Search
Search

UE propõe lei para cibersegurança no comércio de TICs

UE propõe lei para cibersegurança no comércio de TICs

There is nothing to show here!
Slider with alias none not found.

Data: 20/9/2022
Veículo: Tele.Síntese

Texto prevê multa no valor de até 2,5% do faturamento anual da empresa que estiver em desacordo com critérios de segurança. Se aprovada, será a primeira legislação do segmento.

A Comissão Europeia apresentou uma proposta de lei para cibersegurança no comércio com foco na proteção de consumidores, fabricantes e desenvolvedores de softwares, equipamentos de informática e telecomunicações. Caso o projeto avance, esta será a primeira legislação para este segmento a ser adotada por toda a União Europeia.

O texto, que vem sendo chamado de Lei de Resiliência Cibernética, exige a elaboração de uma “documentação técnica” antes do produto ser comercializado, contendo informações como processos de tratamento de vulnerabilidades e versões de software que afetem a conformidade com os requisitos essenciais. Este detalhamento será usado para comprovar que a fabricação está de acordo com a lei e deve ficar disponível para consulta e fiscalização por pelo menos dez anos após o lançamento no mercado.

O projeto também prevê que as instruções de segurança aos usuários sejam feitas de forma “compreensível, inteligível e legível”. Além disso, deve haver monitoramentos da segurança ao longo da vida útil recomendada do produto ou, caso este prazo não esteja especificado, por pelo menos cinco anos.

O descumprimento das regras de cibersegurança no comércio implica na aplicação de multa em valores que podem chegar a até 2,5% do faturamento anual global da empresa em desacordo – este percentual também pode ser de 1%, de forma cumulativa, se comprovado o envio de informações “incorretas, incompletas ou enganosas” a organismos de fiscalização.

CLASSIFICAÇÃO

A Comissão propõe um mecanismo de classificação do nível de “risco de segurança cibernética”, divididos em:

Classe I, de menor risco, incluindo:

  • Software de sistemas de gestão de identidade e de acessos privilegiados;
  • Navegadores autônomos e incorporados;
  • Gerenciadores de senhas;
  • Programa que monitora software malicioso;
  • Produtos com elementos digitais com função de rede privada virtual (VPN);
  • Sistemas de gestão de redes;
  • Ferramentas de gerenciamento de configuração de rede;
  • Sistemas de monitoramento de tráfego de rede;
  • Gestão de recursos de rede;
  • Sistemas de gerenciamento de informações e eventos de segurança (SIEM);
  • Gerenciamento de atualização/patch, incluindo gerenciadores de inicialização;
  • Sistemas de gerenciamento de configuração de aplicativos;
  • Software de acesso/compartilhamento remoto e
  • Interfaces de rede física;

Classe II, de maior risco, fazem parte:

  • Sistemas operacionais para servidores, desktops e dispositivos móveis;
  • Infraestrutura de chave pública e emissores de certificados digitais;
  • Microprocessadores de uso geral;
  • Roteadores, modems destinados à conexão com a internet e switches, destinados
    para uso industrial;
  • Módulos de Segurança de Hardware (HSMs);
  • Criptoprocessadores;
  • Leitores de smartcards e tokens;
  • Sistemas de Automação e Controle Industrial (IACS)
  • Dispositivos industriais de Internet das Coisas e
  • Componentes de sensores e atuadores de robôs e controladores de robôs.

Veja a lista completa neste link.

Se o produto for classificado como produto crítico da classe I, será exigido um relatório de avaliação da segurança cibernética feito pelo fabricante, em conformidade com o Regulamento (UE) 2019/881, já em vigor, ou ser submetido a uma avaliação por terceiro caso ele não possua. Já quanto aos itens Classe II, devem sempre envolver uma avaliação de fora da empresa.

FISCALIZAÇÃO DA CIBERSEGURANÇA NO COMÉRCIO

A proposta atribui a responsabilidade de fiscalização à Agência da União Europeia para a Cibersegurança (Enisa, na sigla em inglês). É a ela que os fabricantes devem notificar casos de vulnerabilidade.

“A notificação deve incluir detalhes sobre essa vulnerabilidade e, quando aplicável, quaisquer medidas corretivas ou mitigadoras tomadas”, prevê a lei.

Com base nas notificações recebidas, a Enisa deve preparar um relatório técnico bienal sobre as tendências emergentes em matéria de cibersegurança, que vai auxiliar o acompanhamento das medidas pela Comissão.

O texto, divulgado na última quinta-feira, 19, será analisado pelo Parlamento Europeu e o Conselho da UE. Se for aprovado, terá dois anos para entrar em vigor.

COMPARTILHE:
WhatsApp
Facebook
LinkedIn
E-mail
Imprimir
TÓPICOS:
Mais Lidas
Informe Abratel
Loading...
1 2 66

Abratel - Associação Brasileira de Rádio e Televisão

Atuamos na defesa da radiodifusão no Brasil e trabalhamos para a valorização e promoção do serviço de comunicação mais democrático do país.

Notícias Relacionadas