Lei de Resiliência Cibernética antes da aprovação

6. Março 2024
| Sem comentários
Lei de Resiliência Cibernética antes da aprovação

Compartilhar postagem

A Lei de Resiliência Cibernética da Comissão Europeia, a lei mais abrangente que regulamenta a segurança cibernética de produtos na Europa, entrará em vigor em breve. Uma série de mudanças foram feitas recentemente que especificam o escopo da lei. A adoção formal é considerada segura nos círculos de especialistas.

“Do nosso ponto de vista de análise de segurança, a especificação da Lei de Resiliência Cibernética é muito bem-vinda, especialmente o nível de segurança ainda mais estendido para os usuários finais. As classes de dispositivos foram redefinidas: o artigo 6.º introduziu duas classes adicionais de risco de cibersegurança para produtos críticos de hardware e software, cujas funções principais estão enumeradas no anexo III do Regulamento. Uma classe de dispositivos inclui sistemas e dispositivos particularmente críticos. Todos os dispositivos domésticos inteligentes e brinquedos interativos estão agora explicitamente incluídos.

Análise automática

Nos nossos testes, descobrimos que tais dispositivos muitas vezes apresentam lacunas de segurança significativas que poderiam ser facilmente identificadas através de uma análise automática de peças essenciais e, assim, corrigidas mais rapidamente. A área de produtos industriais e roteadores, que não estava incluída no rascunho anterior na versão atual, pode precisar ser aprimorada”, afirma Jan Wendenburg, CEO da Onekey. A empresa sediada em Düsseldorf opera uma plataforma de análise de segurança cibernética e conformidade de produtos que analisa o software contido em todos os dispositivos com acesso à rede e, além de uma listagem exata como lista de peças de software (SBOM), também permite uma análise de segurança detalhada com avaliação de risco de possíveis vulnerabilidades. A Onekey verifica e identifica automaticamente vulnerabilidades críticas de segurança e violações de conformidade em software incorporado, especialmente em dispositivos da Internet das Coisas, e as monitora e gerencia durante todo o ciclo de vida do produto. Os fabricantes agora podem criar mais facilmente a autodeclaração de conformidade que será exigida no futuro usando o novo Onekey Compliance Wizard, ou seja, um assistente virtual, e, se necessário, entregá-la a certificadores externos via exportação.

Prazos na Lei de Resiliência Cibernética

Para muitos fabricantes, o período de transição de 36 meses concedido pela UE já é apertado - o desenvolvimento de novos produtos e software normalmente leva anos - por isso todos os fabricantes devem começar a implementação imediatamente. A plataforma de análise automatizada da ONEKEY detecta vulnerabilidades e violações de conformidade em minutos, economizando tempo e custos significativos de desenvolvimento para fabricantes de dispositivos conectados. Os prazos para relatar vulnerabilidades de segurança descobertas são encurtados no último rascunho da Lei de Resiliência Cibernética: “Novas vulnerabilidades de segurança devem ser relatadas dentro de 24 horas às autoridades supervisoras nacionais e à Autoridade Europeia para a Segurança das Redes e da Informação ENISA. Para as empresas que fabricam ou comercializam dispositivos com acesso à Internet ou à rede, a gestão oportuna de riscos e a análise minuciosa de seus próprios produtos tornam-se ainda mais importantes, a fim de eliminar possíveis lacunas graves de dia zero muito antes da Lei de Resiliência Cibernética finalmente entrar em vigor “ identificar e fechar”, continua Jan Wendenburg da ONEKEY. Um componente essencial é a lista de materiais de software - a SBOM (Software Bill of Materials) - que, de acordo com a UE e autoridades como o Escritório Federal Alemão para Segurança da Informação (BSI), desempenhará um papel central na futura arquitetura de segurança. .

SBOM com um clique do mouse

A questão da responsabilidade pelo software de código aberto também foi recentemente regulamentada: nas versões anteriores da Lei de Resiliência Cibernética, a obrigação de cumprimento era imposta aos criadores do software. No entanto, a versão atual isenta explicitamente de responsabilidade as organizações de código aberto e as pessoas singulares que contribuam para projetos de código aberto. “Isto significa que a responsabilidade pelo cumprimento dos regulamentos da UE cabe exclusivamente às empresas que utilizam comercialmente o código-fonte aberto ou o comercializam como parte dos seus produtos.

O BSI formulou suas próprias diretrizes SBOM para esse fim. A Onekey já é capaz de atender aos requisitos de análise e representação transparente dos componentes usados ​​em toda a cadeia de fornecimento de software. Para isso, a plataforma Onekey Product Cybersecurity & Compliance analisa completamente o software e firmware contidos nos dispositivos e, além de listar todos os componentes incluídos, também realiza uma análise de risco de vulnerabilidades. “Nossa tecnologia permite uma análise aprofundada do software de dispositivos de todas as classes de dispositivos definidas pela UE”, explica o CEO Wendenburg. Com a verificação de conformidade integrada, os requisitos de conformidade técnica legal atuais e futuros, como IEC 62443-4-2, ETSI 303 645 ou a Lei de Resiliência Cibernética da UE e muitos outros, podem ser verificados automaticamente. No futuro, a autodeclaração de conformidade obrigatória será criada de forma muito mais rápida e fácil usando o novo Assistente de Conformidade com patente pendente usando um assistente virtual - e para certificações externas, todos os dados podem ser exportados para o certificador com apenas um clique.

Mais em OneKey.com

 

Sobre ONEKEY

ONEKEY (anteriormente IoT Inspector) é a principal plataforma europeia para análises automáticas de segurança e conformidade para dispositivos na indústria (IIoT), produção (OT) e Internet das Coisas (IoT). Usando "Digital Twins" e "Software Bill of Materials (SBOM)" criados automaticamente dos dispositivos, o ONEKEY analisa independentemente o firmware em busca de falhas críticas de segurança e violações de conformidade, sem qualquer código-fonte, dispositivo ou acesso à rede.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

 

mensagens de relações públicas
, , , ,