UE adota Lei de Resiliência Cibernética para Dispositivos Conectados

União Europeia Adota Oficialmente a Lei de Resiliência Cibernética (CRA) para Produtos com Componentes DigitaisO Conselho da União Europeia anunciou a adoção oficial da Lei de Resiliência Cibernética (CRA), que introduzirá requisitos rigorosos de segurança cibernética em toda a UE para produtos que contenham elementos digitais. A nova regulamentação se aplicará a uma vasta gama de dispositivos, desde produtos de consumo como campainhas e alto-falantes inteligentes até babás eletrônicas, abrangendo todos os produtos conectados, seja diretamente ou indiretamente, a outros dispositivos ou redes.

Objetivo e Impacto da Nova Legislação

A CRA foi projetada para preencher lacunas nos regulamentos de segurança cibernética existentes e harmonizar o arcabouço legislativo em toda a União Europeia. Seu objetivo é criar um ambiente mais coeso e eficaz, garantindo que produtos com componentes digitais, incluindo os dispositivos da Internet das Coisas (IoT), sejam protegidos em toda a cadeia de suprimentos e durante todo o ciclo de vida, desde o design e desenvolvimento até a produção e disponibilização no mercado.

Essa harmonização é crucial para evitar a fragmentação de normas entre os diferentes estados-membros da UE e para impedir a duplicação de requisitos regulatórios que poderia criar obstáculos desnecessários para as empresas que operam em vários países da região.

Abrangência da Regulação

A CRA abrange uma ampla gama de produtos de hardware e software, exigindo que cumpram rigorosos padrões de segurança cibernética. Isso inclui a obrigação de aplicar medidas de segurança no design, desenvolvimento, produção e disponibilização desses produtos no mercado europeu. A meta é garantir que desde o início do ciclo de vida de um produto, os requisitos de segurança cibernética estejam integrados, diminuindo vulnerabilidades e protegendo os consumidores e empresas contra ataques cibernéticos.

Marcação CE e Conformidade

Para indicar a conformidade com os novos requisitos, os produtos regulados pela CRA receberão a marcação CE, um selo familiar para muitos consumidores e fabricantes dentro do Espaço Econômico Europeu (EEE). A marcação CE já é amplamente utilizada em produtos comercializados na UE para sinalizar que foram avaliados em termos de segurança, saúde e proteção ambiental.

Com a adição dos requisitos de segurança cibernética, a marcação CE permitirá que os consumidores identifiquem facilmente produtos de hardware e software que atendam a padrões elevados de segurança, protegendo melhor suas informações e dados pessoais. Isso é particularmente relevante em uma época em que dispositivos conectados estão cada vez mais presentes no cotidiano, mas frequentemente vulneráveis a ataques cibernéticos.

Exceções e Disposições Especiais

Algumas categorias de produtos terão exceções aos requisitos da CRA, uma vez que já são reguladas por legislações específicas da UE que abrangem a segurança cibernética. Entre esses produtos estão dispositivos médicos, produtos aeronáuticos e cartões de pagamento, cujos requisitos de segurança já são rigorosamente controlados por regulamentos específicos. Essa abordagem evita sobreposição de regras e garante que os setores críticos continuem a operar com as diretrizes mais adequadas e robustas.

Regulação Similar no Reino Unido

É interessante observar que, fora da UE, o Reino Unido adotou uma legislação semelhante com a promulgação do Product Security and Telecommunications Infrastructure (PSTI) Act, que entrou em vigor em abril de 2024. Essa lei também estabelece normas para a segurança de produtos conectados, demonstrando que a preocupação com a proteção de dispositivos digitais é uma prioridade global.

Próximos Passos para a Implementação da CRA

Com a adoção formal da Lei de Resiliência Cibernética, o próximo passo será a assinatura do ato legislativo pelos presidentes do Conselho da UE e do Parlamento Europeu. Após a assinatura, o regulamento será publicado no Jornal Oficial da União Europeia nas próximas semanas.

A legislação entrará em vigor 20 dias após sua publicação, e seus requisitos serão aplicados 36 meses após essa data. No entanto, algumas disposições mais urgentes podem ser implementadas em estágios anteriores, conforme especificado no texto do regulamento.

Conclusão

A Lei de Resiliência Cibernética representa um passo crucial para a proteção dos consumidores e empresas na UE contra ameaças cibernéticas crescentes. Ao estabelecer um padrão unificado para a segurança de produtos digitais, a CRA visa criar um mercado digital mais seguro e confiável, garantindo que os dispositivos conectados sejam desenvolvidos com proteção robusta desde sua concepção até o fim de seu ciclo de vida. A marcação CE, com o novo foco em segurança cibernética, facilitará o processo de escolha dos consumidores, permitindo que identifiquem e confiem em produtos que atendem aos mais altos padrões de proteção digital.