A Comissão Europeia propôs revisões abrangentes da sua Lei de Segurança Cibernética, com o objetivo de reforçar a supervisão dos fornecedores de tecnologia de alto risco que operam na UE. Esta medida surge num contexto de crescentes ataques cibernéticos e de preocupações de longa data sobre a dependência de fornecedores de países considerados como representando riscos para a segurança nacional – principalmente empresas chinesas como a Huawei e a ZTE.
Crescentes ameaças cibernéticas estimulam a ação
Os ciberataques em toda a UE estão a aumentar em frequência e sofisticação. Dados recentes indicam cerca de 150 incidentes relatados apenas na semana passada, abrangendo ransomware, espionagem e ataques direcionados a infraestruturas críticas. Este aumento na atividade sublinha a urgência de uma abordagem mais coordenada à segurança da cadeia de abastecimento.
Durante anos, Bruxelas expressou frustração com a natureza voluntária da Caixa de Ferramentas de Segurança 5G 2020, que incentivou, mas não mandatou, os Estados-Membros a limitarem os fornecedores de alto risco. A Comissária Técnica, Henna Virkkunen, enfatizou repetidamente que as medidas voluntárias são insuficientes, dado que os fornecedores de alto risco permanecem integrados nas redes 5G da Europa.
Novos poderes para a Comissão e a ENISA
Ao abrigo do quadro revisto, a Comissão ganharia autoridade para realizar avaliações de risco a nível da UE, conduzindo potencialmente a restrições ou proibições de equipamentos utilizados em infraestruturas sensíveis. As avaliações considerarão o país de origem de um fornecedor e o seu impacto na segurança nacional, embora o processo pretenda ser, em princípio, neutro em termos de país – o que significa que as empresas dos EUA também poderão enfrentar escrutínio sob certas condições.
A Agência da UE para a Cibersegurança (ENISA) também verá o seu papel significativamente alargado. A ENISA emitirá alertas precoces sobre ameaças emergentes, coordenará as respostas a incidentes graves (como ataques de ransomware) em colaboração com a Europol e as autoridades nacionais e supervisionará um sistema centralizado de comunicação de incidentes na UE.
Custos de transição e conformidade
A Comissão reconhece que a eliminação progressiva de fornecedores de alto risco acarretará custos económicos. As operadoras de telecomunicações terão vários anos para abandonar estes fornecedores, enquanto a Comissão promete simplificar os procedimentos de certificação e reduzir os encargos de conformidade para as empresas que operam em vários estados membros. Esta agenda de simplificação visa equilibrar as preocupações de segurança com as realidades económicas.
Obstáculos políticos e atrasos na implementação
A proposta enfrenta agora negociações com o Parlamento Europeu e os governos da UE, onde se espera resistência por parte das capitais hesitantes em ceder o controlo sobre as decisões de segurança nacional a Bruxelas. Dada esta oposição e a complexidade da implementação, é pouco provável que a Lei revista da Cibersegurança esteja totalmente operacional durante vários anos.
Este atraso levanta questões sobre a capacidade da UE de combater eficazmente a interferência estrangeira existente em infra-estruturas críticas. Embora o novo quadro represente um passo significativo no sentido do reforço da supervisão da segurança cibernética, a sua eficácia a longo prazo dependerá de uma ação rápida e unificada dos Estados-Membros.
