Defendendo seus serviços digitais: uma visão interna da Lei Europeia de Resiliência Cibernética

Todas as mensagens

Bem sucedido ataques cibernéticos contra produtos de hardware e software estão se tornando perturbadoramente frequentes. De acordo com a Cybersecurity Ventures, o cibercrime custou ao mundo cerca de 7 biliões de dólares em 2022. Com um preço tão elevado, não é de admirar que tanto as empresas como os governos estejam atentos. Os EUA lideraram o caminho com o ordem executiva presidencial sobre como melhorar a segurança cibernética da nação emitida em 12 de maio de 2021. Isto foi seguido por a estrutura de desenvolvimento de software seguro (SSDF) do NIST isso está lentamente se tornando uma nova melhor prática estabelecida, necessária como algo natural em qualquer produto de software. A União Europeia não está de braços cruzados – A Lei Europeia de Resiliência Cibernética é uma proposta de legislação destinada a reforçar a segurança cibernética de infraestruturas críticas em toda a UE. 

A fase de coleta de feedback para o projeto de lei começou em dezembro de 2020, mas o primeiro rascunho do projeto de lei só foi publicado em 14 de setembro de 2022. Uma vez que qualquer legislação em grande escala poderia ter implicações de amplo alcance, pensamos em tomar a iniciativa mergulhe e tente explicar do que se trata esse projeto de lei e quem será impactado por ele. Comecemos com uma breve visão geral da legislação proposta.

Dividindo a conta: o que você precisa saber

A ECRA visa reforçar a cibersegurança das infraestruturas críticas em toda a União Europeia (UE). A lei afeta principalmente operadoras de serviços essenciais e prestadores de serviços digitais. Estes são definidos na Diretiva existente da UE sobre a segurança das redes e dos sistemas de informação (Diretiva NIS) e incluem, entre outros, os setores de energia, transportes, bancos, saúde e infraestruturas digitais.

O ato proposto aplicar-se-ia também aos prestadores de serviços digitais que não são abrangidos pela Diretiva SRI, mas que oferecem serviços em linha aos consumidores na UE. Isso inclui mercados online, serviços de computação em nuvem e mecanismos de pesquisa.

Uma vez que visa abranger quaisquer dispositivos conectados ainda não abrangidos por outra legislação da UE, é provável que tenha impacto na IoT e noutros dispositivos conectados, especialmente aqueles que já estão no mercado.

A lei proposta inclui uma série de medidas, tais como:

  • O estabelecimento de um esquema de certificação de cibersegurança para operadores de serviços essenciais e prestadores de serviços digitais.
  • A criação de uma plataforma de partilha de informações de segurança cibernética para ajudar as organizações a partilhar informações sobre ameaças e incidentes cibernéticos. O projeto de lei proposto inclui uma obrigação de comunicação de qualquer evento de segurança cibernética no prazo de 24 horas à Agência da União Europeia para a Segurança Cibernética (ENISA). 
  • A adoção de uma metodologia comum para avaliar os riscos de cibersegurança e o desenvolvimento de diretrizes para a gestão de riscos.
  • A criação de um Centro Europeu de Resiliência Cibernética para prestar apoio aos Estados-Membros em caso de ataque cibernético.

É importante ressaltar que a legislação proposta inclui um esquema de certificação para produtos, serviços e processos de TIC. O processo de certificação envolve uma avaliação de conformidade por um organismo de avaliação de conformidade (CAB) designado para determinar se o produto, serviço ou processo atende aos requisitos especificados na Lei. A lei estabelece um Conselho Europeu de Certificação de Resiliência Cibernética, que é responsável por manter o sistema de certificação e garantir a sua consistência em toda a UE. Os testes e auditorias regulares devem continuar mesmo depois que o novo conselho emitir um certificado de conformidade ao fornecedor do produto, serviço ou processo em questão. O monitoramento contínuo garantiria que a conformidade com os requisitos do projeto de lei não diminuísse depois que um certificado fosse concedido – a manutenção da conformidade deve ser contínua.

Além disso, a ECRA propõe uma série de medidas para melhorar a cooperação e a partilha de informações entre os Estados-Membros da UE e para reforçar as capacidades de cibersegurança da UE. Estas incluem a criação de um Centro Europeu de Competências em Cibersegurança e de uma rede de centros nacionais de coordenação em cibersegurança, bem como o desenvolvimento de um quadro comum para a notificação e resposta a incidentes de cibersegurança. O projecto de lei propõe também a criação de uma base de dados europeia sobre vulnerabilidades, de modo a não depender apenas dos dados dos EUA. NVID.

