O Cyber Resilience Act (CRA) visa assegurar que os produtos digitais comercializados na União Europeia (UE) sejam seguros desde a fase de concepção até o fim de seu ciclo de vida.
Para garantir a conformidade dos operadores econômicos com as normas de cibersegurança da UE, o CRA estabelece um conjunto rigoroso de penalidades.
Essas regras se aplicam tanto a empresas da UE quanto a organizações externas, o que pode representar um desafio significativo para as corporações brasileiras que operam no mercado europeu.
Neste artigo, abordaremos as penalidades impostas pelo CRA e apresentaremos um conjunto de medidas práticas que ajudarão sua empresa a estar em conformidade com essa legislação.
Nossa intenção é fornecer orientações que auxiliem sua organização a evitar sanções e garantir a cibersegurança de seus produtos no competitivo mercado europeu.
Penalidades previstas pelo Cyber Resilience Act (CRA)
Os legisladores europeus projetaram as penalidades do CRA para assegurar que os produtos digitais comercializados sejam seguros desde a fase de concepção até o fim de seu ciclo de vida.
Cada Estado-Membro da UE é responsável por estabelecer e aplicar as regras de penalidades para infrações cometidas por operadores econômicos.
Eles devem notificar prontamente a Comissão Europeia sobre estas regras, medidas adotadas e quaisquer alterações subsequentes que possam afetá-las.
Multas por não conformidade
O não cumprimento dos requisitos essenciais de cibersegurança estabelecidas pelo CRA pode resultar em multas administrativas significativas.
Estas multas podem chegar até 15 milhões de euros ou, para empresas, até 2,5% do faturamento anual mundial total do exercício financeiro anterior, prevalecendo o valor mais alto.
Infrações a outras obrigações estabelecidas pelo CRA também podem acarretar penalidades substanciais, alcançando até 10 milhões de euros ou 2% do faturamento anual mundial total do exercício financeiro anterior, prevalecendo o valor maior.
Além disso, fornecer informações incorretas, incompletas ou enganosas às autoridades de fiscalização do mercado pode resultar em multas de até 5 milhões de euros ou 1% do faturamento anual mundial total do exercício financeiro anterior, prevalecendo o valor mais alto para empresas.
Ao determinar o valor das multas administrativas em cada caso, as autoridades consideram todas as circunstâncias relevantes da situação específica, incluindo:
- A natureza, gravidade e duração da infração e suas consequências;
- Se outras autoridades de fiscalização do mercado já aplicaram multas administrativas ao mesmo operador por uma infração semelhante;
- O tamanho e a participação de mercado do operador que cometeu a infração.
Além das multas administrativas, medidas corretivas ou restritivas adicionais podem ser impostas, visando não apenas penalizar, mas também promover a adoção de práticas robustas de cibersegurança pelas organizações.
Leia também: CYBER RESILIENCE ACT: BENEFÍCIOS E DESAFIOS DA LEGISLAÇÃO EURO
Como sua empresa pode assegurar a conformidade com o Cyber Resilience Act (CRA)?
Nesta seção, exploramos sete medidas práticas que ajudarão sua empresa a se adequar às exigências do Cyber Resilience Act.
1 - Verifique se seus produtos são abrangidos pelo CRA
Para os fabricantes, o passo inicial é verificar se seus produtos são regulamentados pelo Cyber Resilience Act (CRA).
O CRA se aplica a produtos com elementos digitais, cuja utilização inclui uma conexão de dados, seja direta ou indireta, com um dispositivo ou rede.
Isto abrange uma vasta gama de produtos, desde dispositivos IoT até softwares independentes.
A legislação define "produtos com elementos digitais" como produtos de software/hardware e suas soluções de processamento de dados remotos, incluindo componentes comercializados separadamente.
Isso significa que tanto as soluções de software que acompanham produtos regulamentados, como plataformas SaaS e aplicativos móveis, estão sob o escopo do CRA.
Essa definição demonstra a abrangência do CRA. Ele impõe obrigações de cibersegurança não só a dispositivos físicos como relógios inteligentes e balanças, mas também a seus componentes digitais.
