Área do cliente
Ir para a lista

Cyber Resilience Act: benefícios e desafios da legislação europeia

Explore o Cyber Resilience Act (CRA) e descubra os principais benefícios e desafios da lei de resiliência cibernética europeia.

26 de Junho 2024 | 11:20

Aprox. 15 minutos de leitura.

O Cyber Resilience Act (CRA), aprovado pela União Europeia (UE) no final de 2023, representa um marco crucial na legislação global de segurança cibernética.

Este regulamento visa fortalecer a proteção contra vulnerabilidades em produtos digitais dentro da UE, abrangendo desde dispositivos pessoais até sistemas críticos.

Neste artigo, abordaremos os principais aspectos do CRA, destacando seus principais benefícios para a segurança cibernética de organizações e consumidores na UE.

Além disso, também examinaremos alguns dos desafios que a implementação desta legislação inovadora pode enfrentar. Tenha uma ótima leitura!

O que é e como surgiu a Cyber Resilience?

A Resiliência Cibernética (Cyber Resilience) refere-se à capacidade de responder proativamente a ataques cibernéticos e incidentes relacionados, visando recuperar e normalizar as operações afetadas rapidamente.

Ao contrário da Segurança Cibernética (Cyber Security), que se concentra na prevenção e proteção contra ameaças, a Resiliência Cibernética prioriza a recuperação e a continuidade das operações após um ataque.

Com o aumento dos danos causados por ciberataques a serviços públicos, privados e infraestruturas nacionais, há um crescente interesse na Resiliência Cibernética. 

Essa abordagem oferece não apenas um modelo de resposta a incidentes, mas também uma estratégia que engloba prevenção e dissuasão de ataques.

Além disso, a Resiliência Cibernética, junto com conceitos como Zero Trust, segurança baseada em IA e segurança da cadeia de suprimentos, está emergindo como uma abordagem crucial na evolução da cibersegurança.

Qual o objetivo do Cyber Resilience Act (CRA) ou Lei de Resiliência Cibernética?

Em 30 de novembro de 2023, o Parlamento e o Conselho Europeu chegaram a um acordo sobre o Cyber Resilience Act (CRA) da União Europeia (UE)

O CRA é uma das primeiras propostas legislativas do mundo que visa reforçar a segurança cibernética de produtos e softwares com componentes digitais, abrangendo desde laptops, smartwatches e jogos de computador até roteadores e firewalls . 

O objetivo é também permitir que os consumidores façam escolhas mais informadas ao selecionar e usar dispositivos IoT.

O CRA exige que todos os produtos abrangidos pelo regulamento, colocados no mercado da UE, sejam ciberseguros, independentemente de serem fornecidos por empresas da UE ou externas. 

O Cyber Resilience Act estabelece um conjunto de regulamentos para garantir a segurança cibernética de produtos de hardware e software vendidos na União Europeia. 

A legislação impõe aos fabricantes a responsabilidade de assegurar a segurança desde a fase inicial até o fim do ciclo de vida do produto.

Produtos digitais são vulneráveis a ataques cibernéticos que podem impactar não apenas indivíduos, mas também cadeias de suprimentos inteiras em um mercado interno conectado. 

Antes deste regulamento, a legislação da UE tratava apenas parcialmente dos riscos de segurança digital, criando incertezas legais e ônus adicionais para empresas e usuários. 

O CRA foi promulgado para corrigir essas lacunas, estabelecendo um conjunto mais robusto e abrangente de normas de cibersegurança para produtos conectados.

Para assegurar a conformidade, o CRA prevê multas significativas para empresas que não cumpram suas diretrizes na UE. As sanções financeiras podem chegar até 15 milhões de euros ou 2,5% das vendas globais da empresa.

Principais benefícios dos Cyber Resilience Act (CRA) 

Como supracitado, o Cyber Resilience Act (CRA) visa elevar a defesa cibernética a um novo patamar, protegendo organizações e consumidores contra vulnerabilidades de segurança. 

