Regras de Cibersegurança para smart devices entram em vigor na União Europeia

Entraram em vigor na União Europeia as regras que visam reforçar a segurança de dispositivos conectados.

A Lei de Resiliência Cibernética (Cyber Resilience Act, CRA) impõe obrigações aos fabricantes de produtos para oferecer suporte de segurança aos consumidores, como a atualização de software para corrigir vulnerabilidades. Apesar disso, o prazo para cumprimento total das principais exigências da legislação é de três anos até 11 de dezembro de 2027, para que os fabricantes tenham tempo de se adequar.

A proposta da lei foi apresentada há pouco mais de dois anos, com o objetivo de aumentar a segurança de dispositivos como smartwatches, brinquedos conectados à internet e eletrodomésticos controlados por aplicativos.

O aumento do número de dispositivos conectados trouxe preocupações com os riscos de hacking, frequentemente ilustrados por manchetes de monitores de bebês e brinquedos infantis hackeados, alimentando o temor de que o lucro esteja sendo priorizado em detrimento da segurança do consumidor.

A legislação da UE estabelece requisitos obrigatórios de cibersegurança para produtos com elementos digitais, abrangendo todo o ciclo de vida desses produtos — do design ao desenvolvimento e operação. Distribuidores e varejistas também deverão garantir que os produtos que fornecem ou estocam estejam em conformidade com as regras da UE.

A CRA se aplica amplamente a dispositivos conectados ou seja, produtos que se conectam direta ou indiretamente a outro dispositivo ou rede com exceções para produtos cobertos por outras regras existentes da UE, como dispositivos médicos, veículos e alguns softwares de código aberto.

Dispositivos poderão exibir a marca CE da União Europeia, sinalizando que estão em conformidade com a CRA. Isso facilitará aos consumidores a escolha de produtos mais seguros, bastando observar o selo CE.

O objetivo do bloco é “reorganizar a responsabilidade” pela cibersegurança em direção aos fabricantes, que deverão garantir que os produtos com elementos digitais atendam aos padrões legais para acessar o mercado da UE.

As penalidades por não cumprimento das normas da CRA serão aplicadas por órgãos de supervisão dos Estados-Membros, responsáveis por realizar verificações de conformidade. A legislação prevê multas de até 2,5% do faturamento anual global (ou até €15 milhões, o que for maior) para violações dos “requisitos essenciais de cibersegurança”.

Outras infrações podem gerar multas de 2% (até €10 milhões), enquanto a não resposta adequada a solicitações regulatórias pode acarretar penalidades de 1% (ou €5 milhões).

Via - TC