No entanto, plataformas SaaS não vinculadas a produtos específicos não são cobertas pelo CRA, embora possam ser reguladas pela diretiva NIS2.
O CRA estabelece exceções que devemos considerar. Entre elas estão dispositivos médicos profissionais, veículos automotores e seus componentes, sistemas de aviação civil e equipamentos marítimos.
Além disso, elementos digitais desenvolvidos exclusivamente para segurança ou defesa nacional, estão excluídos da legislação.
Portanto, os fabricantes devem avaliar cuidadosamente seus produtos para determinar se estão sujeitos às normas do CRA e tomar as medidas necessárias para garantir a conformidade.
2 - Execute uma avaliação de risco de cibersegurança antes do design do produto
Realizar uma avaliação de risco de cibersegurança antes de iniciar o design de um produto digital é essencial para garantir a conformidade com o CRA.
Esta análise não tem como objetivo apenas identificar possíveis vulnerabilidades e ameaças específicas associadas ao produto.
Ela também orienta as decisões de segurança ao longo de todo o seu ciclo de vida, desde o design inicial até a fase de manutenção.
O CRA estabelece que os fabricantes devem conduzir essa avaliação durante o planejamento inicial.
Tal análise deve abranger aspectos como o propósito pretendido do produto, seu uso esperado, as condições operacionais previstas e a estimativa de tempo de uso.
Além disso, é crucial especificar de forma clara como os requisitos essenciais serão aplicados ao produto, como serão implementados durante todas as etapas de design, desenvolvimento e produção, e como os processos de gestão de vulnerabilidades serão gerenciados.
3 - Incorpore a cibersegurança em cada etapa do desenvolvimento dos seus produtos
Integrar a cibersegurança em todas as fases do desenvolvimento de produtos é essencial para cumprir os requisitos do Cyber Resilience Act.
Primeiramente, é fundamental definir as soluções técnicas necessárias para atender aos requisitos essenciais estabelecidos pela legislação.
O CRA não é um documento técnico detalhado, mas uma lei que define objetivos de cibersegurança a serem alcançados.
Transpor esses requisitos gerais para especificações técnicas que os fabricantes possam cumprir é a função das normas harmonizadas europeias.
Embora essas normas específicas ainda estejam em desenvolvimento, o CRA delineia seis fases principais do ciclo de vida do produto: planejamento, design, desenvolvimento, produção, entrega e manutenção.
Nesse sentido, uma abordagem bastante apropriada é aquela contida no Cyber Resilience Act Requirements Standards Mapping da European Union Agency for Cybersecurity (ENISA).
Este documento propõe uma estrutura abrangente que garante que os requisitos de segurança sejam considerados ao longo de toda a vida útil do produto, desde sua concepção até o descarte.
4 - Realize testes de segurança regulares nos seus produtos
A cibersegurança não pode ser apenas teórica: é necessário garantir que todas as medidas implementadas sejam realmente eficazes.
Em consonância com este princípio, o CRA estabelece a realização de testes regulares e eficazes como o terceiro requisito essencial para o tratamento de vulnerabilidades.
Além disso, alguns módulos de avaliação de conformidade da legislação exigem uma descrição detalhada dos testes realizados antes, durante e após a produção, bem como a frequência de realização.
Portanto, não basta apenas executar testes de segurança; é fundamental elaborar e documentar uma estratégia de testes coerente, abrangente e contínua.
A escolha dos tipos de testes a serem realizados dependerá de fatores como o objetivo desejado e a fase do ciclo de vida do produto.
Em geral, a construção de uma estratégia de testes robusta depende da combinação de diversas formas de teste, garantindo uma abordagem completa e eficaz para a cibersegurança.
5 - Obtenha certificação de cibersegurança para seus produtos
A certificação de cibersegurança é uma maneira eficaz de provar que um produto atende aos mais altos padrões de segurança.
Ela envolve uma avaliação detalhada da segurança do produto e dos processos implementados pelo fabricante.
Quando obtida, a certificação não só demonstra a excelência no desenvolvimento de um produto seguro, mas também serve como uma validação de que as práticas de cibersegurança da empresa são robustas e eficazes.
