A UE apresenta seu plano para segurança de dispositivos inteligentes

Os legisladores da União Européia propuseram um novo conjunto de regras de produtos a serem aplicadas a dispositivos inteligentes com o objetivo de obrigar os fabricantes de hardware conectado à Internet - como máquinas de lavar "inteligentes" ou brinquedos conectados - a prestar atenção total à segurança do dispositivo.

A proposta de Lei de Resiliência Cibernética da UE introduzirá requisitos obrigatórios de segurança cibernética para produtos que possuem "elementos digitais" vendidos em todo o bloco, com requisitos aplicáveis ​​ao longo de seu ciclo de vida - o que significa que os fabricantes de gadgets precisarão fornecer suporte de segurança contínuo e atualizações para corrigir vulnerabilidades emergentes - a Comissão disse hoje.

O projeto de regulamento também tem como foco os fabricantes de dispositivos inteligentes que comunicam aos consumidores "informações suficientes e precisas" - para garantir que os compradores possam entender as considerações de segurança no ponto de compra e configurar os dispositivos com segurança após a compra.

As penalidades propostas pela Comissão por incumprimento de requisitos "essenciais" de cibersegurança ascendem a 15 milhões de euros ou 2,5% do volume de negócios anual mundial, com outras violações de obrigações regulamentares com uma sanção máxima de 10 milhões de euros ou 2% do volume de negócios.

O executivo da UE disse que o regulamento proposto se aplicará a todos os produtos conectados "direta ou indiretamente a outro dispositivo ou rede" - com algumas exceções para produtos para os quais os requisitos de segurança cibernética já estão definidos nas regras existentes da UE, como dispositivos médicos, aviação e carros.

Em um resumo das medidas propostas, que são baseadas em um Quadro Legislativo para a legislação de produtos da UE, atualizado em 2008, a Comissão disse que estabelecerá:

(a) regras de colocação no mercado de produtos com elementos digitais para garantir a sua cibersegurança;

(b) requisitos essenciais para a concepção, desenvolvimento e produção de produtos com elementos digitais e obrigações dos operadores económicos em relação a esses produtos;

(c) Requisitos essenciais para os processos de tratamento de vulnerabilidades implementados pelos fabricantes para garantir a cibersegurança dos produtos com elementos digitais durante todo o ciclo de vida e obrigações dos operadores económicos em relação a esses processos. Os fabricantes também terão que relatar vulnerabilidades e incidentes explorados ativamente;

(d) regras de fiscalização e aplicação do mercado.

"As novas regras irão reequilibrar a responsabilidade para com os fabricantes, que devem garantir a conformidade com os requisitos de segurança dos produtos com elementos digitais disponibilizados no mercado da UE", escreveu em um comunicado à imprensa. "Como resultado, eles irão beneficiar consumidores e cidadãos, bem como empresas que usam produtos digitais, aumentando a transparência das propriedades de segurança e promovendo a confiança em produtos com elementos digitais, bem como garantindo uma melhor proteção de seus direitos fundamentais, como como privacidade e proteção de dados."

Uma sessão de perguntas e respostas da Comissão sobre a iniciativa estipula ainda que os fabricantes passariam por "um processo de avaliação de conformidade para demonstrar se os requisitos especificados relativos a um produto foram cumpridos". Ele observa que isso pode ser feito por meio de autoavaliação ou por uma avaliação de conformidade de terceiros "dependendo da criticidade do produto em questão".

Quando for demonstrada a conformidade com os requisitos aplicáveis, os fabricantes de dispositivos poderão afixar a marca CE da UE — indicando a conformidade dos elementos digitais com o regulamento de segurança do produto.

O incumprimento seria tratado por autoridades de fiscalização do mercado nomeadas pelos Estados-Membros que seriam responsáveis ​​pela execução — com poderes propostos para não só ordenar o fim do incumprimento, mas também "eliminar o risco" proibindo a venda de um produto ou restringindo de outra forma sua disponibilidade no mercado. As autoridades competentes também podem ordenar que os produtos infratores sejam retirados ou recolhidos. Ao fornecer informações incorretas, incompletas ou enganosas aos reguladores e autoridades de vigilância, correria o risco de multa de até € 5 milhões ou 1% do faturamento.