A Lei de Resiliência Cibernética (Cyber Resilience Act, CRA) é um desenvolvimento pioneiro na área de cibersegurança. Ela estabelece obrigações claras para os fabricantes de produtos digitais, especialmente com relação à implementação da Security by Design. Para receber a cobiçada marca CE, os futuros produtos estão sujeitos a requisitos mínimos de segurança. A CRA aborda aspectos essenciais, como proteção de acesso, confidencialidade, integridade e disponibilidade durante todo o processo de desenvolvimento. Este artigo examina os desafios e as oportunidades que a CRA traz para os fabricantes e considera o papel potencial da norma internacional IEC 62443 como uma peça importante nesse contexto.
Descubra o futuro da cibersegurança para produtos digitais na Lei de Resiliência Cibernética (CRA) - diretrizes claras, padrões mais elevados e uma estratégia pioneira para uma era digital mais segura.
A Lei de Resiliência Cibernética (CRA) estabelece diretrizes claras para os fabricantes de produtos digitais, que agora são obrigados a adotar uma estratégia de Security by Design. Para receber a cobiçada marca CE, os produtos sujeitos à CRA devem atender a requisitos mínimos de segurança no futuro. O texto legal dá grande ênfase a aspectos como proteção de acesso, confidencialidade, integridade e disponibilidade, que devem ser integrados a todo o processo de desenvolvimento. Além disso, a CRA regulamenta o gerenciamento de vulnerabilidades e o período em que os fabricantes são obrigados a fornecer atualizações de segurança.
O objetivo da CRA é fortalecer a confiança na infraestrutura digital da União Europeia e aumentar a competitividade das empresas europeias em nível global. Como uma lei da UE, ela não exige implementação nacional e entrou em vigor em toda a UE em 10 de dezembro de 2024.
A IEC 62443, como norma internacional, desempenha um papel fundamental, pois abrange tanto o processo de desenvolvimento seguro necessário quanto os requisitos técnicos para produtos e sistemas. Devido a essa congruência, a IEC 62443 poderia servir como uma base promissora para um padrão de CRA harmonizado. Uma Software Bill of Material (SBOM) padronizada é necessária para todos os produtos a fim de atender aos requisitos de gerenciamento de vulnerabilidades. Essa visão geral abrangente de todos os componentes do software é essencial. Além disso, as vulnerabilidades conhecidas devem ser registradas em formato digital, por exemplo, pelo Common Vulnerability Scoring System (CVSS).
A Lei de Resiliência Cibernética (CRA) é uma lei da UE que afeta todos os produtos com elementos digitais que têm recursos de comunicação. A CRA abrange hardware e software e se baseia no New Legislative Framework. A lei estabelece requisitos obrigatórios que devem ser cumpridos ao colocar produtos no mercado. Os produtos que estão em conformidade com essas regras têm a marca CE.
Por outro lado, isso significa que os produtos que não estiverem em conformidade não poderão mais ser colocados no mercado. E o provedor também deve parar de vender os produtos existentes se os requisitos de cibersegurança não forem atendidos.
A CRA estabelece requisitos claros de segurança para os produtos, incluindo proteção de acesso, proteção de confidencialidade, integridade, disponibilidade e um estado de fornecimento seguro. Para garantir um processo de desenvolvimento seguro, eles devem ser levados em conta principalmente durante o projeto, o desenvolvimento e a produção.
Como parte do processo de desenvolvimento seguro, os fabricantes devem verificar ativamente se há vulnerabilidades em seus produtos e corrigi-las imediatamente. Essa atualização de segurança será fornecida gratuitamente e se estenderá por um período de cinco anos. A CRA também introduz obrigações adicionais de comunicação: Os fabricantes devem notificar imediatamente a Agência da UE para a Cibersegurança (ENISA) caso tomem conhecimento de vulnerabilidades exploradas ativamente ou de ataques a seus produtos que possam comprometer a segurança, por exemplo, por meio da manipulação de áreas de download.
Antes de entrar no mercado, o fabricante deve garantir que seu produto esteja em conformidade com os padrões prescritos. A avaliação baseia-se na classificação do produto com relação à sua criticidade. Isso exige conformidade com os padrões europeus ou testes realizados por uma instituição autorizada. É dada atenção especial às infraestruturas críticas da indústria. Nesse contexto, é necessária a aplicação de padrões harmonizados e/ou a cooperação com uma instituição aprovada.
A CRA permite que os usuários se beneficiem de produtos que atendam a padrões mais elevados de cibersegurança e apresentem menos riscos de hackers, vulnerabilidades de segurança ou outros perigos. Esses produtos devem ter a marcação CE para mostrar sua conformidade com os novos requisitos.
Os fabricantes também são obrigados a manter os produtos durante todo o seu ciclo de vida e a oferecer atualizações automáticas de segurança. Portanto, os usuários podem confiar nas garantias de cibersegurança dos produtos com a marcação CE.
Os fabricantes enfrentam o desafio de garantir um processo de desenvolvimento seguro e implementar medidas de segurança abrangentes antes do lançamento no mercado. Isso é acompanhado por custos adicionais que podem afetar os recursos e os tempos de produção. A nova legislação promete benefícios consideráveis para os usuários finais, pois eleva o nível de segurança e minimiza significativamente os riscos na área da cibersegurança. Porém, os fabricantes enfrentam uma série de desafios que acarretam custos adicionais. No entanto, vale a pena enfrentar esses desafios, pois as infrações podem fazer com que as autoridades exijam melhorias ou retornos de produtos e imponham multas de até 15 milhões de euros ou 2,5% do faturamento global anual.
Mas há esperança, porque os requisitos básicos, conforme definidos pela CRA, são cobertos pelo processo de desenvolvimento seguro, de acordo com a IEC 62443-4-1, e pelas especificações funcionais, de acordo com a IEC 62443-4-2. Como tal, uma implementação da norma IEC 62443 é recomendável.
O sinal de partida foi dado. Agora é o momento de colocar medidas em prática e se preparar em conjunto. A Lei de Resiliência Cibernética (CRA) foi publicada oficialmente em 10 de dezembro de 2024. Até 11 de setembro de 2026, todos os produtos devem ter um sistema de gerenciamento de vulnerabilidades em conformidade. A partir de 11 de dezembro de 2027, a implementação completa total da CRA será exigida e todos os produtos relevantes deverão atender aos requisitos para obter a marca CE.
Agora é a hora de agir para cumprir os novos padrões de segurança e garantir a competitividade.
Nosso conceito de segurança a 360° completo
Na Phoenix Contact, contamos com uma abordagem abrangente de segurança a 360°, que integra produtos seguros como um elemento central. Os produtos seguros são desenvolvidos de acordo com os padrões da IEC 62443-4-1, enquanto os requisitos para as funções de segurança são atendidos de acordo com a IEC 62443-4-2. A equipe PSIRT (Product Security Incident Response Team) é responsável pelo tratamento eficaz das vulnerabilidades.
Graças a essa estratégia, a Phoenix Contact está bem posicionada para cumprir as novas exigências legais. Também oferecemos aos nossos clientes soluções de aplicação e serviços seguros. A certificação independente da TÜV SÜD confirma a conformidade com os processos de cibersegurança de acordo com a norma IEC 62443.
