A Lei de Resiliência Cibernética da Comissão Europeia, a lei mais abrangente que regulamenta a segurança cibernética de produtos na Europa, entrará em vigor em breve. Uma série de mudanças foram feitas recentemente que especificam o escopo da lei. A adoção formal é considerada segura nos círculos de especialistas.
“Do nosso ponto de vista de análise de segurança, a especificação da Lei de Resiliência Cibernética é muito bem-vinda, especialmente o nível de segurança ainda mais estendido para os usuários finais. As classes de dispositivos foram redefinidas: o artigo 6.º introduziu duas classes adicionais de risco de cibersegurança para produtos críticos de hardware e software, cujas funções principais estão enumeradas no anexo III do Regulamento. Uma classe de dispositivos inclui sistemas e dispositivos particularmente críticos. Todos os dispositivos domésticos inteligentes e brinquedos interativos estão agora explicitamente incluídos.
Análise automática
Nos nossos testes, descobrimos que tais dispositivos muitas vezes apresentam lacunas de segurança significativas que poderiam ser facilmente identificadas através de uma análise automática de peças essenciais e, assim, corrigidas mais rapidamente. A área de produtos industriais e roteadores, que não estava incluída no rascunho anterior na versão atual, pode precisar ser aprimorada”, afirma Jan Wendenburg, CEO da Onekey. A empresa sediada em Düsseldorf opera uma plataforma de análise de segurança cibernética e conformidade de produtos que analisa o software contido em todos os dispositivos com acesso à rede e, além de uma listagem exata como lista de peças de software (SBOM), também permite uma análise de segurança detalhada com avaliação de risco de possíveis vulnerabilidades. A Onekey verifica e identifica automaticamente vulnerabilidades críticas de segurança e violações de conformidade em software incorporado, especialmente em dispositivos da Internet das Coisas, e as monitora e gerencia durante todo o ciclo de vida do produto. Os fabricantes agora podem criar mais facilmente a autodeclaração de conformidade que será exigida no futuro usando o novo Onekey Compliance Wizard, ou seja, um assistente virtual, e, se necessário, entregá-la a certificadores externos via exportação.
Prazos na Lei de Resiliência Cibernética
Para muitos fabricantes, o período de transição de 36 meses concedido pela UE já é apertado - o desenvolvimento de novos produtos e software normalmente leva anos - por isso todos os fabricantes devem começar a implementação imediatamente. A plataforma de análise automatizada da ONEKEY detecta vulnerabilidades e violações de conformidade em minutos, economizando tempo e custos significativos de desenvolvimento para fabricantes de dispositivos conectados. Os prazos para relatar vulnerabilidades de segurança descobertas são encurtados no último rascunho da Lei de Resiliência Cibernética: “Novas vulnerabilidades de segurança devem ser relatadas dentro de 24 horas às autoridades supervisoras nacionais e à Autoridade Europeia para a Segurança das Redes e da Informação ENISA. Para as empresas que fabricam ou comercializam dispositivos com acesso à Internet ou à rede, a gestão oportuna de riscos e a análise minuciosa de seus próprios produtos tornam-se ainda mais importantes, a fim de eliminar possíveis lacunas graves de dia zero muito antes da Lei de Resiliência Cibernética finalmente entrar em vigor “ identificar e fechar”, continua Jan Wendenburg da ONEKEY. Um componente essencial é a lista de materiais de software - a SBOM (Software Bill of Materials) - que, de acordo com a UE e autoridades como o Escritório Federal Alemão para Segurança da Informação (BSI), desempenhará um papel central na futura arquitetura de segurança. .
SBOM com um clique do mouse
A questão da responsabilidade pelo software de código aberto também foi recentemente regulamentada: nas versões anteriores da Lei de Resiliência Cibernética, a obrigação de cumprimento era imposta aos criadores do software. No entanto, a versão atual isenta explicitamente de responsabilidade as organizações de código aberto e as pessoas singulares que contribuam para projetos de código aberto. “Isto significa que a responsabilidade pelo cumprimento dos regulamentos da UE cabe exclusivamente às empresas que utilizam comercialmente o código-fonte aberto ou o comercializam como parte dos seus produtos.
O BSI formulou suas próprias diretrizes SBOM para esse fim. A Onekey já é capaz de atender aos requisitos de análise e representação transparente dos componentes usados em toda a cadeia de fornecimento de software. Para isso, a plataforma Onekey Product Cybersecurity & Compliance analisa completamente o software e firmware contidos nos dispositivos e, além de listar todos os componentes incluídos, também realiza uma análise de risco de vulnerabilidades. “Nossa tecnologia permite uma análise aprofundada do software de dispositivos de todas as classes de dispositivos definidas pela UE”, explica o CEO Wendenburg. Com a verificação de conformidade integrada, os requisitos de conformidade técnica legal atuais e futuros, como IEC 62443-4-2, ETSI 303 645 ou a Lei de Resiliência Cibernética da UE e muitos outros, podem ser verificados automaticamente. No futuro, a autodeclaração de conformidade obrigatória será criada de forma muito mais rápida e fácil usando o novo Assistente de Conformidade com patente pendente usando um assistente virtual - e para certificações externas, todos os dados podem ser exportados para o certificador com apenas um clique.
Mais em OneKey.com
Sobre ONEKEY ONEKEY (anteriormente IoT Inspector) é a principal plataforma europeia para análises automáticas de segurança e conformidade para dispositivos na indústria (IIoT), produção (OT) e Internet das Coisas (IoT). Usando "Digital Twins" e "Software Bill of Materials (SBOM)" criados automaticamente dos dispositivos, o ONEKEY analisa independentemente o firmware em busca de falhas críticas de segurança e violações de conformidade, sem qualquer código-fonte, dispositivo ou acesso à rede.
Artigos relacionados ao tema