A seguir, destacamos os principais benefícios desta legislação pioneira:

  • Maior proteção contra vulnerabilidades: o CRA exige a implementação de medidas obrigatórias de segurança ao longo do ciclo de vida de produtos conectados. Isso garante que os fabricantes projetem seus produtos para serem mais resistentes a ciberataques, reduzindo significativamente o risco de violações de dados e outros incidentes;
  • Configurações padrão seguras: o CRA estabelece configurações padrão seguras para produtos conectados, eliminando a necessidade de os usuários tomarem medidas complexas para garantir sua proteção. Desse modo, ele simplifica a segurança cibernética para o usuário comum, tornando a internet um ambiente mais seguro para todos;
  • Proteção da confidencialidade dos dados: a lei garante a confidencialidade dos dados armazenados em produtos conectados, exigindo medidas robustas para proteger a privacidade dos usuários. Isso inclui criptografia de dados, controle de acesso rigoroso e práticas de gerenciamento de dados responsáveis;
  • Transparência e informação acessível: o CRA aumenta a transparência em relação à segurança dos produtos, exigindo que os fabricantes forneçam informações claras e acessíveis sobre as características de segurança de seus produtos. Assim, ele permite que as organizações tomem decisões informadas sobre quais produtos utilizar, priorizando a segurança em seus processos e operações;
  • Padrões mais rigorosos: a legislação eleva os padrões de cibersegurança em comparação com as leis anteriores, estabelecendo requisitos mais abrangentes e rigorosos para os fabricantes. Essa medida garante que os produtos estejam preparados para enfrentar as mais recentes ciberameaças, proporcionando o mais alto nível de proteção aos usuários.

Desafios do Cyber Resilience Act (CRA) 

Embora o CRA seja amplamente reconhecido por seu potencial para elevar os padrões de cibersegurança, sua implementação não tem sido isenta de controvérsias.

Nesta seção, discutimos alguns dos principais desafios que a legislação europeia pode enfrentar.

Ampliação dos riscos de exposição

O Cyber Resilience Act tem sido alvo de críticas por um ponto crucial: a obrigatoriedade de notificação de vulnerabilidades. 

O artigo 11 exige que fabricantes de software comuniquem às autoridades competentes falhas de segurança ativamente exploradas em até 24 horas após a descoberta, mesmo que ainda não haja correção disponível.

Essas vulnerabilidades seriam então armazenadas em um banco de dados da UE mantido pela Agência Europeia para a Segurança das Redes e da Informação (ENISA).

Críticos argumentam que essa medida pode, ironicamente, aumentar o risco de exposição a ciberataques:

  • Exploração por atores mal-intencionados: a rápida divulgação de vulnerabilidades não corrigidas pode ser um prato cheio para crackers, que podem explorá-las antes que os fabricantes tenham tempo de desenvolver patches;
  • Falhas nas correções: o curto prazo de 24 horas para a notificação pode levar a correções precipitadas e ineficazes, gerando uma base de dados de vulnerabilidades "fáceis" de serem exploradas;
  • Espionagem e monitoramento: há receios de que autoridades mal-intencionadas possam explorar essa base de dados para fins de espionagem ou monitoramento indevido;
  • Dificuldades para profissionais de segurança: a rápida divulgação pode prejudicar o trabalho de especialistas em segurança, que precisam de tempo para coordenar com fornecedores a criação de soluções.

Impactos negativos na cadeia de abastecimento

Os impactos negativos na cadeia de abastecimento devido à implementação do CRA têm sido outro grande desafio da proposta. 

O setor empresarial europeu tem manifestado sérias inquietações sobre este tema, especialmente quanto à disponibilidade de produtos para os consumidores da região. 

