A Europa face ao ambiente ameaças cibernéticas complexidade crescente que afecta directamente os serviços essenciais, as infra-estruturas críticas e as instituições democráticas.
Nesta situação, o Comissão Europeia apresentou um novo pacote de segurança cibernética focado no fortalecimento duração de cadeia de mantimentosespecialmente aquelas relacionadas às tecnologias de informação e comunicação (TIC), consideradas estratégicas para o funcionamento da barreira.
A iniciativa baseia-se numa premissa clara: a cadeia de abastecimento digital tornou-se um fardo perigoso. Não só por causa de vulnerabilidades técnicas em produtos e serviços, mas também porque dependência externaa concentração de fornecedores e a possibilidade de interferência de terceiros países numa situação geopolítica cada vez mais complexa.
O eixo central do pacote é a revisão do Regulamento Cibersegurança, com o objetivo reduzir o risco na cadeia de abastecimento de TIC da União Europeia. A proposta introduz um quadro comum, sistemático e baseado nos riscos, que permite identificar e atenuar ameaças de forma sistemática. 18 áreas críticasem termos de impacto laboral e impacto económico e de mercado.
Esta abordagem reconhece que a segurança da cadeia de abastecimento já não pode ser feita de forma isolada. A disrupção digital tem um impacto significativo na logística, energia, telecomunicações, transportes, indústria e serviços públicos, intensificando o impacto de todos os incidentes de segurança cibernética.
Neste sentido, o novo regulamento visa limitar a propagação de provedor de alto risco provenientes de países terceiros, especialmente em áreas sensíveis como as redes de telecomunicações. As medidas baseiam-se em trabalhos anteriores desenvolvidos no âmbito de ferramentas de segurança para redes 5G e procuram fortalecer a autonomia estratégica do bloco.
Outro pilar do pacote é a inovação de Quadro Europeu de Certificação de Cibersegurança (ECCF)que visa simplificar e acelerar o processo de certificação de produtos e serviços que entram no mercado europeu.
O novo plano oferece uma abordagem mais clara e dinâmica, com um prazo para o desenvolvimento de um sistema de certificação de até 12 mesese uma governação mais transparente que inclua consultas públicas. Para as cadeias de abastecimento, isto significa mais previsibilidade, normas comuns e uma redução da fragmentação regulamentar entre os Estados-Membros.
A certificação é considerada uma ferramenta voluntário, mas estratégico para as empresas, permitindo-lhes demonstrar conformidade, reduzir custos e fortalecer a confiança em toda a cadeia. Além disso, o âmbito é vasto: não só os produtos, serviços e processos de TIC podem ser certificados, mas também postura geral de segurança cibernética a organização, fator cada vez mais importante num mercado complexo e interligado.
O pacote também inclui disposições para para simplificar a conformidade em termos de segurança cibernética, especialmente para empresas que operam além-fronteiras. As alterações à Diretiva SRI 2 exigem maior clareza da lei e redução dos custos de conformidade 28.700 empresasincluindo pequenas e médias empresas.
A criação de uma nova categoria de empresas de média capitalização visa aliviar o desequilíbrio da procura e melhorar a integração dos principais intervenientes na cadeia de abastecimento europeia, que inclui frequentemente muitos elos de diferentes dimensões e capacidades.
Da mesma forma, a coordenação a nível comunitário será reforçada na recolha de dados sobre ataques, na monitorização de agências transfronteiriças e na gestão de incidentes, reduzindo a duplicação e melhorando a resposta a eventos de alto impacto.
A proposta desempenha um papel importante no Agência da União Europeia para a Cibersegurançacimentando-o como um ator-chave na segurança da cadeia de abastecimento digital. Desde a sua criação, a agência ganhou reputação como nó de planeamento técnico e estratégico e irá introduzir novas funções.
Isto inclui a publicação do aviso prévioapoiar empresas contra ataques de ransomware, trabalhar com a Europol e equipas de resposta a incidentes e desenvolver uma abordagem europeia à gestão de vulnerabilidades. Também funcionará como uma janela única para a comunicação de incidentes, uma ferramenta fundamental para melhorar a rastreabilidade e a resposta coordenada.
Assim, a ENISA promoverá a formação de talentos através da criação de um Academia de habilidades de segurança cibernética e projetos de certificação de competências, abordando uma das barreiras mais relevantes para a sustentabilidade da cadeia de abastecimento: a falta de profissionais especializados.
Uma vez aprovado pelo Parlamento Europeu e pelo Conselho, o Regulamento Segurança da Internet será imediatamente aplicável, enquanto os Estados-Membros dispõem de um ano para adaptar as orientações NIS 2 aos seus sistemas nacionais.
Para além do nível de regulamentação, o pacote representa uma mudança de abordagem: o segurança da cadeia de suprimentos Tornou-se um elemento central da competitividade europeia, da estabilidade económica e da soberania digital. Num mundo onde o fluxo de recursos físicos e digitais está a aumentar, a cibersegurança deixou de ser uma questão técnica, tornando-se a primeira variável estratégica.
