Análise da proposta da Lei de Ciber-Resiliência

A 15 de setembro de 2022, foi publicado o texto da nova Lei de Resiliência Cibernética (Cyber Resilience Act: CRA), cujo objetivo se centra nas características de segurança de todo o ciclo de vida dos produtos de hardware ou software que estão direta ou indiretamente ligados a outro dispositivo ou rede (com exceção do software gratuito e de código aberto desenvolvido ou fornecido fora do âmbito de uma atividade comercial ou daqueles a que já se aplicam outros regulamentos de segurança existentes, tais como dispositivos médicos, aviação ou automóveis). Esta nova legislação não se aplicará a serviços, tais como SaaS, a menos que sejam uma parte auxiliar de um produto, no sentido de que a sua ausência impediria que esse produto com elementos digitais desempenhasse qualquer uma das suas funções. Para os serviços em geral já existe a nova diretiva NIS (NIS2).

Esta nova legislação, a primeira do seu género na Europa, visa melhorar ainda mais a cibersegurança, neste caso limitando as vulnerabilidades dos produtos digitais, um dos pontos de entrada para os ciberataques. À medida que os produtos digitais estão cada vez mais ligados, um ataque pode progredir para toda a cadeia de fornecimento, com o consequente impacto, não só económico, mas até colocando em perigo vidas humanas, especialmente se estivermos a falar de infraestruturas que fornecem serviços essenciais ou críticos, tais como Serviços Públicos (água, transportes, energia).
 

Quais os requisitos que a nova legislação incluirá e a quem se aplicam?

Esta legislação introduz requisitos para fabricantes, importadores e distribuidores envolvidos na cadeia de fornecimento, de modo a que todos os produtos com elementos digitais só estejam disponíveis no mercado se forem devidamente fornecidos, corretamente instalados, mantidos e utilizados e cumprirem os requisitos essenciais de cibersegurança estabelecidos neste novo Regulamento.

Estes requisitos e obrigações essenciais obrigariam os fabricantes a ter em conta a cibersegurança na conceção, desenvolvimento e produção de produtos com elementos digitais, a serem transparentes sobre os aspetos de cibersegurança que devem revelar aos seus clientes, a assegurarem apoio de segurança (atualizações) de forma proporcional e a cumprirem os requisitos de gestão de vulnerabilidades.
Isto destina-se a melhorar o conhecimento dos consumidores sobre se um produto é ciberseguro ou se está configurado de forma segura.
 

A proposta de regulamento prevê, portanto:

• Regras para a comercialização de produtos com elementos digitais para garantir a cibersegurança dos mesmos.
• Requisitos essenciais para a conceção, desenvolvimento e produção de produtos com elementos digitais e obrigações dos operadores económicos em relação a estes produtos no que diz respeito à cibersegurança.
• Requisitos essenciais para os processos de gestão da vulnerabilidade implementados pelos fabricantes para garantir a cibersegurança dos produtos com elementos digitais ao longo de todo o seu ciclo de vida e as obrigações dos operadores económicos em relação a estes processos.
• Regras sobre vigilância do mercado e aplicação destas regras e requisitos.

 

Os requisitos a satisfazer pelos produtos com elementos digitais estão divididos em dois:

• Requisitos relativos às propriedades do próprio produto, tais como:
• Orientação para o risco: planeamento, conceção, desenvolvimento, produção, entrega e manutenção destes produtos de forma a assegurar um nível adequado de cibersegurança em relação aos riscos, ajudando assim a prevenir incidentes cibernéticos e a minimizar o seu impacto.
• Ausência de vulnerabilidades: entrega do produto sem vulnerabilidades exploráveis conhecidas.
• Outros requisitos baseados na avaliação de risco:
• Configuração segura por defeito.
• Proteção contra o acesso não autorizado através de mecanismos de controlo adequados.
• Proteção da confidencialidade dos dados armazenados, transmitidos ou processados, por exemplo, através da encriptação dos dados relevantes utilizando mecanismos de última geração.
• Proteção da integridade dos dados armazenados, transmitidos ou de outro modo processados, pessoais ou não, comandos, programas e configurações contra qualquer manipulação ou modificação não autorizada pelo utilizador, bem como a denúncia de corrupções.
• A minimização de dados, ou seja, o processamento apenas de dados, pessoais ou não, que seja adequado, relevante e limitado ao necessário em relação à utilização pretendida do produto.
• Proteção da disponibilidade de funções essenciais, incluindo a resiliência e a mitigação de ataques de negação de serviço.
• Minimização do impacto negativo que o produto possa ter na disponibilidade de serviços associados a outros produtos ou redes.
• Conceção, desenvolvimento e produção com vista a; limitar superfícies de ataque (incluindo interfaces externas), reduzir o impacto de um incidente através da utilização de mecanismos e técnicas adequadas de mitigação da exploração.
• Registo e monitorização da atividade interna relevante, incluindo o acesso a ou modificação de dados, serviços ou funções.
• Garantir que as vulnerabilidades podem ser resolvidas através de atualizações de segurança, incluindo, quando apropriado, através de atualizações automáticas e notificação das atualizações disponíveis aos utilizadores.

