.

O reforço da cibersegurança dos produtos e serviços contribuiria também para limitar a perda de receitas
resultante dos ciberataques e reduzir as despesas consideráveis associadas à atenuação ad hoc das ameaças.

Um estudo preliminar encomendado pela Comissão em 2021 para avaliar a necessidade de adoção de
requisitos horizontais em matéria de cibersegurança para os produtos digitais indicou que os benefícios de uma intervenção regulamentar seriam superiores aos seus custos eventuais.

A introdução de um conjunto único de requisitos para um mesmo tipo de produtos a nível da UE, em vez de
várias regras nacionais potencialmente divergentes, permitiria reduzir os custos regulamentares (encargos
administrativos e custos de conformidade) e criar condições de concorrência equitativas para os vendedores, fomentando a concorrência e a inovação e estimulando a transição digital.

No entender da Comissão Europeia, a intervenção da UE em matéria de cibersegurança justifica-se pela natureza transfronteiriça dos riscos e das consequências negativas que uma abordagem fragmentada ou conduzida unicamente pelos Estados-Membros teria no mercado interno. Uma ação conjunta a nível da UE permitirá assegurar uma proteção mais eficaz contra os riscos em matéria de cibersegurança, acrescentaria valor acrescentado às políticas nacionais atuais e futuras e criaria igualmente condições de concorrência equitativas para os fornecedores de produtos digitais e de serviços auxiliares.

Se é certo que os produtos digitais e serviços auxiliares criam oportunidades para as economias e as sociedades da UE, também o é que originam novos problemas e desafios. Incidentes de cibersegurança podem perturbar grandemente as atividades económicas e sociais.

Num ambiente interligado, um incidente de cibersegurança num produto pode afetar toda uma organização ou toda uma cadeia de abastecimento, o que pode provocar perturbações graves das atividades económicas e sociais ou mesmo tornar-se uma ameaça para a vida das pessoas. A falta de segurança adequada dos produtos digitais e dos serviços auxiliares é uma das principais falhas que permitem os ataques informáticos.

A nível global, a elaboração destas normas de cibersegurança poderia contribuir para reforçar a liderança da UE em matéria de definição de normas para os produtos digitais e os serviços auxiliares, que poderiam servir de referências mundiais.

A nossa equipa está à sua disposição para mais informações.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analiticos	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Analíticos".
cookielawinfo-checkbox-funcionais	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Funcionais".
cookielawinfo-checkbox-necessarios	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies "Necessários".
cookielawinfo-checkbox-publicidade	1 ano	Colocado pelo plugin GDPR Cookie Consent para armazenar o consentimento do utilizador para cookies na categoria de cookies de "Publicidade".
CookieLawInfoConsent	1 ano	Guarda o estado predefinido do botão da categoria e estado de CCPA correspondentes. Funciona apenas em conjunto com a cookie primária.
PHPSESSID	sessão	Este cookie é nativo a aplicações PHP. O cookie é usado para guardar e identificar o ID da sessão exclusiva do utilizador, para gerir a sessão do utilizador no website. Este cookie é um cookie de sessão e é eliminado quando todas as janelas do navegador são fechadas.
viewed_cookie_policy	1 ano	Colocado pelo plugin GDPR Cookie Consent, guarda se o cookie banner foi apresentado e visualizado pelo utilizador.
wp-wpml_current_language	sessão	Cookie do plugin “WPML” que guarda a língua actual do website.

Cookie	Duração	Descrição
_ga	2 anos	Instalado pelo Google Analytics, calcula dados do visitante, sessão e de campanhas e monitoriza a utilização do website para o seu relatório analítico.
_gat_gtag_UA_4754890_23	1 minuto	Colocado pela Google a fim de distinguir utilizadores.
_gid	1 dia	Colocado pelo Google Analitics, o cookie _gid armazena informação sobre como é que os visitantes utilizam o website, enquanto também cria um relatório analítico da performance do website. Alguma da informação recolhida incluí o número de visitantes, a sua origem e as páginas que vistam anonimamente.

Ciber-Resiliência: cibersegurança para produtos digitais e serviços auxiliares

Related Content

Espaço Europeu de Dados de Saúde

Economia Circular II: Consumo sustentável – Reparação e reutilização

Defesa europeia: Estratégia industrial e Programa de investimento

IA Generativa: muito além do hype