Bruxelas acaba de apresentar um pacote legislativo para reforçar a cibersegurança na União Europeia. Com destaque para a proposta de revisão do Cybersecurity Act, o quadro legal que define o regime de certificação e a estrutura de segurança para produtos, serviços e processos no espaço digital europeu. A iniciativa surge num contexto de crescentes ataques cibernéticos e de ameaças híbridas a infraestruturas críticas, e visa dotar a UE de uma abordagem mais robusta, coordenada e eficaz face aos riscos atuais e futuros.
O Cybersecurity Act original, em vigor desde 2019, estabeleceu um sistema voluntário de certificação e reforçou o papel da EU Agency for Cybersecurity (ENISA) para apoiar Estados-Membros na gestão de riscos digitais. A revisão agora proposta amplia e moderniza esse quadro com vários objetivos centrais. Como fortalecer a segurança das cadeias de fornecimento de tecnologias de informação e comunicação (TIC), reduzindo vulnerabilidades e dependências em fornecedores considerados de alto risco.
Outro objetivo é simplificar e tornar mais eficiente o processo de certificação de produtos e serviços digitais. O que passa por clarificar regras e procedimentos sob o European Cybersecurity Certification Framework (ECCF), para assegurar que equipamentos e aplicações usados por consumidores e empresas cumprem padrões elevados de segurança.
Facilitar o cumprimento das regras de cibersegurança pelas empresas através da redução de encargos administrativos e da harmonização de obrigações de reporte de incidentes é outra meta. Assim como reforçar a ENISA, para que possa coordenar melhor a resposta a ameaças transnacionais, apoiar estados-membros, e fomentar a partilha de informações priorizadas entre atores públicos e privados.
Para a vice-presidente da Comissão Europeia com a pasta da soberania tecnológica, segurança e democracia, Henna Virkkunen, a revisão "é essencial para preparar a Europa para os desafios crescentes do ciberespaço", destacando a necessidade de um enquadramento que proteja melhor cidadãos e empresas contra ataques sofisticados e interrupções em setores críticos. Segundo Virkkunen, a proposta pretende também reforçar a confiança do público e do mercado na segurança das tecnologias digitais e garantir que a União Europeia não fique atrás de outras grandes economias na luta pela segurança digital global.
A revisão do Cybersecurity Act insere-se no esforço mais amplo da Comissão para consolidar a resiliência digital, depois da adoção de diplomas como a diretiva NIS2, que abrange a proteção de infraestrutura crítica em setores diversos. Numa Europa cada vez mais digitalizada, os ataques cibernéticos a redes elétricas, sistemas de saúde, telecomunicações ou serviços públicos podem ter consequências sociais e económicas graves - um cenário que torna a atualização da legislação uma prioridade estratégica.
Além disso, a proposta procura reduzir os riscos associados a cadeias de fornecimento globais complexas, que incluem componentes e serviços de países terceiros, com mecanismos mais rigorosos de avaliação e resposta a riscos que podem ameaçar a soberania tecnológica da UE.
O pacote agora apresentado pela Comissão Europeia será discutido pelo Parlamento Europeu e pelo Conselho da UE, que terão de chegar a um acordo para que as medidas entrem em vigor. Depois de aprovadas, estas alterações deverão ser transpostas para as legislações nacionais dos estados-membros, num processo que pode levar vários anos, considerando a abrangência e a importância das normas para o mercado único digital.