O projeto de lei também abrange a fiscalização e a aplicação do mercado para garantir que os novos padrões sejam devidamente observados em todos os estados membros e para quaisquer dispositivos e serviços cobertos oferecidos no mercado da UE, independentemente de onde foram fabricados.

Como isso se relaciona com as melhores práticas recentes dos EUA?

Tal como mencionado acima, tanto os EUA como a UE decidiram melhorar as proteções de cibersegurança dos seus respetivos mercados. Como tal, faz sentido verificar se alguma das novas melhores práticas dos EUA foi incluída na ECRA.

Para aqueles familiarizados com o SSDF (NIST 800-218) parte da linguagem da ECRA pode parecer familiar. O projeto de lei exige que a segurança seja incluída nos produtos desde o seu início e não seja “adicionada” posteriormente. A ECRA inclui requisitos para a identificação e gestão de riscos da cadeia de abastecimento, e o Sistema Europeu de Certificação de Cibersegurança proposto, embora ainda não devidamente definido, provavelmente exigiria o uso de Lista de materiais de software (SBOM) e práticas seguras de desenvolvimento de software.

A proposta também apela à implementação de medidas técnicas e organizacionais para proteger os sistemas de informação e os dados, incluindo a utilização de autenticação e encriptação fortes, capacidades de monitorização e deteção, planeamento de resposta a incidentes e testes e auditorias regulares de segurança – todos os elementos claramente definidos no SSDF.

Uma das novas melhores práticas promovidas nos EUA é o uso do SBOM para rastrear dependências, vulnerabilidades e licenciamento de software. O objetivo é aumentar a transparência do produto e permitir que fabricantes e usuários tenham uma visão mais clara do que exatamente pode estar oculto dentro do produto. Embora a ECRA não mencione explicitamente o SBOM, vale a pena notar que a questão da transparência do software, que inclui o conceito de SBOMs, tem sido um tema de discussão no contexto da estratégia de segurança cibernética da União Europeia. Em junho de 2021, a Comissão Europeia divulgou uma proposta para um Regulamento sobre resiliência operacional digital para o setor financeiro, que inclui a exigência de que as entidades financeiras utilizem e mantenham um “inventário abrangente e atualizado dos seus sistemas e ativos de TIC”. Este inventário deverá incluir “um mapa atualizado das interconexões e interdependências dos sistemas e ativos de TIC e, quando relevante, dos respetivos componentes de software e hardware”.

Embora este requisito seja específico do sector financeiro, sugere que a União Europeia está a considerar a importância da transparência do software para garantir a resiliência da cibersegurança. Resta saber se a Lei Europeia de Resiliência Cibernética ou outras iniciativas legislativas incluirão requisitos mais explícitos para os SBOMs no futuro. 

Como esse projeto de lei afetará você? 

Como a ECRA ainda não é definitiva, é difícil ser definitivo aqui. O que podemos fazer é traçar paralelos com outra legislação abrangente da UE – o RGPD. 

O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento abrangente de privacidade e proteção de dados que a União Europeia (UE) adotou em abril de 2016 e entrou em vigor em 25 de maio de 2018. O projeto se aplica a todas as organizações que coletam, processam ou armazenam os dados pessoais de indivíduos localizados na UE, independentemente da localização da organização ou da localização dos dados armazenados. Impõe obrigações às organizações para garantir a segurança e a privacidade dos dados pessoais, incluindo requisitos para notificação de violação de dados, avaliações de impacto na proteção de dados e privacidade desde a conceção e por defeito. As organizações que não cumprirem o GDPR podem enfrentar multas significativas e outras penalidades.

Nos anos desde que vimos o projeto de lei do GDPR entrar em vigor, notamos um efeito “trickle-down” deste regulamento. Inicialmente, apenas as organizações que faziam negócios na UE sentiram que precisavam de cumprir. As empresas dos EUA enfrentaram várias multas pesadas por desrespeitarem os requisitos do projeto de lei. Hoje, mesmo as empresas que não têm nada a ver com os cidadãos da UE seguem o regulamento. Só faz sentido cumprir para que, se e quando quiser vender para a Europa, não haja necessidade de lutar pelo cumprimento.  

