O Parlamento Europeu e o Conselho da União Europeia chegaram a um acordo sobre o Cyber Resilience Act, o novo regulamento de ciber-resiliência proposto pela Comissão Europeia em 2022 e que traz obrigações de cibersegurança para os produtos com características digitais.

Em comunicado, o Parlamento Europeu realça que o regulamento tem como objetivo garantir que estes produtos são seguros para utilizar e que é disponibilizada informação suficiente sobre as suas propriedades de segurança.

Através do Cyber Resilience Act são introduzidos novos requerimentos de cibersegurança para o design, desenvolvimento, produção e disponibilidade dos produtos, que incluem hardware e software, que estão conectados seja direta ou indiretamente a outros dispositivos ou a uma rede, complementa o Conselho da UE.

Permitir que as pessoas tenham em mente a cibersegurança quando escolhem e usam produtos que contêm elementos digitais, facilitando a identificação de hardware e software com características de segurança adequadas, é outro dos objetivos do Cyber Resilience Act.

O regulamento estabelece que os produtos serão colocados em diferentes listas, tendo em conta o nível de risco de cibersegurança que apresentam e o quão críticos são. As listas serão propostas e atualizadas pela Comissão Europeia, avança o Parlamento Europeu.

Entre os aspectos da proposta original que se mantêm incluem-se a implementação de regras de responsabilidade para as fabricantes, que têm de cumprir obrigações como análises ao risco de cibersegurança, declarações de conformidade e cooperação com as autoridades competentes.

Bruxelas tem novas regras de cibersegurança. Multas até 15 milhões de euros para infratores
Bruxelas tem novas regras de cibersegurança. Multas até 15 milhões de euros para infratores
Ver artigo

Nesta categoria incluem-se também requisitos em relação à gestão de vulnerabilidades por parte dos fabricantes, além de obrigações para os operadores económicos, como importadores ou distribuidores, e medidas para melhorar a transparência.

A lista de produtos visados pelo regulamento foi expandida, passando a incluir sistemas de gestão de identidade, gestores de passwords, leitores biométricos, assistentes inteligentes para o lar e câmaras de segurança. Os produtos que fazem parte da lista devem ter atualizações de segurança automáticas, separadas das atualizações das funcionalidades.

Há também mudanças em questões como a determinação do período de vida útil por parte dos fabricantes, que, exceptuando casos em que os produtos são concebidos para serem usados por um período mais curto, devem disponibilizar suporte por, pelo menos, cinco anos. 

As novas regras serão aplicadas três anos depois da entrada em vigor do regulamento, para dar tempo às fabricantes para se adaptarem aos requerimentos. Para completar o processo legislativo, a proposta do Cyber Resilience Act terá de ser adotada formalmente pelo Parlamento Europeu e pelo Conselho da UE.

Recorde-se que, de acordo com a proposta da Comissão Europeia, o regulamento prevê também multas administrativas, que podem ser impostas ou solicitadas pelas autoridades de fiscalização do mercado, para assegurar a aplicação das obrigações.

Caso não sejam cumpridos os requisitos essenciais, podem ser impostas multas de até 15 milhões de euros. No caso das empresas, as multas podem ir até 2,5% do seu volume de negócios anual total a nível mundial.

O incumprimento de outras obrigações do Cyber Resilience Act pode resultar em multas até 10 milhões de euros e, no caso das empresas, de até 2% do seu volume de negócios anual. O fornecimento de informação incorreta, incompleta ou enganosa em resposta a um pedido fica também sujeito a multas de até cinco milhões de euros. Para as empresas, as multas relativas a estes casos podem ir até 1% do seu volume de negócios anual.

Nota de redação: A notícia foi atualizada com mais informação. (Última atualização: 10h28)