Comissão Europeia aprova novo Regulamento da Ciber-resiliência

Publicado em por

Comissão Europeia aprova novo Regulamento da Ciber-resiliência

No mundo da tecnologia não basta ter dispositivos protegidos com as mais recentes novidades no mercado a nível de hardware. O software é também um ponto importante a manter em conta, e infelizmente, muitas vezes os produtos acabam por não receber as atualizações necessárias durante o seu período de vida.

A pensar nisso, a Comissão Europeia apresentou uma proposta em Setembro de 2022, conhecida como “Cyber Resilience Act”. Esta nova proposta estabelece regras que os fabricantes de produtos devem aplicar para manterem os seus dispositivos, seja a nível de hardware ou software, atualizados.

Com esta proposta, os fabricantes devem avaliar os riscos de cibersegurança dos seus produtos, e fornecer as respetivas certificações e declarações de conformidade para diversos parâmetros, o que inclui fornecerem atualizações regulares durante o período de vida estimado para os mesmos – de pelo menos cinco anos.

A lei estipula ainda que os fabricantes devem ser mais transparentes na forma como fornecem segurança para os seus dispositivos, a nível de hardware e software, para os consumidores em geral e as entidades que possam vir a comprar os mesmos.

Ao mesmo tempo, a lei também se aplica a produtos que sejam importados de outros países, onde as entidades que o realizam devem certificar-se que todos os produtos estão dentro dos conformes da legislação Europeia.

“Os dispositivos conectados necessitam de um nível básico de cibersegurança quando são vendidos na UE, garantindo que as empresas e os consumidores estão devidamente protegidos contra as ciberameaças”, afirmou Jose Luis Escriva, ministro espanhol da transformação digital, em comunicado.

No entanto, esta nova legislação também tem vindo a ser alvo de duras críticas, em parte porque estipula regras bastante apertadas a nível de cibersegurança, que alguns consideram que podem prejudicar certas entidades – sobretudo a nível de projetos open source e derivados.

Entre algumas das medidas vistas como intimidantes encontra-se o facto que as entidades necessitam, sobre a nova legislação, de reportar falhas ativamente exploradas nos seus sistemas em menos de 24 horas, e devem ainda ser criadas documentações detalhadas sobre todos os sistemas de segurança implementados.

A nova legislação certamente que se encontra focada em melhorar a cibersegurança em geral dos produtos no mercado. No entanto, também eleva preocupações de alguns grupos, sobretudo a nível de software open source, que normalmente são geridos apenas por um pequeno grupo de utilizadores – por vezes até apenas uma pessoa – apesar da sua importância para outros produtos de maior porte que possam usar os mesmos.

A mais recente versão da proposta tenta dissipar alguns destes problemas, indicando que “Para não prejudicar a inovação ou a investigação, o software livre e de fonte aberta desenvolvido ou fornecido fora do âmbito de uma atividade comercial não deve ser abrangido pelo presente regulamento”, embora ainda não resolva todas as questões que se encontram pendentes sobre este grupo.