Bruxelas avança com novas normas obrigatórias de cibersegurança na UE e multa infractores
A Comissão Europeia propôs hoje uma nova lei de ciber-resiliência que introduz na União Europeia (UE) requisitos obrigatórios de cibersegurança para produtos digitais, propondo multas de até 2,5% do volume de negócios ou até 15 milhões de euros.
"A Comissão apresentou hoje uma proposta para uma nova Lei de Ciber-Resiliência para proteger consumidores e empresas de produtos com características de segurança inadequadas", sendo esta "uma primeira legislação deste tipo em toda a UE [que] introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais, ao longo de todo o seu ciclo de vida", anuncia o executivo comunitário em comunicado.
Após ter sido delineada uma estratégia de cibersegurança há um ano pelo executivo comunitário, a nova legislação visa garantir que "os produtos digitais, tais como produtos e 'software' sem fios e com fios, sejam mais seguros para os consumidores em toda a UE".
Em concreto, "além de aumentar a responsabilidade dos fabricantes, obrigando-os a fornecer suporte de segurança e atualizações de 'software' para lidar com as vulnerabilidades identificadas, permitirá aos consumidores ter informação suficiente sobre a segurança cibernética dos produtos que compram e utilizam", adianta Bruxelas.
O regulamento proposto aplica-se a todos os produtos que estejam ligados direta ou indiretamente a outro dispositivo ou rede, embora estejam previstas algumas exceções para produtos para os quais os requisitos de cibersegurança já estão estabelecidos nas regras existentes da UE, por exemplo, relativamente a dispositivos médicos, aviação ou automóveis.
As aplicações móveis e os videojogos estão também abrangidos, de acordo com a instituição
Previsto na legislação está que, "para assegurar a aplicação efetiva das obrigações estabelecidas na presente lei, [...] cada autoridade de fiscalização do mercado deve ter o poder de impor ou solicitar a imposição de multas administrativas".
Em caso de incumprimento dos requisitos essenciais de cibersegurança, estão em causa multas de até 15 milhões de euros ou, se o infrator for uma empresa, de até 2,5% do seu volume de negócios anual total ao nível mundial referente ao exercício financeiro anterior.
Por seu lado, o não cumprimento de quaisquer outras obrigações ao abrigo do presente regulamento está sujeito a multas administrativas de até 10 milhões de euros ou, se o infrator for uma empresa, até 2% do seu volume de negócios anual.
Já o fornecimento de informações incorretas, incompletas ou enganosas aos organismos notificados e às autoridades de fiscalização do mercado, em resposta a um pedido, fica sujeito a multas de até cinco milhões de euros ou, se o infrator for uma empresa, até 1% do seu volume de negócios anual, segundo o regulamento proposto.
Caberá agora ao Parlamento Europeu e ao Conselho deliberar sobre a proposta de Lei de Resiliência Cibernética, destacando Bruxelas "a boa vontade" dos colegisladores e esperando que esta iniciativa avance rapidamente.
Após a entrada em vigor, os interessados terão 24 meses para se adaptarem aos novos requisitos, com exceção de um período de carência mais limitado de 12 meses em relação à obrigação de apresentação de relatórios por parte dos fabricantes.
Dados do Centro Comum de Investigação da Comissão Europeia, referentes a 2021, revelam que os ataques de resgate de 'software' atingem uma organização a cada 11 segundos em todo o mundo e têm um custo anual global estimado do cibercrime a atingir 5,5 biliões de euros.
Estima-se também que os custos anuais das violações de dados ascendam a pelo menos 10 mil milhões de euros, enquanto os custos anuais das tentativas maliciosas de perturbação do tráfego na internet são calculados em pelo menos 65 mil milhões de euros.