A Lei de Resiliência Cibernética da UE é a primeira com alcance amplo na região que impõe regras de segurança cibernética aos fabricantes. Ela abrange hardware e software e se aplica a fabricantes e desenvolvedores, tornando-os responsáveis pela segurança dos dispositivos conectados. A Comissão Europeia afirma que a lei tratará de dois problemas: “o baixo nível de segurança cibernética de muitos desses produtos e, o mais importante, o fato de que muitos desses fabricantes não fornecem atualizações contra vulnerabilidades.”
Os detalhes farão toda a diferença conforme os requisitos forem desenvolvidos e divulgados. Prevemos que usarão abordagens não prescritivas, como vemos em outros regulamentos, tais como “criptografar dados confidenciais”, “os dispositivos precisam poder ser atualizados”, “garantir a integridade de software e firmware” etc. Entretanto, para justificar uma penalidade, eles precisam ter abordagens mensuráveis. Provavelmente, haverá um requisito de atualizações regulares, pois esse é um problema que a Comissão Europeia levantou. Enviar atualizações automáticas para um grande número de dispositivos será difícil sem uma solução que ajude os fabricantes a manter a viabilidade e automatizar tarefas. Além disso, a Comissão da UE declarou que será preciso disponibilizar mais informações para que os consumidores tomem decisões de compra embasadas e configurem seus dispositivos com segurança.
Os fabricantes de dispositivos IoT podem enfrentar penalidades e multas pesadas por ausência de conformidade com a Lei de Resiliência Cibernética da UE elaborada. Essa é uma das primeiras leis a exigir uma multa em caso de ausência de conformidade. A UE afirma claramente que, com a lei proposta, o encargo financeiro pelos dispositivos será de fabricantes e desenvolvedores.
Além disso, os produtos que não atenderem a requisitos de segurança cibernética “essenciais” não poderão ser lançados no mercado. Assim, os fabricantes precisam começar a incorporar a segurança no design de seus produtos agora, para que os dispositivos lançados nos próximos anos estejam à altura dos padrões de segurança necessários. Autoridades de vigilância do mercado em cada estado-membro da UE serão responsáveis por multar empresas descumpridoras, até um limite definido na lei, e poderão proibir que dispositivos sem conformidade cheguem ao mercado. Entretanto, ter um único padrão de segurança cibernética definido em toda a UE também facilitará aos fabricantes manter a conformidade.
A Lei de Resiliência Cibernética da UE trará aos consumidores maior poder de compra e mais confiança em seus dispositivos ao exigir que os fabricantes forneçam informações sobre a segurança dos dispositivos antes da compra. As regras exigirão mais conhecimento sobre como escolher produtos e configurar dispositivos de forma segura. Da mesma forma que os consumidores leem os rótulos nutricionais de produtos alimentícios para entender melhor sua composição, fornecer informações de segurança nos dispositivos permitirá que os consumidores tomem decisões de compra mais informadas.
Conforme os fabricantes precisarem ser mais transparentes sobre a segurança cibernética em seus dispositivos, os consumidores terão mais confiança nos dispositivos conectados disponíveis no mercado. Além disso, a Comissão da UE prevê que a lei pode até aumentar a demanda por “produtos com elementos digitais” caso os consumidores confiem mais em sua segurança.
Os legisladores não deveriam precisar definir consequências e multas pesadas para garantir a segurança. No entanto, infelizmente muitas vezes a segurança é negligenciada no desenvolvimento dos dispositivos. Em um mundo perfeito, as empresas perceberiam a importância de proteger seus ativos, clientes, reputação e funcionários e cuidariam da segurança da forma certa porque isso é o certo a fazer. Até chegarmos lá, precisaremos continuar a aceitar leis rígidas. Além disso, proibir ou restringir a venda de produtos sem conformidade também irá trazer mais segurança.
Neste momento, a Lei de Resiliência Cibernética da UE está sendo examinada pelo Conselho e Parlamento Europeu. Após ser promulgada, os estados-membros terão até dois anos para adotarem os requisitos. Por isso, os fabricantes devem estar preparados para atender à lei a qualquer momento nos próximos anos.
No entanto, a tendência de mais regulamentações para dispositivos conectados irá prosseguir. A Lei de Resiliência Cibernética da UE é apenas o primeiro passo; prevemos que ela se tornará uma diretriz para que outras leis desenvolvam padrões semelhantes. No futuro, haverá mais leis sobre a IoT e seu design, não menos. Por isso, é importante que os fabricantes implementem a segurança cibernética por design agora, de forma a se preparar para o futuro das leis para IoT.
Além de leis para a IoT, vemos setores que se unem para solucionar a segurança dos dispositivos. Por exemplo, o protocolo Matter prestes a ser lançado para interoperabilidade, segurança e confiabilidade de dispositivos de casa inteligente pode funcionar como um roteiro do setor para aprimorar a segurança da IoT. Embora os detalhes completos da lei proposta na UE ainda precisem ser divulgados, é provável que os fabricantes que cumprem as exigências de segurança do Matter e usam certificados de atestado de dispositivos e intermediários de atestado de produtos sejam capazes de atender aos requisitos da legislação da UE. Eles também poderão sinalizar a segurança aos consumidores, já que os dispositivos compatíveis com o Matter terão um selo de aprovação.
Na DigiCert, acreditamos que a Lei de Resiliência Cibernética da UE pode aumentar a confiança digital em nosso mundo conectado. Há muito tempo defendemos a necessidade de segurança por design e temos a experiência e as soluções necessárias para ajudar os fabricantes a conquistá-la. Por exemplo, a DigiCert para dispositivos conectados, com a premiada solução do DigiCert IoT Trust Manager e do Mocana, pode ajudar os fabricantes a gerenciar todo o ciclo de vida dos dispositivos, incluindo o envio de atualizações seguras. Entre em contato conosco em https://www.digicert.com/iot/trust-for-connected-devices para saber como aprimorar sua segurança de IoT antes da lei entrar em vigor e ao mesmo tempo melhorar sua confiança digital.
O DigiCert IoT Trust Manager fornece um fluxo de trabalho automatizado e completo para as empresas gerenciarem seus dispositivos IoT com segurança baseada em certificados durante a manufatura e na borda. Ele oferece a escalabilidade, flexibilidade, controle e eficiência exigidos para uma rede de dispositivos conectados. Os administradores podem monitorar todo o ciclo de vida dos certificados, facilitar atualizações seguras, personalizar metadados sobre o dispositivo nos certificados e manter a conformidade. Em vez de criar e manter uma PKI autogerenciada, o IoT Trust Manager automatiza a implantação da PKI, facilitando o gerenciamento de uma grande rede de dispositivos. Os administradores podem personalizar as permissões e o controle de acesso para segmentar a administração de diferentes grupos de usuários. Como o DigiCert IoT Trust Manager faz parte do DigiCert ONE™, ele tem a flexibilidade de ser implantado no local, no país ou na nuvem para atender a requisitos exigentes, integrações personalizadas e demandas de isolamento de segurança.