A Lei de Resiliência Cibernética (CRA) da Comissão Europeia visa fechar a colcha de retalhos digital de dispositivos e sistemas com conexão de rede. Redes industriais e infraestruturas críticas requerem proteção especial. A regulamentação da UE sobre resiliência cibernética pode significar milhões em multas para fabricantes, distribuidores e importadores.
Segundo a União Europeia, atualmente ocorre um ataque de ransomware a cada onze segundos; somente nas últimas semanas, atingiu um fabricante líder de alimentos para bebês e um fornecedor automotivo global de Nível 1 com sede na Alemanha, com o último sendo vítima de um ataque massivo de ransomware. Tal ataque até levou à insolvência do fabricante Prophete em janeiro de 2023.
Falhas de segurança deliberadas são punidas
A fim de responsabilizar fabricantes, distribuidores e importadores, penalidades severas são ameaçadas se brechas de segurança em dispositivos forem descobertas e não relatadas e fechadas corretamente. “A pressão sobre a indústria – fabricantes, distribuidores e importadores – está crescendo imensamente. A UE implementará este regulamento sem compromisso, mesmo que ainda haja algumas etapas de trabalho a serem concluídas, por exemplo, com as autoridades estaduais locais", diz Jan Wendenburg, diretor administrativo da empresa de segurança cibernética ONEKEY.
Multas: 15 milhões de euros ou 2,5 por cento das vendas anuais
As penalidades para os fabricantes e distribuidores afetados são, portanto, altas: até 15 milhões de euros ou 2,5% das vendas anuais globais no último ano financeiro - o número maior conta. "Isso torna inequivocamente claro: se as especificações não forem implementadas, os fabricantes enfrentarão penalidades severas", continuou Wendenburg.
Fabricantes, distribuidores e importadores são obrigados a notificar a ENISA – a Agência da União Europeia para Cibersegurança – no prazo de 24 horas se uma vulnerabilidade em qualquer um de seus produtos for explorada. A ultrapassagem dos prazos de reporte é penalizada.
Os fabricantes devem responder à Lei de Resiliência Cibernética
A proposta da Comissão prevê a aplicação dos novos requisitos 24 meses após a entrada em vigor do regulamento. Elementos individuais, como a obrigação de relatar incidentes de segurança, devem ser aplicados após 12 meses. “O horizonte de tempo é apertado, considerando que os pedidos de produtos de TI de fabricantes OEM já estão sendo feitos este ano para os próximos 12 a 18 meses. Portanto, a situação de tempo deve ser considerada e resolvida agora antes que um produto não possa ser lançado no mercado devido a defeitos ou o lançamento no mercado seja adiado", explica Jan Wendenburg da ONEKEY.
A empresa opera uma plataforma de análise de firmware para encontrar vulnerabilidades de segurança em dispositivos inteligentes e em rede - de robôs aspiradores de pó a controles industriais no valor de milhões. Com uma avaliação de prontidão de resiliência cibernética, a ONEKEY oferece a possibilidade de fabricantes, distribuidores e importadores já verificarem seus produtos quanto aos requisitos essenciais do Cyber Resilience Act e também examinar falhas de segurança e também o SBOM (Software Bill of Materials) pode ser preenchido com conteúdo.
Mais em ONEKEY.com
Sobre ONEKEY ONEKEY (anteriormente IoT Inspector) é a principal plataforma europeia para análises automáticas de segurança e conformidade para dispositivos na indústria (IIoT), produção (OT) e Internet das Coisas (IoT). Usando "Digital Twins" e "Software Bill of Materials (SBOM)" criados automaticamente dos dispositivos, o ONEKEY analisa independentemente o firmware em busca de falhas críticas de segurança e violações de conformidade, sem qualquer código-fonte, dispositivo ou acesso à rede.