“A Comissão apresentou hoje uma proposta para uma nova Lei de Ciber-Resiliência [ao Parlamento Europeu], para proteger consumidores e empresas de produtos com características de segurança inadequadas.”
Estávamos em setembro de 2022, a sair da pandemia e perante níveis de cibercrime nunca antes observados. O custo anual da cibercriminalidade já valia muito. Hoje vale +5,5 biliões de euros por ano.
A União Europeia procurava reagir e propunha multas de até 2,5% do volume de negócios ou até 15 milhões de euros, para empresas com produtos digitais – ligados direta ou indiretamente a outro dispositivo ou rede. Mas…
O cidadão comum tem a ideia do que está a ser feito por parte da União Europeu para além disto? Qual a preocupação do Parlamento Europeu em garantir a segurança cibernética da união? Prepare-se porque é isso que vamos descobrir neste artigo!
Respostas da UE e da Comissão Europeia em matéria de cibersegurança
Vamos analisar as principais iniciativas da UE para combater o cibercrime; e indicar-lhe a que normas deve estar atento, para evitar multas para a sua empresa. Antes de mais: que organizações existem para nos proteger?
ENISA – Agência da União Europeia para a Cibersegurança
Nasceu em 2004 e procura reforçar a fiabilidade dos produtos, serviços e processos que envolvem tecnologias de informação e comunicação, com sistemas de certificação da cibersegurança. A agência colabora com Estados-Membros e outros organismos, através da partilha de conhecimentos e do reforço das suas capacidades.
Do ponto de vista político, esta preocupação existe para reforçar a confiança numa economia conectada; do ponto de vista social, para manter a segurança digital dos cidadãos europeus. Assim, a ENISA contribui para atualizações periódicas da política de segurança da UE e envia previsões úteis aos legisladores e decisores políticos dos Estados-Membros.
Mas organizações à parte: existe um quadro legal que nos proteja desta nova realidade, marcada pela escalada galopante pelo cribercrime? O que acontece realmente aos cibercrimonosos que praticam atos ilícitos com as novas ferramentas digitais?
Regulamento de Cibersegurança da UE
Entrou em vigor em junho de 2019 e introduziu um sistema de certificação à escala europeia, para além de reforçar o mandato da ENISA. A versão mais atual do documento pode ser vista aqui, em 24 idiomas, incluindo o português. Vou resumir-lhes os pontos principais do documento:
- Nele, são estabelecidos objetivos, atribuições e aspectos organizacionais da Agência da União Europeia para a Cibersegurança (ENISA) e um enquadramento para a criação de sistemas europeus de certificação da cibersegurança;
- São clarificados termos importantes, como “cibersegurança”, “rede” e “sistema de informação”, “estratégia nacional de segurança das redes e dos sistemas de informação”, “operador de serviços essenciais”, “prestador de serviços digitais” e “tratamento de incidentes”;
- São indicados setores de atuação principais para a certificação da cibersegurança, como automóveis conectados e automatizados, dispositivos médicos eletrônicos, sistemas de controle da automação industrial e redes inteligentes;
- É sublinhado que empresas e consumidores devem ter informações precisas sobre o nível de garantia de segurança dos seus produtos, serviços e processos de TIC certificados; e que é necessário promover regras básicas de ciber-higiene e gestão de riscos para a cibersegurança;
- É clarificado que as empresas devem estar cientes das sanções que podem ser aplicadas em caso de violação das obrigações estabelecidas no regulamento.
E quanto ao Sistema de Certificação da Cibersegurança à escala da UE?
Ainda no âmbito do Regulamento de Cibersegurança da UE, nota para a uniformização do enquadramento para a certificação da cibergurança na união. Eu sei: parece um palavrão complicado, mas eu vou explicar-lhe o que significa.
A certificação é a grande responsável por garantir padrões de cibersegurança de produtos, serviços e processos informáticos. Mas o facto de diferentes países utilizarem diferentes sistemas de certificação constituia uma debilidade no sistema: porque gerava uma fragmentação do mercado e barreiras regulamentares.
O novo quadro de certificação propociona um sistema conjunto, à escala da UE, com regras, requisitos técnicos, procedimentos e normas partilhados por todos os Estados-Membros. O novo sistema europeu deverá especificar:
- Categorias de produtos e serviços abrangidos
- Requisitos de cibersegurança, como normas ou especificações técnicas
- Tipo de avaliação
- Nível de garantia pretendido (utilizados para informar os utilizadores)
Um certificado resultante deste processo passa a ser reconhecido em todos os Estados-Membros e facilitará o comércio transfronteiriço, para empresas e consumidores. A aplicação deste novo quadro já está em processo e as autoridades dos Estados-Membros já reuniram várias vezes sobre esta matéria.
Mas tudo se resume ao Sistema de Certificação da Cibersegurança?
