Compliance

Setor do IT quer mudanças na Lei de Resiliência Cibernética da UE

A proposta inicial da UE pretende reforçar as regras de cibersegurança e resiliência para hardware e software para proteger consumidores e empresas

18/07/2023

Setor do IT quer mudanças na Lei de Resiliência Cibernética da UE

A Lei da Inteligência Artificial da União Europeia continua a dar que falar e a levantar preocupações entre determinados grupos.

Um conjunto de grupos do setor do IT e das tecnologias emitiu já uma lista de recomendações que visam melhorar a Lei da Resiliência Cibernética (CRA) da UE.

O documento procura estabelecer novos requisitos de cibersegurança quando estão em causa elementos digitais. A proposta inicial da UE, publicada em setembro de 2022, pretende reforçar as regras de cibersegurança e resiliência para hardware e software para proteger os consumidores e as empresas.

O documento da Information Technology Industry (ITI) Council emitiu um conjunto de recomendações, em conjunto com a Developers Alliance, a The Software Alliance e a Computer & Communications Industry Associations (CCIA), nomeadamente:

Maior restrição e clareza da Lei da Resiliência Cibernética: Os signatários defendem que “qualquer referência a 'soluções de processamento de dados à distância' deve ser excluída do âmbito de aplicação da CRA para garantir a clareza jurídica e evitar sobreposições com a legislação existente e encargos desnecessários”. Apelam também a uma maior clareza relativamente aos softwares de fonte aberta;
Abordagem mais proporcionada para determinar níveis de risco do produto: Permite que os fabricantes tenham maiores certezas sobre se determinado produto é considerado crítico. Este processo permitiria que muitos produtos fossem classificados indevidamente como “críticos”, aumentando o seu preço e obrigando a um reforço da segurança cibernética para os mesmos;
Comunicação apenas das vulnerabilidades corrigidas ativamente exploradas e com riscos ao nível da cibersegurança: “A notificação obrigatória de vulnerabilidades não corrigidas representa uma séria preocupação”, pode ler-se nas recomendações;
Evitar obrigações desproporcionais e obrigações que aumentem os riscos de cibersegurança: A obrigação de entregar um produto sem vulnerabilidades conhecidas é difícil, uma vez que a segurança do produto pode ser influenciada por diversos fatores. O grupo considera ainda que a atualização de segurança obrigatória tendo por base a “vida útil esperada de um determinado produto” é um conceito desproporcional e incerto.