Em relação ao CRA, a certificação de cibersegurança oferece uma vantagem adicional: a dispensa dos procedimentos de avaliação de conformidade por terceiros, sob certas condições.
Isso pode simplificar e acelerar a conformidade com a regulamentação, permitindo que seus produtos cheguem ao mercado mais rapidamente e com menos obstáculos burocráticos.
6 - Prepare a documentação técnica para cada um de seus produtos
Preparar a documentação técnica para cada um dos seus produtos que é regulado pelo CRA é outro passo crucial para cumprir as obrigações da legislação.
O CRA estabelece que essa documentação deve conter todas as informações necessárias para demonstrar a conformidade do produto e dos processos implementados.
Essa documentação deve abranger uma série de elementos essenciais descritos no Anexo VII do CRA.
Inicialmente, uma descrição completa do produto com elementos digitais é necessária, incluindo seu propósito previsto e as versões de software relevantes que afetam sua conformidade.
Para produtos de hardware, são exigidas fotografias detalhadas que mostram características externas, marcação e o layout interno.
Além disso, a documentação deve incluir uma análise detalhada do design, desenvolvimento e produção do produto, juntamente com os processos de gestão de vulnerabilidades implementados.
Isso abrange desde informações sobre a arquitetura do sistema até especificações dos processos de produção e monitoramento, garantindo a validação adequada desses procedimentos.
Uma avaliação abrangente dos riscos de cibersegurança enfrentados pelo produto também é essencial, demonstrando como os requisitos essenciais do CRA são aplicáveis e quais normas ou certificações europeias foram seguidas.
Caso essas normas não sejam aplicadas integralmente, a documentação deve explicar as soluções alternativas adotadas para atender aos requisitos exigidos.
Finalmente, a documentação técnica deve incluir relatórios de testes realizados para verificar a conformidade do produto e dos processos de gestão de vulnerabilidades.
Além disso, deve conter uma cópia da declaração de conformidade da UE e, quando solicitado pelas autoridades competentes, a lista de materiais de software.
Esta documentação deve estar disponível por pelo menos 10 anos, garantindo que todas as informações relevantes permaneçam acessíveis para fins de fiscalização e conformidade contínua com o CRA.
7 - Cumpra os prazos de notificação de incidentes graves e vulnerabilidades exploradas
O Cyber Resilience Act, em consonância com a Diretiva NIS2, introduz novas exigências para a notificação de incidentes graves e vulnerabilidades exploradas às autoridades competentes.
Além de reforçar a cibersegurança, o cumprimento desses requisitos é essencial para evitar as penalidades previstas pelo CRA.
Conforme o CRA, todas as disposições relevantes entrarão em vigor 21 meses após a publicação oficial da regulamentação, prevista para o final de 2024.
Assim, é esperado que as obrigações de reportar incidentes graves e vulnerabilidades exploradas se tornem obrigatórias já em 2026.
É crucial que as organizações se preparem adequadamente para atender a esses prazos e garantir conformidade contínua de seus produtos.
Conclusão
Com a entrada em vigor do CRA prevista para o final de 2024, a conformidade com as normas desta nova legislação torna-se essencial para todas as empresas que comercializam produtos digitais na UE.
As penalidades substanciais impostas pelo CRA por não conformidade destacam a importância de uma abordagem proativa em relação à cibersegurança.
Para garantir o compliance com este regulamento, as empresas devem incorporar medidas de segurança em todas as fases do desenvolvimento do produto.
É fundamental executar avaliações abrangentes de risco de cibersegurança desde o início do design do produto, implementar testes regulares e obter certificações reconhecidas.
Além disso, a preparação de documentação detalhada e o cumprimento dos prazos de notificação de incidentes são essenciais para demonstrar conformidade contínua e evitar penalidades.
Ao adotar estas medidas fundamentais, as empresas não só atendem ao CRA, mas também fortalecem sua posição competitiva e constroem confiança com os consumidores europeus.
Precisa de auxílio para adequar sua empresa ao CRA?
A Diazero Security oferece uma ampla gama de soluções e serviços que vão ajudar sua organização a implementar práticas robustas de cibersegurança e garantir conformidade.
Entre em contato conosco e agende uma avaliação com nossos especialistas.
Segurança