Regulamento de Ciber-Resiliência
O nome parece o mesmo, mas o Regulamento Ciber-Resiliência e o Regulamento de Cibersegurança são coisas diferentes. Este procura garantir que, antes da sua entrada no mercado, produtos com componentes digitais são seguros. Estamos a falar de coisas como:
- Câmaras domésticas conecetadas a frigoríficos;
- Televisores;
- Ou brinquedos inteligentes.
Para isso, os Estados-Membros alcançaram uma posição comum sobre a legislação que recai sobre os requisitos obrigatórios de cibersegurança destes produtos. E é a essa essa legislação, consagrada de forma transversal, que chamados Regulamento Ciber-Resiliência. O documento, entretanto atualizado, pode ser visto aqui.
“A Internet das coisas e outros objetos conectados têm de apresentar um nível mínimo de cibersegurança quando são vendidos na UE, assegurando que as empresas e os consumidores estão efetivamente protegidos contra ciberameaças.”
– Carme Artigas Brugal, Secretária de Estado da Digitalização e da IA, Espanha
Se não sabia da existência desta normativa e especialmente se tem um produto que se enquadra neste lote, estas são as principais alterações a que deve estar atento:
- Há regras para redistribuir a responsabilidade pela conformidade com os requisitos pelos fabricantes. Atenção a obrigações como a avaliação de riscos de cibersegurança, declarações de conformidade e colaboração com autoridades competentes, quando necessário;
- Há requisitos essenciais nos processos de tratamento de vulnerabilidades, a que os fabricantes devem estar atentos e há novas obrigações de outros agentes económicos, como importadores ou distribuidores, em relação a esses processos;
- Há medidas destinadas a melhorar a transparências de produtos de hardware e software em matéria de cibersegurança, para além de um novo quadro de fiscalização que promete fazer cumprir este novo quadro legislativo
Sobra dizer que este regulamento detalha as categorias específicas de produtos que deverão cumprir os novos regulamentos. Assim como novas obrigações, estipuladas ao nível da comunicação de vulnerabilidades ativamente exploradas às autoridades nacionais competentes.
Importante: se o seu produto se enquadra neste lote, lembre-se de considerar elementos que permitam ao consumidor determinar o tempo de vida esperado do produto! Se já o fez, não abandone já este artigo. Ainda tenho que falar-lhe da famosa SRI.
Diretiva de Segurança das Redes e da Informação – SRI
Em 2016 foi adoptada a primeira diretiva relativa à segurança das redes e de informação, conhecida por SRI. O plano era, não apenas reforçar a cooperação entre Estados-Membros no âmbito de questões relacionadas com cibersegurança, como estabelecer obrigações de segurança a cumprir pelos prestadores de serviços, em setores críticos como:
- Energia
- Transporte
- Saúde
- Finanças
E por outros prestadores de serviços digitais como:
- Mercados em linha
- Motores de pesquisa
- Serviços cloud ou de computação em nuvem
Já em 2022, nasce a SRI 2 que procura equilibrar o nível de cibersegurança em toda a união. Foi uma resposta cabal à escalada do cibercrime, preconizada pela pandemia COVID-19.
“Não há dúvida de que a cibersegurança continuará a ser um dos principais desafios dos próximos anos. Os riscos para as nossas economias e para os nossos cidadãos são enormes. Hoje, demos mais um passo no sentido de melhorar a nossa capacidade de fazer face a esta ameaça.”
– Ivan Bartos, vice-primeiro-ministro responsável pela Digitalização e ministro do Desenvolvimento Regional da Chéquia
Esta nova diretiva visa harmonizar os requisitos de cibersegurança e a aplicação de medidas nos diferentes Estados-Membros.
Para alcançar este objetivo, estabelece:
- Regras mínimas para o quadro regulamentar de cada país;
- Define mecanismos de cooperação entre autoridades de cada Estado-Membro;
- Atualiza a lista de setores sujeitos a obrigações em matéria de cibersegurança;
- Prevê sanções para assegurar a execução das novas medidas.
Entre outras novidades, o novo texto determina ainda:
- Mais proporcionalidade na aplicação de sanções e imposições normativas;
- Um nível mais elevado de gestão de riscos;
- Critérios precisos, que permitem às autoridades nacionais determinar novas entidades abrangidas;
- A emancipação de entidades nos domínios da segurança nacional, pública ou aplicação da lei.
Refere o website do conselho europeu que, “além disso, a nova diretiva foi alinhada pela legislação setorial específica, em especial o regulamento relativo à resiliência operacional digital do setor financeiro (DORA) e a diretiva relativa à resiliência das entidades críticas (REC) (…)”
E contra a fraude em pagamentos que não em numerário?
Neste blogue, no passado, já escrevemos sobre técnicas populares para roubo de dados de cartões de crédito. Mas o problema agravou-se e, hoje em dia, tecnologias como o MBWay e estratégias como o smishing permitiram aos criminosos alagar o seu espectro de ataques possíveis.