Esses atores destacam dilemas como:

  • Uniformização das normas: a aplicação de normas de segurança uniformes pode levar a grandes interrupções na cadeia de abastecimento. As empresas precisarão de tempo considerável para adaptar seus produtos e processos para atender aos novos requisitos;
  • Comprovação de conformidade: a exigência de certificação para comprovar a conformidade com o CRA pode gerar atrasos na disponibilidade de produtos para os consumidores europeus;
  • Falta de capacidade de certificação: a UE enfrenta a carência de infraestrutura e expertise para certificar produtos e componentes em larga escala. Isso  pode prolongar ainda mais os processos de avaliação.

Aumento dos custos e diminuição da acessibilidade 

O Cyber Resilience Act traz uma mudança essencial para a indústria de produtos com componentes digitais: a segurança por design.

Esse novo paradigma exige que as empresas integrem medidas de segurança robustas desde as primeiras etapas de concepção, desenvolvimento e produção.

Acredita-se que essa mudança pode gerar os seguintes impactos no mercado:

  • Custos adicionais: a implementação da segurança por design demandará investimentos significativos em recursos humanos qualificados, revisão de processos, aquisição de novas tecnologias e redefinição de parcerias com fornecedores;
  • Aumento de preços: o repasse desses custos adicionais pode levar ao aumento dos preços dos produtos digitais, afetando o poder de compra dos consumidores;
  • Diminuição da acessibilidade: esse cenário pode reduzir a acessibilidade dos produtos digitais, gerando descontentamento entre os consumidores, especialmente em tempos de crise econômica.

Obstáculos ao desenvolvimento open source

Apesar da boa recepção do Cyber Resiliency Act por fortalecer a segurança de software/hardware, ele suscita preocupações na comunidade open source pelos seguintes motivos:

  • Restrições excessivas: o CRA pode impor regulamentações mais rígidas ao software livre, limitando modificações e operações para garantir conformidade com normas de segurança;
  • Carga financeira adicional: implementar as medidas de segurança do CRA pode gerar custos significativos para projetos de software open source, ameaçando sua viabilidade econômica;
  • Comprometimento de compartilhamento e transparência: restrições na divulgação de informações podem comprometer a essência do software livre, desencorajando a abertura do código;
  • Redução da inovação colaborativa: restrições severas podem diminuir a participação de desenvolvedores em projetos de software open source, impactando negativamente a inovação colaborativa que é crucial para o sucesso desse modelo.

Conclusão

Ao estabelecer requisitos rigorosos de conformidade para produtos digitais, o CRA visa assegurar que esses produtos sejam seguros desde sua concepção até o final de seu ciclo de vida. 

Isso não apenas fortalece a proteção contra vulnerabilidades cibernéticas, mas também promove a transparência e capacita os usuários a fazer escolhas informadas.

No entanto, a implementação do CRA pode enfrentar alguns desafios significativos. 

A obrigação de notificar vulnerabilidades em prazos tão curtos suscita preocupações quanto à possível exploração por agentes mal-intencionados e à eficácia das correções emergenciais. 

Além disso, os impactos na cadeia de abastecimento, os custos adicionais de conformidade e os potenciais obstáculos ao desenvolvimento open source são questões críticas que exigem atenção cuidadosa e soluções adaptativas.

Apesar desses desafios, o CRA representa não somente um avanço crucial na cibersegurança europeia, mas também um modelo para nações que buscam aprimorar a proteção de produtos conectados.

Ir para a lista

CONTEÚDOS RELACIONADOS

Acessar
19 de Janeiro 2024 Segurança Segurança

Como o Google Cloud Platform garante a segurança na nuvem?

Saiba como o Google Cloud Platform oferece recursos para desenvolver e gerenciar aplicativos na nuvem com flexibilidade e segurança.

Acessar
22 de Dezembro 2023 Segurança Segurança

Backups de rotina: uma estratégia essencial para a segurança empresarial

Descubra como backups de rotina protegem negócios contra perdas de dados, garantindo continuidade e confiança no mercado.