A União Europeia (UE) adotou o seu primeiro esquema de certificação de cibersegurança como parte dos esforços para aumentar a segurança cibernética dos produtos e serviços de TI nos Estados-Membros.
O Sistema Europeu de Cibersegurança baseado em Critérios Comuns (EUCC) foi elaborado pela Agência da União Europeia para a Cibersegurança (ENISA) em coordenação com os Estados-Membros.
O regime voluntário, que se enquadra no quadro de certificação da cibersegurança da UE, substituirá as atuais certificações nacionais de cibersegurança após um período de transição.
O EUCC permitirá que os fornecedores de TIC passem por um processo de avaliação comumente entendido pela UE para demonstrar a garantia da segurança cibernética para produtos digitais, como componentes tecnológicos, hardware e software.
As normas a nível da União foram concebidas para ajudar os fornecedores europeus de TIC a competir nos mercados nacionais, da UE e globais, incentivando os fornecedores a melhorar a sua segurança.
Como funcionará o novo esquema de certificação de segurança cibernética da União Europeia?
O EUCC propõe dois níveis de garantia com base no nível de risco associado ao uso pretendido do produto, serviço ou processo. Este nível de risco é calculado em relação à probabilidade e ao impacto de um acidente.
Os seus requisitos baseiam-se no quadro de avaliação dos critérios comuns SOG-IS já utilizado em 17 Estados-Membros da UE.
Os fornecedores poderão converter seus SOG-IS existentes em certificados EUCC após avaliarem suas soluções em relação aos requisitos adicionados ou atualizados, conforme especificado no EUCC.
A ENISA publicará certificados emitidos ao abrigo do EUCC.
Juhan Lepassaar, Diretor Executivo da ENISA, comentou: “A adoção do primeiro esquema de certificação de cibersegurança representa um marco rumo a um mercado único digital confiável da UE e é uma peça do puzzle do quadro de certificação de cibersegurança da UE que está atualmente em construção. ”
A ENISA acrescentou que está atualmente a trabalhar em dois outros esquemas de certificação de cibersegurança – para serviços em nuvem e segurança 5G.
A Agência realizou também um estudo de viabilidade sobre os requisitos de certificação da UE em matéria de cibersegurança no domínio da IA.
Aumento das regulamentações e padrões de segurança cibernética
Demonstrar competência em segurança por meio de certificações tornou-se vital para as empresas em meio aos crescentes requisitos de conformidade e à crescente conscientização das partes interessadas sobre questões cibernéticas e de privacidade.
O anúncio da UE segue-se a uma série de atividades legislativas em matéria de segurança cibernética do órgão supranacional. Em dezembro de 2023, chegou a acordo sobre a Lei da Resiliência Cibernética (CRA), que visa introduzir requisitos de segurança para os fabricantes de dispositivos conectados na União.
Em janeiro de 2023, a UE atualizou a sua Diretiva de Segurança das Redes e da Informação (NIS2), impondo padrões comuns de segurança cibernética às organizações industriais críticas. O prazo para a transposição das disposições para a legislação nacional dos Estados membros é 17 de outubro de 2024.
Além disso, no ano passado, a certificação ISO/IEC 27001 foi atualizada para refletir as novas práticas de negócios e o aumento da dependência de serviços em nuvem.
Para saber mais, clique aqui.