Eu falei sobre isto, mais propriamente sobre os riscos em pagamentos com cartões no retalho, no vídeo abaixo:
A União Europeia está consciente da fraude e contrafação que assombra o setor, até porque esta via constitui uma fonte significativa de receita para a criminalidade organizada e afeta a confiança dos consumidores no espaço económico europeu.
Por essa razão, em abril de 2019, a UE consagrou novas regras a aplicar pelos Estados-Membros a partir de 2021. Neste âmbito, foram:
- Diminuídos os obstáculos operacionais que dificultavam a investigação e ação penal;
- Previstas medidas para reforçar a sensibilização do público para técnicas fraudulentas;
- Harmonizadas penas para pessoas singulares (3 a 5 anos de prisão com pena mínima quando o juíz delibera pena nacional “máxima” para crimes desta natureza).
A saber: a diretiva permite que os Estados-Membros vão ainda mais além e apliquem regras mais rigorosas, sendo que apenas estipula um lote de regras mínimas. Se tiver curiosidade em conhecê-la na íntegra, a diretiva pode ser vista aqui.
Agora que já conhece o panorama normativo a que deve estar atento, vamos olhar para a forma como é aplicado. Como se fazem cumprir estas leis? São para levar a sério ou não têm consequência prática? Continue a ler para descobrir.
Sanções contra ciberataques: justiça e aplicação da lei
Abrimos este artigo com um lead do Diário de Notícias que falava em sanções, lembra-se? Pois é: esta nova família de regras e políticas, para se confirmarem na prática, também afetam a esfera da justica e a aplicação da lei.
Vamos olhar rapidamente para o que deve saber.
Acesso a provas eletrónicas
A prova eletrónica é hoje fundamental para as autoridades policiais e judiciais, num contexto onde os criminosos usam cada vez mais a tecnologia, para cometer atos ilícitos.
85% das investigações criminais envolvem dados digitais.
Quando falamos de prova eletrónica para investigações criminais e aplicação de ações penais, estão em causa:
- Mensagens de texto
- Aplicações de mensagens
- Conteúdo audiovisual
- Informações sobre contas online de utilizadores
Umas das novidades a reter é que o acesso à prova eletrónica já não se esgota na fronteira de cada Estado-Membro. Antes, em mais de 50% das investigações criminais, tinha que ser feito um pedido transacional entre as autoridades competentes…
…mas em 2018, uma proposta da comissão veio agilizar o acesso a estas provas. As novas regras permitirão às autoridades judiciais dos Estados-Membros pedir acesso direto a informações a qualquer prestador de serviços, no espaço da união.
E quanto aos países fora da UE?
- Existe uma diretiva que obriga todos os prestadores de serviços não estabelecidos no espaço da união, mas a operar dentro dele, a designarem um representante legal que deve receber, respeitar e executar as decisões e ordens sobre esta matéria;
- A Comissão Europeia está a negociar, em nome da UE, um acordo com os Estados Unidos da América em relação ao acesso transfronteiriço a provas eletrónica
Isto entre outras novidades, relacionadas com a adição de protocolos à Convenção de Budapeste sobre o Cibercrime, que afeta paises à escala global
Encriptação
A estratégia de cibersegurança desenhada pela Comissão Europeia também aborda a busca pelo equilíbrio entre a utilização de encriptação por parte dos prestadores de serviços e o acesso das autoridades policiais a informações encriptadas.
Pela óptica dos direitos fundamentais, todos concordamos que os dados devem ser salvaguardados com uma encriptação forte e inviolável, certo? Mas, simultaneamente, queremos que as autoridades policiais consigam aceder aos dados dos cibercriminosos, quando somos alvo de crime…
Este é o problema.
Face a este contexto, em dezembro de 2020 sai uma resolução para garantir a segurança da encriptação e a segurança apesar da encriptação. Não creio que seja propriamente reformadora: parece-me uma declaração de intenções. Mas se tiver curiosidade, pode conhecê-la aqui.
Até nova atualização, eu diria que as entidades privadas saem por cima e os cibercriminosos continuarão protegidos, se souberem utilizar os mecanismos certos para práticas ilícitas. Diga-me se concorda comigo na zona de comentários deste artigo!
Conservação de dados
Esta matéria é, também ela, controversa, no sentido em que a preservação dos dados por parte dos prestadores de serviços é, em si mesmo, uma violação ao direito à privacidade e à proteção de dados pessoais. O problema?
Esses dados são necessários ao combate eficaz do cibercrime.
Por essa razão, passou a existir regulamento sobre ordens de conservação de provas eletrónicas: para evitar que sejam eliminadas por um prestados de serviços enquanto estiver a ser tratada uma odem de entrega.
Conclusão
Voltamos a esta tema assim que forem publicadas novidades que lhe interessam a si, que é responsável pela gestão da sua empresa. É importante que esteja a par das atualização ao nível da lei, para evitar multas e garantir que os seus produtos correspondem às expectativas das autoridades competentes e dos consumidores.
Vemo-nos em breve!