0
0
Com a Lei de Resiliência Cibernética ( CRA ) da UE, a indústria está lidando com um dos requisitos regulatórios mais rígidos. Fabricantes, importadores e até distribuidores de produtos com elementos digitais – ou seja, qualquer coisa com microchip – serão obrigados a tomar uma série de medidas rigorosas.
Até agora, quase não existem procedimentos estabelecidos para isso: “Entre outras coisas, a Lei de Resiliência Cibernética da UE exigirá uma avaliação de risco cibernético antes de um produto ser colocado no mercado. Todos os fabricantes devem começar agora a integrar os requisitos futuros no desenvolvimento de seus produtos, pois o desenvolvimento de novos produtos e variantes geralmente leva muitos meses e anos”, diz Jan Wendenburg , CEO da ONEKEY.
Requisitos de documentação e a necessidade de um SBOM
Além das medidas de segurança contra acesso não autorizado, as empresas também serão obrigadas a gerenciar vulnerabilidades e patches de software no futuro – antes que o dano seja causado por vulnerabilidades exploráveis.
“Durante todo o ciclo de vida do produto, os fabricantes devem gerenciar com eficácia as vulnerabilidades de seus produtos, realizar testes regulares e demonstrar gerenciamento abrangente de patches. Há também a obrigação de manter uma documentação clara”, continua Wendenburg.
Isso inclui a manutenção de uma lista de materiais de software (SBOM), que detalha todos os produtos de software – incluindo os ocultos – em um dispositivo ou sistema. Dependendo do produto e dos componentes instalados, podem existir centenas de montagens diferentes, cada uma com seu próprio “cérebro” e riscos ocultos.
As estruturas de pessoal também precisam ser implementadas: Certas tarefas e deveres do CRA precisam ser executados por um oficial em nome da organização. Isso inclui, por exemplo, o papel de pessoa de contato para as autoridades de fiscalização do mercado.
Redesenhar processos estabelecidos
Além dos requisitos de documentação, as empresas terão que atualizar regularmente o inventário de dados sobre os produtos e manter os dados por até dez anos após a colocação do produto no mercado.
“Está ficando claro que a pressão – mesmo que a Comissão da UE adie um pouco a lei – é alta. Produtos e componentes, incluindo os de terceiros, devem ser testados quanto a vulnerabilidades, fabricantes e importadores devem documentar isso e fornecer a capacidade necessária para atender às obrigações de informação. Para a indústria, isso significa repensar os processos de desenvolvimento e produção estabelecidos. Aqueles que não agirem a tempo aqui correm o risco de altas penalidades das autoridades”, concluiu Jan Wendenburg.
FONTE: HELPNET SECURITY