A Lei da Cibersegurança, ou Cybersecurity Act, foi proposta em 2017 mas precisava de um acordo entre o Parlamento, o Conselho Europeu e a Comissão Europeia para poder implementar as medidas que foram negociadas entre os três órgãos da União Europeia. O acordo foi fechado esta noite e reforça o mandato da Agência de segurança, a ENISA, garantindo mais recursos, estabelecendo também um quadro de referência que pretende ajudar os Estados membros a responder mais eficazmente aos ataques, melhorando a cooperação e coordenação entre os vários países e instituições.

Europa reforça iniciativas em redor da cibersegurança
Europa reforça iniciativas em redor da cibersegurança
Ver artigo

Há ainda conceitos inovadores, contemplando o desafio de melhorar a segurança de produtos e serviços logo na fase inicial de desenvolvimento, sobretudo nos relacionados com a Internet das Coisas, e um sistema de certificação com um balcão único para facilitar o processo e reduzir custos.

A ENISA tinha um mandato mais limitado e quer tinha data limite fixada em 2020, mas a agência fica agora com um papel mais abrangente na cibersegurança, com responsabilidades ao nível da preparação e capacitação das entidades. A agência vai funcionar também como centro independente de especialização para sensibilização dos cidadãos e das empresas, ajudando as instituições da UE e os Estados membros a desenvolver e implementar políticas de cibersegurança.

Ataques como o do Wannacry e NotPetya funcionaram como alarmes, mostrando que o estado de preparação da União Europeia e dos Estados membros estava longe do desejável e levando os decisores a avançar com medidas mais estruturadas, e melhores sistemas de coordenação já que este tipo de ameaças são globais e exigem respostas concertadas.

Confiança e segurança no ciberespaço: mais de 50 estados assinaram acordo em Paris
Confiança e segurança no ciberespaço: mais de 50 estados assinaram acordo em Paris
Ver artigo

Com a Lei da Cibersegurança é também criada uma estrutura para a certificação de produtos, processos e serviços. Estes Certificados Europeus de Cibersegurança vão ser válidos em toda a UE e têm conceitos de integração de recursos de segurança logo nos estágios iniciais de desenvolvimento. Estão ainda previstos mecanismos de verificação por parte dos utilizadores e validação independente.

A confiança dos cidadãos nos produtos e serviços é vista como uma necessidade crítica e por isso a legislação tem um foco importante na certificação mas também na validação. Para facilitar o processo de certificação está prevista a criação de um balcão único, que pretende simplificar o processo para as pequenas e médias empresas e reduzir custos.

Depois do acordo político de ontem é ainda necessário a aprovação formal do novo regulamento no Parlamento Europeu e no Conselho da União Europeia. Só depois da publicação no Jornal Oficial da UE o Cybersecurity Act entra oficialmente em vigor, de forma imediata, permitindo a criação dos sistemas de certificação europeus e a restruturação da ENISA.

Recorde-se que a Comissão Europeia propôs também este ano a criação de um Centro Europeu de Tecnologia, Tecnologia e Investigação de Cibersegurança e uma rede de Centros de Competências de Cibersegurança para melhor coordenar o financiamento disponível para a cibersegurança. cooperação, investigação e inovação.