Já está preparado para o Cyber Resilience Act da UE?

De um modo geral, os PEDs referem-se a todos os produtos de hardware e software, mas com algumas exceções como dispositivos médicos, segurança nacional e veículos regulados por outras normas.

Os fabricantes e fornecedores terão de cumprir os requisitos do CRA antes de os produtos poderem ser comercializados na UE.

Mas quais são esses requisitos?

Todos os requisitos essenciais estão definidos no Anexo I do CRA, abrangendo de forma geral:

• Incorporar princípios de Segurança por Defeito desde o início;
• Garantir que o produto não possui vulnerabilidades exploráveis conhecidas;
• Implementar sistemas de autenticação e gestão de identidade ou acesso;
• Proteger a confidencialidade e integridade dos dados (por exemplo, através de criptografia ou outros meios técnicos);
• Proteger a disponibilidade de funções essenciais;
• Desenhar, desenvolver e produzir produtos para limitar as superfícies de ataque, incluindo interfaces externas;
• Fornecer informações relacionadas com a segurança;
• Garantir que as vulnerabilidades podem ser resolvidas através de atualizações de segurança.

O CRA também define requisitos essenciais para os processos de gestão de vulnerabilidades a serem implementados (Anexo II), garantindo que a cibersegurança é considerada durante todo o ciclo de vida de um produto e inclui a elaboração de um inventário de software (SBOM - Software Bill of Materials).

Os produtos considerados "importantes" ao abrigo do CRA serão obrigados a aplicar um standard relevante ou a passar por uma avaliação de terceiros para demonstrar a sua conformidade.

Assim que entre em vigor, a Comissão poderá direcionar as organizações de normalização para elaborar stardards harmonizados para os requisitos essenciais. Isto irá basear-se no trabalho da agência europeia ENISA, que já está a desenvolver três esquemas de certificação de cibersegurança como parte do Cyber Security Act, incluindo os Critérios Comuns da UE (EUCC) para produtos TIC, o Esquema de Certificação em Cloud (EUCS) e o Esquema de Certificação EU5G. 

Para um pequeno número de produtos considerados "altamente críticos", os fabricantes e fornecedores terão de obter certificação obrigatória da UE antes de poderem vender o produto no mercado da UE.

Quando devem os produtos estar em conformidade?

Uma vez que o CRA seja promulgado, os fabricantes e fornecedores terão 21 meses para cumprir os requisitos de incidentes e vulnerabilidades e 36 meses para cumprir os restantes requisitos.

Que outros países estão a adotar leis semelhantes?

Fora da UE, os governos estão a seguir uma combinação de medidas obrigatórias e voluntárias para melhorar os standards de segurança de hardware e software. Por exemplo:

Reino Unido - Os fabricantes de dispositivos IoT para consumidores devem cumprir os requisitos estabelecidos no Product Security and Telecoms Infrastructure (PSTI) Act de 2021. O governo do Reino Unido está também a elaborar e a promover a adoção de Códigos de Prática para Apps e Lojas de Apps e segurança de software. Embora estes Códigos sejam voluntários nesta fase, podem ser tornados obrigatórios a longo prazo.

Austrália - O governo australiano anunciou que irá legislar um standard obrigatório de cibersegurança para dispositivos IoT, apoiado por um esquema voluntário de rotulagem de dispositivos inteligentes para consumidores. Tal como o Reino Unido, planeia desenvolver um Código de Prática voluntário para Apps e Lojas de Apps e trabalhar para harmonizar os standards de software no palco internacional.

Estados Unidos - O governo federal está a usar os seus poderes de contratação para elevar os standards, implementando novas regras de contratação sobre cibersegurança de IoT juntamente com um programa de rotulagem de segurança de IoT governamental (o "Cyber Trust Mark"). Também garantiu o compromisso de mais de 100 fabricantes de software para construir produtos e serviços de software empresarial com segurança por design.

O que os fabricantes e fornecedores precisam de fazer agora?

Embora os prazos de conformidade para os relatórios de vulnerabilidades e requisitos de cibersegurança ainda estejam, pelo menos, a 21 meses e 36 meses de distância, respetivamente, as organizações afetadas devem começar a incorporar considerações de segurança nos seus ciclos de desenvolvimento de produtos agora. Falhar em fazê-lo pode significar que os novos produtos em desenvolvimento não cumprirão os standards exigidos para serem vendidos no mercado da UE daqui a alguns anos.

A violação destes regulamentos não só tornará os novos produtos menos seguros, mas também trará um custo elevado. A não conformidade pode resultar em multas de até 15 milhões de euros ou até 2,5% do volume de negócios anual global total da organização para o ano financeiro anterior, o que for mais elevado.

Embora a entrada em vigor do CRA ainda pareça distante, recomenda-se que os fabricantes comecem a preparar-se para estas mudanças legislativas o mais cedo possível.

Especificamente, é recomendável priorizar os seguintes passos:

1. Determine que produtos do seu portefólio serão introduzidos assim que o CRA entrar em vigor. Isto inclui quaisquer novos produtos, bem como aqueles que terão uma modificação substancial em relação à funcionalidade de segurança.
2. Para cada produto, determine em que categoria se enquadra e se é necessária uma autoavaliação, uma avaliação de conformidade independente ou uma certificação.
3. Comece a criar um Inventário de Software (SBOM) para todos os componentes de software no portefólio de produtos. Note que ainda não há um consenso sobre a profundidade necessária do SBOM.
4. Crie um processo para monitorizar, corrigir e reportar vulnerabilidades, alinhando-se com os standards existentes, como o ISO/IEC 29147:2018.

Agora é um excelente momento para garantir que está a seguir as melhores práticas, a aderir às existentes certificações introduzidas através do Cybersecurity Act e a tornar a segurança uma prioridade em todo o processo de produção.