“A Comissão apresentou hoje uma proposta para uma nova Lei de Ciber-Resiliência para proteger consumidores e empresas de produtos com características de segurança inadequadas”, sendo esta “uma primeira legislação deste tipo em toda a UE [que] introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais, ao longo de todo o seu ciclo de vida”, anuncia o executivo comunitário em comunicado.

Após ter sido delineada uma estratégia de cibersegurança há um ano pelo executivo comunitário, a nova legislação visa garantir que “os produtos digitais, tais como produtos e ‘software’ sem fios e com fios, sejam mais seguros para os consumidores em toda a UE”.

Em concreto, “além de aumentar a responsabilidade dos fabricantes, obrigando-os a fornecer suporte de segurança e atualizações de ‘software’ para lidar com as vulnerabilidades identificadas, permitirá aos consumidores ter informação suficiente sobre a segurança cibernética dos produtos que compram e utilizam”, adianta Bruxelas.

O regulamento proposto aplica-se a todos os produtos que estejam ligados direta ou indiretamente a outro dispositivo ou rede, embora estejam previstas algumas exceções para produtos com requisitos de cibersegurança já estabelecidos nas regras existentes da UE, por exemplo, relativamente a dispositivos médicos, aviação ou automóveis. As aplicações móveis e os videojogos estão também abrangidos, de acordo com a instituição.

A proposta inclui, especificamente, regras para garantir a cibersegurança de produtos com elementos digitais; a definição de elementos essenciais de design, desenvolvimento e conceção de produtos e de obrigações dos operadores económicos em relação a esses produtos.

São também definidos requisitos em relação à gestão de vulnerabilidades por parte dos fabricantes. Obrigações a cumprir durante todo o ciclo de vida dos produtos e obrigações de comunicação de vulnerabilidades conhecidas ou incidentes.

Previsto na legislação está ainda que, “para assegurar a aplicação efetiva das obrigações estabelecidas na presente lei, […] cada autoridade de fiscalização do mercado deve ter o poder de impor ou solicitar a imposição de multas administrativas”.

Em caso de incumprimento dos requisitos essenciais de cibersegurança, estão em causa multas de até 15 milhões de euros ou, se o infrator for uma empresa, de até 2,5% do seu volume de negócios anual total ao nível mundial referente ao exercício financeiro anterior.

Por seu lado, o não cumprimento de quaisquer outras obrigações ao abrigo do presente regulamento ficará sujeito a multas administrativas de até 10 milhões de euros ou, se o infrator for uma empresa, até 2% do seu volume de negócios anual.

Já o fornecimento de informações incorretas, incompletas ou enganosas aos organismos notificados e às autoridades de fiscalização do mercado, em resposta a um pedido, fica sujeito a multas de até cinco milhões de euros ou, se o infrator for uma empresa, até 1% do seu volume de negócios anual, segundo o regulamento proposto.

Caberá agora ao Parlamento Europeu e ao Conselho deliberar sobre a proposta de Lei de Resiliência Cibernética, destacando Bruxelas “a boa vontade” dos colegisladores e esperando que esta iniciativa avance rapidamente.

Após a entrada em vigor, os visados terão 24 meses para se adaptarem aos novos requisitos, com exceção de um período de carência mais limitado de 12 meses em relação à obrigação de apresentação de relatórios por parte dos fabricantes.

Dados do Centro Comum de Investigação da Comissão Europeia, referentes a 2021, revelam que os ataques de ransomware atingem uma organização a cada 11 segundos em todo o mundo e têm um custo anual global estimado do cibercrime a atingir 5,5 biliões de euros.

Estima-se também que os custos anuais das violações de dados ascendam a pelo menos 10 mil milhões de euros, enquanto os custos anuais das tentativas maliciosas de perturbação do tráfego na internet são calculados em pelo menos 65 mil milhões de euros.

O Cyber Resilience Act já tinha sido anunciado por Ursula von der Leyen, em setembro do ano passado. A medida é parte da estratégia europeia para a cibersegurança, onde cabe outra legislação já aprovada, como a diretiva NIS 2 ou a diretiva para equipamentos rádio.

"Merecemos sentir-nos seguros com os produtos que compramos no mercado único”, defende Margrethe Vestager. “Tal como podemos confiar num brinquedo ou num frigorífico com marcação CE, o Cyber Resilience Act vai garantir que os equipamentos e o software que compramos obedecem a fortes salvaguardas de cibersegurança. Colocará a responsabilidade onde ela pertence, com aqueles que colocam os produtos no mercado", acrescenta a vice-presidente da Comissão Europeia.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.