A Lei de Resiliência Cibernética da União Europeia (CRA, na sigla em inglês) é um marco regulatório que visa fortalecer a segurança e a confiança dos serviços essenciais e digitais na Europa. Aprovada pelo Parlamento da UE em março passado, a nova legislação tem por objetivo melhorar a segurança cibernética de produtos que podem ser conectados entre si ou à Internet. Isto se aplica a produtos para consumidores finais, bem como aos usados por empresas em sua produção, por exemplo.
Isso significa que a Lei de Resiliência Cibernética é relevante para todas as empresas que fabricam esses produtos, ou os utilizam na sua produção. Além disso, a legislação também se aplica tanto a operadores de serviços essenciais (OSEs), quanto provedores de serviços digitais (PSDs). Os OSEs são aqueles que fornecem serviços críticos para a sociedade e a economia, como energia, transporte, saúde, água, finanças e infraestrutura digital. Os PSDs são aqueles que oferecem serviços online, como nuvem, mecanismos de busca, redes sociais e comércio eletrônico.
As empresas que operam no Brasil e exportam para a Europa devem estar atentas aos requisitos e às implicações da CRA. Em primeiro lugar, as empresas brasileiras que prestam serviços essenciais ou digitais para o mercado europeu devem se adequar às normas e aos padrões da CRA, sob pena de multas ou sanções administrativas. Isso significa que devem implementar políticas e procedimentos de cibersegurança, realizar avaliações de risco, adotar medidas de proteção e recuperação, e comunicar às autoridades europeias qualquer incidente que possa comprometer a segurança ou a disponibilidade dos seus serviços.
Outro ponto é que empresas brasileiras que desejam expandir ou consolidar os seus negócios na Europa devem considerar a CRA como um diferencial competitivo e uma oportunidade de mercado. Para isso elas devem demonstrar aos seus clientes e parceiros que possuem um alto nível de cibersegurança e resiliência, o que pode aumentar a sua reputação e a sua confiança.
Como se preparar para a CRA?
A CRA demanda uma avaliação contínua das empresas em relação aos riscos e às medidas de cibersegurança. Portanto, a preparação antecipada é essencial para estar em conformidade com a lei e evitar problemas futuros. Para isso, as empresas precisam realizar uma análise de risco dos seus sistemas e serviços, levando em conta os cenários de ameaças, as vulnerabilidades, os ativos, os impactos e as probabilidades de ocorrência de incidentes cibernéticos.
Além disso, é preciso adotar medidas técnicas e organizacionais para prevenir, detectar, responder e recuperar-se de incidentes cibernéticos, seguindo as melhores práticas e as normas internacionais de cibersegurança, como a ISO 27001, a NIST SP 800-53 e a CIS Controls.
As empresas que operarem no mercado europeu também precisam estabelecer um processo de notificação de incidentes cibernéticos, que inclua a definição dos critérios, dos procedimentos, dos canais e dos prazos para comunicar às autoridades competentes e aos usuários afetados.
Também será preciso monitorar e revisar periodicamente o seu nível de cibersegurança e resiliência, verificando se há novos riscos, ameaças, vulnerabilidades ou requisitos que demandem ajustes ou melhorias nas suas medidas de proteção e recuperação.
Conclusão
A Lei de Resiliência Cibernética da União Europeia é uma iniciativa que visa aumentar a segurança e a confiança dos serviços essenciais e digitais na Europa, bem como a cooperação entre os países membros. A CRA impõe uma série de obrigações e responsabilidades às empresas que fornecem ou dependem desses serviços, o que pode afetar as empresas brasileiras que operam no Brasil e exportam para a Europa. Por isso, é importante que as empresas brasileiras se informem, se preparem e se adaptem à CRA, visando não apenas cumprir a lei, mas também aproveitar as oportunidades e os benefícios de ter um alto nível de cibersegurança e resiliência.
Eduardo Gomes, Gerente de Cibersegurança na TÜV Rheinland.
