A Comissão Europeia propôs hoje uma nova lei de ciber-resiliência que introduz na União Europeia (UE) requisitos obrigatórios de cibersegurança para produtos digitais, propondo multas de até 2,5% do volume de negócios ou até 15 milhões de euros.

“A Comissão apresentou hoje uma proposta para uma nova Lei de Ciber-Resiliência para proteger consumidores e empresas de produtos com características de segurança inadequadas”, sendo esta “uma primeira legislação deste tipo em toda a UE [que] introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais, ao longo de todo o seu ciclo de vida”, anuncia o executivo comunitário em comunicado.

Após ter sido delineada uma estratégia de cibersegurança há um ano pelo executivo comunitário, a nova legislação visa garantir que “os produtos digitais, tais como produtos e ‘software’ sem fios e com fios, sejam mais seguros para os consumidores em toda a UE”.

Em concreto, “além de aumentar a responsabilidade dos fabricantes, obrigando-os a fornecer suporte de segurança e atualizações de ‘software’ para lidar com as vulnerabilidades identificadas, permitirá aos consumidores ter informação suficiente sobre a segurança cibernética dos produtos que compram e utilizam”, adianta Bruxelas.

O regulamento proposto aplica-se a todos os produtos que estejam ligados direta ou indiretamente a outro dispositivo ou rede, embora estejam previstas algumas exceções para produtos para os quais os requisitos de cibersegurança já estão estabelecidos nas regras existentes da UE, por exemplo, relativamente a dispositivos médicos, aviação ou automóveis.

As aplicações móveis e os videojogos estão também abrangidos, de acordo com a instituição

Previsto na legislação está que, “para assegurar a aplicação efetiva das obrigações estabelecidas na presente lei, […] cada autoridade de fiscalização do mercado deve ter o poder de impor ou solicitar a imposição de multas administrativas”.

Em caso de incumprimento dos requisitos essenciais de cibersegurança, estão em causa multas de até 15 milhões de euros ou, se o infrator for uma empresa, de até 2,5% do seu volume de negócios anual total ao nível mundial referente ao exercício financeiro anterior.

Por seu lado, o não cumprimento de quaisquer outras obrigações ao abrigo do presente regulamento está sujeito a multas administrativas de até 10 milhões de euros ou, se o infrator for uma empresa, até 2% do seu volume de negócios anual.

Já o fornecimento de informações incorretas, incompletas ou enganosas aos organismos notificados e às autoridades de fiscalização do mercado, em resposta a um pedido, fica sujeito a multas de até cinco milhões de euros ou, se o infrator for uma empresa, até 1% do seu volume de negócios anual, segundo o regulamento proposto.

Caberá agora ao Parlamento Europeu e ao Conselho deliberar sobre a proposta de Lei de Resiliência Cibernética, destacando Bruxelas “a boa vontade” dos colegisladores e esperando que esta iniciativa avance rapidamente.

Após a entrada em vigor, os interessados terão 24 meses para se adaptarem aos novos requisitos, com exceção de um período de carência mais limitado de 12 meses em relação à obrigação de apresentação de relatórios por parte dos fabricantes.

Dados do Centro Comum de Investigação da Comissão Europeia, referentes a 2021, revelam que os ataques de resgate de ‘software’ atingem uma organização a cada 11 segundos em todo o mundo e têm um custo anual global estimado do cibercrime a atingir 5,5 biliões de euros.

Estima-se também que os custos anuais das violações de dados ascendam a pelo menos 10 mil milhões de euros, enquanto os custos anuais das tentativas maliciosas de perturbação do tráfego na internet são calculados em pelo menos 65 mil milhões de euros.

Lusa