Em 27 de outubro de 2023, o Jornal Oficial da União Europeia publicou uma alteração ao Regulamento de Autorização RED (UE) 2022/30, na qual a descrição da data do tempo de implementação obrigatório no artigo 3.º foi atualizada para 1 de agosto de 2025.
O Regulamento de Autorização RED (UE) 2022/30 é um jornal oficial da União Europeia que estipula que os fabricantes de produtos relevantes devem ter em conta os requisitos de segurança cibernética da Diretiva RED, nomeadamente RED 3(3) (d), RED 3( 3) (e) e RED 3(3) (f), em sua referência e produção.
Artigo 3.3 (d) o equipamento de rádio não prejudica a rede ou o seu funcionamento, nem utiliza indevidamente os recursos da rede, causando assim uma degradação inaceitável do serviço
Esta cláusula é aplicável a equipamentos que se conectam à internet, direta ou indiretamente.
Artigo 3.3 (e) o equipamento de rádio incorpora salvaguardas para garantir que os dados pessoais e a privacidade do usuário e do assinante sejam protegidos
Esta cláusula é aplicável a equipamentos capazes de processar dados pessoais, dados de tráfego ou dados de localização. Além disso, equipamentos exclusivos para cuidados infantis, equipamentos que possam ser usados, amarrados ou pendurados em qualquer parte da cabeça ou do corpo, incluindo roupas, e outros equipamentos conectados à Internet.
O equipamento de rádio do Artigo 3.3 (f) suporta certos recursos que garantem proteção contra fraude
Esta cláusula é aplicável a equipamentos que se conectam à internet, direta ou indiretamente, e permitem ao usuário transferir dinheiro, valor monetário ou moeda virtual.
Preparando-se para o regulamento
Embora o regulamento só seja aplicável em 1 de agosto de 2025, a preparação será um aspeto essencial para estar preparado para cumprir os requisitos. A primeira coisa que um fabricante deve fazer é olhar para seu equipamento de rádio e se perguntar: até que ponto isso é cibersegurança? O que você já faz para torná-lo protegido contra ataques? Se a resposta for “nada”, provavelmente você terá algum trabalho a fazer.
Quanto à conformidade com a RED, o fabricante deve analisar especificamente os requisitos listados acima e considerar como eles atendem a esses requisitos. Os padrões de avaliação, quando concluídos, fornecerão formas claras e detalhadas de demonstrar a conformidade com os requisitos.
Alguns fabricantes já sabem como avaliar seus produtos e como demonstrar que atendem aos requisitos de padronização e aos requisitos listados neste documento. Alguns fabricantes podem já ter feito essa avaliação dos seus próprios sistemas de qualidade. Para outros fabricantes,BTFestará disponível para ajudar.Taqui estão alguns padrões úteis que já estão em circulação e podem ser usados para auxiliar o fabricante e os laboratórios de teste nas abordagens de avaliação. ETSI EN 303 645 contém seções especificamente relacionadas aos tópicos descritos acima, como atualização de software, monitoramento do tráfego de dados e minimização de superfícies de ataque expostas.
A equipe de segurança cibernética da BTF está disponível para ajudar a explicar os padrões e orientar os fabricantes durante o processo de aplicação dos padrões e realização de avaliações cibernéticas.Se você tiver alguma dúvida, não hesite em nos contatar!
Horário da postagem: 02 de novembro de 2023
