A Pilz informa e dá dicas para a implementação – Legalmente vinculativo: como as empresas podem se preparar agora para o Cyber Resilience Act

O Cyber Resilience Act (CRA) foi publicado recentemente no Diário Oficial da União Europeia. O regulamento contém requisitos para a segurança cibernética de produtos com elementos digitais. As empresas afetadas têm 36 meses para implementar os requisitos contidos do CRA. Certas obrigações de notificação devem ser cumpridas já nos próximos 21 meses. Quem é obrigado a fazer isso? E o que é exigido no CRA?

O ato jurídico da UE sobre resiliência cibernética: o objetivo do CRA é proteger melhor os usuários e as empresas contra ataques cibernéticos. O CRA inclui uma variedade de requisitos para os fabricantes, importadores e distribuidores de produtos com elementos digitais capazes de se comunicar com outros produtos. Isso inclui produtos de hardware e de software. Ele envolve produtos do setor B2C, como smartphones ou robôs aspiradores, produtos do setor B2B, como comandos e sensores, e também produtos de software puros, como sistemas operacionais. O CRA foi publicado no Diário Oficial da União Europeia em 20.11.2024. Como regulamento, essa lei é diretamente aplicável nos estados membros da UE.

Os principais requisitos para fabricantes de máquinas

• Avaliação e garantia dos riscos: os fabricantes devem projetar e desenvolver os produtos de modo que um nível adequado de segurança cibernética seja garantido durante todo o ciclo de vida do produto.
• Gerenciamento de vulnerabilidades: vulnerabilidades conhecidas devem ser eliminadas pelo fabricante por meio de atualizações de segurança gratuitas, salvo acordo em contrário entre o fabricante e o usuário comercial.
• Documentação: os fabricantes devem identificar e documentar as vulnerabilidades e os componentes dos seus produtos.
• Obrigações de notificação: dentro de 24 horas após tomar conhecimento de uma vulnerabilidade explorada, o fabricante deverá relatá-la por meio da plataforma de notificação da ENISA (European Union Agency for Cybersecurity).

O que os fabricantes de máquinas podem fazer agora

Como especialista em automação segura, a Pilz recomenda que todos os fabricantes de máquinas atendam prontamente às exigências do CRA e desenvolvam conceitos para cooperação com fabricantes de componentes e operadores. Em qual zona de rede a máquina deve ser operada? Como deve-se lidar com as atualizações de software? Se essas questões forem esclarecidas com antecedência, todos os agentes econômicos poderão cumprir suas novas obrigações técnicas e organizacionais. Há décadas a Pilz auxilia fabricantes de máquinas e usuários com a segurança das suas máquinas e instalações, inclusive com as novas exigências da Industrial Security. Pois, sem segurança, incluindo as medidas de Safety tomadas, uma máquina fica vulnerável e desprotegida. Para isso, medidas de precaução devem ser tomadas.

Duas dicas práticas para implementar os requisitos do CRA

1. Sempre atualizado: ao assinar as newsletters e os feeds RSS, em eur-lex.europa.eu, você ficará informado sobre as mudanças legislativas na UE.
2. O Common Security Advisory Framework (CSAF) é uma estrutura padronizada e de código aberto para a comunicação e a distribuição automatizada de informações sobre vulnerabilidades e mitigações processáveis por máquina, as chamadas Security Advisories.

• Você encontra mais informações sobre o assunto Industrial Security aqui