Como a UE garante que as empresas levem a segurança a sério?

segurança

A União Europeia introduziu um novo regulamento (2019/881), que trata dos principais aspectos da segurança cibernética.

O regulamento, que entrou em vigor em 27 de junho, visa melhorar a proteção e a segurança no ciberespaço. Vejamos seus pontos principais.

A Transformação Digital que passa pelos processos e serviços das empresas significa que as leis e regulamentos relevantes devem ser elaborados ou alterados com a frequência necessária para serem adaptados à situação atual.

A cibersegurança se tornou uma grande preocupação. Existem cada vez mais ataques cibernéticos que podem causar grandes problemas para empresas, organizações públicas e indivíduos.

Vale ressaltar que a maioria dos ataques na UE vem de países dentro de suas fronteiras, sendo a Holanda a sua principal fonte de origem.

Além disso, a crescente necessidade de conectar e integrar várias tecnologias e dispositivos abre as portas para novas vulnerabilidades.

Até recentemente, a legislação de segurança cibernética era de responsabilidade de cada país. No entanto, o fato de essas ameaças não conhecerem fronteiras exigiu o desenvolvimento de uma estrutura legal que regulamentará a gestão do ciberespaço a nível europeu.

Com isso em mente, foi criado o Regulamento Europeu 2019/881, que trata da segurança cibernética em todos os níveis, nos países da União Europeia.

Esta nova lei de segurança cibernética, que revoga o Regulamento 526/2013, consiste em dois eixos principais em que é desenvolvida. Por um lado, estabelece as bases para a estrutura e operação da Organização Europeia para Segurança e Cooperação na Europa (ENISA) e, por outro lado, define os padrões que permitirão a certificação da segurança cibernética para as tecnologias da informação na Europa de 28 países.

Sob o novo Regulamento Europeu 2019/881, a ENISA pretende entrar em contato com todos os estados membros, fazendo com que o organismo de referência de segurança cibernética reduza a fragmentação existente.

Para que produtos e serviços de tecnologia sejam aceitos por todas as garantias de segurança, é necessário definir sistemas de certificação de segurança cibernética. Esses sistemas devem ser definidos adequadamente (objetivos, dados, níveis de aplicação, procedimentos de aprovação, avaliação, revisão etc.).

Além disso, serão publicadas listas de produtos, serviços e procedimentos que foram avaliados de acordo com os requisitos de segurança cibernética exigidos nesses sistemas. Todas essas informações, incluindo planos, serão publicadas no site da ENISA.

As organizações que desejam tirar proveito dessas medidas devem atender a certas condições, incluindo as seguintes:

  • Forneça aos usuários recomendações sobre a instalação, configuração, operação e manutenção de seus produtos ou serviços.
  • Tenha atualizações disponíveis.
  • Informe os usuários sobre possíveis problemas de segurança.
  • Conceda acesso a arquivos que refletem as vulnerabilidades do produto ou serviço.
  • O Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor em 25 de maio de 2018. Esta nova lei se aplica a todas as empresas que coletam e processam dados pertencentes a cidadãos da União Europeia (UE).