No geral, a ECRA pensa da mesma maneira. Com grande parte do mundo ainda a lutar para responder ao aumento dos incidentes de cibersegurança, qualquer legislação abrangente e clara destinada a mitigar as deficiências de segurança dos produtores de software tem boas hipóteses de ser adoptada. Mais uma vez – faz sentido cumprir antecipadamente para que, se e quando estiver pronto para vender para a UE, já esteja coberto. 

Isso significa que a resposta à pergunta 'Este projeto de lei vai me afetar?' é um retumbante sim se você tiver alguma coisa a ver com fabricação de software. Isso pode não afetá-lo desde o início, mas em algum momento você precisará estar em conformidade, mesmo que seja apenas reconhecido como uma nova prática recomendada comum.

Felizmente, um hub de segurança baseado em evidências pode ajudar

Para superar os crescentes desafios de segurança, estamos actualmente a testemunhar a evolução da segurança de aplicativos para segurança da cadeia de suprimentos de software. Inclui uma nova geração de tecnologias e novas ferramentas que tentam enfrentar estes desafios. Ferramentas e soluções automatizadas ajudam as organizações a alcançar um novo nível de segurança, fornecendo uma plataforma contínua de garantia de segurança de código baseada em evidências que pode atestar a confiabilidade do ciclo de vida de desenvolvimento de software e dos componentes de software.

Escriba é um centro de segurança da cadeia de suprimentos de software. Ele coleta evidências e as apresenta para cada compilação executada em seu pipeline de CI/CD. A solução da Scribe foi desenvolvida para facilitar a conformidade com as regulamentações e melhores práticas dos EUA e da UE em termos de aumento da transparência do software e da confiança entre fornecedores e usuários de software. A plataforma permite a criação e compartilhamento detalhado de SBOM, bem como outros insights de segurança. Além do mais, a plataforma pode verificar se a construção que você está vendo é compatível com SLSA nível 3 e com a estrutura SSDF do NIST. Considerando as relações e semelhanças óbvias entre o ECRA e o SSDF, ser capaz de atestar que o seu software é compatível com o SSDF também pode ajudar muito a estabelecer a sua conformidade com o ECRA.

Bandeira

Uma palavra final: não seja pego despreparado

A Lei Europeia sobre Resiliência Cibernética é atualmente apenas uma proposta e ainda não foi adotada pela UE. O ato proposto está atualmente em processo legislativo, sendo revisto pelo Parlamento Europeu e pelo Conselho da UE. Espera-se que o projeto passe por várias rodadas de negociações e revisões antes de ser adotado como lei. Há uma boa chance de que a versão final da lei possa mudar, incluindo as disposições relacionadas à segurança dos produtos, à certificação e aos produtos e setores que o projeto de lei abrange. 

É importante notar que os detalhes de como a lei propõe verificar se os produtos atendem aos padrões de segurança cibernética ainda não foram totalmente abordados na minuta publicada. A versão final da lei pode incluir requisitos mais específicos para certificação e verificação de produtos, entre muitas outras áreas que requerem esclarecimentos. Dado que a legislação ainda não foi totalmente implementada, as partes interessadas da indústria sugeriram que a legislação deveria incluir definições mais precisas, tendo em conta as variações na criação, funcionalidade e utilização de produtos digitais. Deixaram claro que requisitos demasiado rigorosos em matéria de cibersegurança correm o risco de manter as PME fora do mercado. Para mostrar exatamente como as coisas são incertas, um novo atualizar de dezembro de 2022 já colocou os produtos SAAS claramente fora do âmbito do regulamento. 

Para dar tempo aos estados da UE e aos criadores de produtos relevantes para se adaptarem, o regulamento proposto entrará em vigor 24 meses após a sua entrada em vigor, com exceção da obrigação de apresentação de relatórios para os fabricantes, que entrará em vigor 12 meses após a data da projeto de lei virando lei. Dois anos podem parecer muito tempo, mas se você dirige uma pequena ou média empresa e de repente precisa seguir uma série de novas regulamentações de segurança cibernética, esse prazo pode parecer muito curto.

Independentemente dos detalhes exatos, a ECRA representa um avanço significativo nos esforços da UE para melhorar a segurança cibernética e proteger infraestruturas críticas e todos podemos esperar um mundo onde a maioria das empresas cumpra a ECRA com a mesma naturalidade com que informam os clientes sobre a sua recolha de cookies. política.  

Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.