 

Requisitos de gestão de vulnerabilidades: 

• Identificar e documentar vulnerabilidades e componentes contidos no produto, abordando as vulnerabilidades sem demora e fornecendo atualizações de segurança, se necessário.
• Realização de testes e revisões da segurança do produto.
• Divulgação pública de informação sobre vulnerabilidades corrigidas (uma vez disponibilizada uma atualização de segurança), incluindo a descrição das vulnerabilidades, informação que permita aos utilizadores identificar o produto com elementos digitais afetados, os impactos das vulnerabilidades, a sua gravidade e qualquer informação que ajude os utilizadores a remediar as vulnerabilidades. Para estes, será igualmente necessário o estabelecimento e a aplicação de uma política de divulgação coordenada de vulnerabilidades.
• Adoção de medidas para facilitar a troca de informação sobre potenciais vulnerabilidades no seu produto, bem como em componentes de terceiros contidos nesse produto, incluindo através do fornecimento de um endereço de contacto para comunicar vulnerabilidades descobertas no produto com elementos digitais;
• Mecanismos para distribuir com segurança atualizações de produtos para vulnerabilidades exploráveis. Em particular, assegurando que, sempre que se encontrem disponíveis correções ou atualizações de segurança para resolver problemas de segurança identificados, estas sejam divulgadas sem demora e de forma gratuita, acompanhadas de mensagens de aviso que forneçam aos utilizadores informações relevantes.

 
Note-se que alguns destes requisitos não podem atualmente ser satisfeitos em muitos casos, por exemplo, em ambientes industriais, onde a disponibilidade tem geralmente prioridade em detrimento de outras dimensões de segurança, e onde um produto pode ser vulnerável e não é viável atualizá-lo para remover a vulnerabilidade, uma vez que deixaria então de funcionar e poderia mesmo perder a garantia do fabricante.
A fim de aplicar o princípio da proporcionalidade, por um lado, é introduzido o conceito de produto crítico, dependendo do impacto que uma possível vulnerabilidade à cibersegurança poderia ter e, por outro lado, o risco associado à utilização prevista do dispositivo em ambientes sensíveis, tais como ambientes industriais, é também tido em conta.

Os produtos críticos com elementos digitais serão sujeitos a procedimentos específicos de avaliação de conformidade e serão divididos em Classe I e Classe II (dependendo do seu nível de risco de cibersegurança, correspondendo a Classe II a um risco mais elevado). Dentro de cada uma destas classes existem várias categorias e está prevista a possibilidade de especificar categorias de produtos muito críticos para os quais os fabricantes terão de obter um certificado europeu de cibersegurança, como prova de conformidade com os requisitos desta legislação e no âmbito de um sistema europeu de certificação de cibersegurança. A determinação do risco associado às categorias estará relacionada com uma série de critérios, incluindo a utilização do produto em ambientes de entidades essenciais afetadas pela nova diretiva NIS (NIS2) ou relevante para a resiliência da cadeia global de fornecimento de produtos com elementos digitais a eventos disruptivos.

Assim, quando o regulamento proposto entrar em vigor, o software e os produtos ligados à Internet poderão ostentar a marca CE para indicar que estão em conformidade com as novas normas.
 

Mais uma peça no ambiente regulador europeu da cibersegurança

O regulamento proposto anunciado na Estratégia de Cibersegurança da UE de 2020 complementaria outra legislação de segurança, especificamente o Quadro NIS2 (que no caso das instituições financeiras se traduz no Regulamento de Resiliência Operacional Digital, DORA) e a Lei da Cibersegurança.
Em particular, este novo regulamento, quando aplicado a produtos de hardware e software conectáveis, visa também facilitar o cumprimento dos requisitos da cadeia de abastecimento que são exigidos no SRI2, assegurando que os produtos com elementos digitais que utilizam para a prestação de serviços sejam desenvolvidos de forma segura e que tenham acesso às atualizações de segurança necessárias para esses produtos.
 

Próximos passos

O Parlamento Europeu e o Conselho irão agora deliberar sobre o texto e espera-se que seja alcançado um acordo até ao primeiro trimestre de 2024. Após aprovação, entrará em vigor e os afetados terão 24 meses para se adaptarem aos novos requisitos, com exceção da obrigação dos fabricantes de notificar vulnerabilidades e incidentes ativamente explorados, que se aplica 12 meses após a entrada em vigor.
 

Como é que a Babel pode ajudar?

A Babel, como empresa especializada em oferecer serviços de cibersegurança em geral e cibersegurança industrial (OT) em particular, estará atenta ao progresso desta iniciativa para a ter em conta nos seus serviços de análise e melhoria da cibersegurança, consultoria, auditorias, infraestruturas de cibersegurança e serviços de monitorização e resposta a incidentes, entre outros.
Entre outros serviços, aconselharemos aos nossos clientes sobre os requisitos de cibersegurança que devem exigir aos seus fornecedores de produtos afetados por este regulamento, prestaremos suporte para verificar se os produtos adquiridos cumprem estes requisitos e resolveremos as dúvidas relativas aos seus direitos perante os seus fornecedores destes produtos e as obrigações dos fabricantes. Do mesmo modo, nos serviços de apoio à conformidade para as pessoas afetadas pelos SRI, a aplicação deste novo regulamento na área dos dispositivos afetados será tida em consideração.
Desta forma, os nossos clientes podem estar tranquilos que os seus produtos e soluções estão em conformidade com os requisitos legais e, portanto, além de cumprirem os mesmos, têm a garantia de melhorar a eficiência que pretendem atingir.