Categoria: Artigos

A cooperação entre as duas agências é fundamental para a proteção das infraestruturas essenciais do Reino Unido, diante dos riscos de ataques cibernéticos.

O Reino Unido contém uma organização pública interessante de proteção às suas infraestruturas de redes de comunicações nas hipóteses de ataques cibernéticos.

Em destaque, duas agências governamentais. A National Cyber Security Centre – NCSC, criada no ano de 2016, com a responsabilidade de compreender a natureza da segurança cibernética para fins de implementação de medidas práticas de segurança.¹Assim, o objetivo é responder aos ataques cibernéticos para reduzir os dados causados às organizações públicas e privadas do Reino Unido. Também, outra finalidade é aproveitar a experiência da indústria e da academia para capacitar o Reino Unido em matéria de segurança cibernética. E o compromisso para redução de riscos nas redes públicas e privadas diante de ataques cibernéticos.Em sua criação, aproveitou-se a expertisedo centro de informações relacionado ao Government CommunicationsHeadquarters -GCHQ, órgão encarregado dos serviços de inteligência do Reino Unido, que se encontra sob a supervisão do Comitê de Segurança e Inteligência da Câmara dos Comuns. Assim, a National Cyber Security Centre (NCSC) trabalha em parceria com os órgãos de inteligência e segurança nacionais e parceiros internacionais. Igualmente, oferece informações educativas a respeito de questões de segurança cibernética, com a explicação dos riscos envolvidos na navegação na internet, utilização de aplicativos e dispositivos tecnológicos. Por outro lado, a Critical National Infrastructure é a autoridade responsável pelos setores nacionais estratégicos, entre os quais o setor de comunicações, espacial, energia e financeiro, entre outros.² Assim, a Critical National Infrastrucutureé definida como aquela composta por ativos, serviços, sistemas ou redes, cuja perda de capacidade pode resultar no maior impacto na disponibilidade, integridade ou entrega de serviços essenciais à população, com o risco de comprometer a perda de vidas ou o risco de danos significativos à economia ou impactos sociais significativos.Significativo impacto na segurança nacional, defesa nacional ou no funcionamento do estado. Assim, a Critical National Infraestrucuture (CPNI)tem a responsabilidade de proteção às infraestrututuras nacionais críticas (suas redes, dados e sistemas) diante de ataques cibernéticos, em cooperação com o Nacional Cyber Security Centre (NCSC). A cooperação entre as duas agências é fundamental para a proteção das infraestruturas essenciais do Reino Unido, diante dos riscos de ataques cibernéticos.

_______________

1 Disponível aqui.

2 Mas, também, o Critical National Infrastructure tem responsabilidade quanto aos setores: químico, nuclear, defesa, serviços de emergência, alimentação, governamental, saúde, transporte e águas.

Artigo publicado no Portal Jurídico Migalhas em 23/08/2019.

A decisão foi adotada com fundamento no Internacional Emergency Economic Powers Act, National Emergencies Act e United States Code.

O presidente dos Estados Unidos publicou, em 15/5/19, a Ordem Executiva (Executive Order) que regulamenta a segurança das tecnologias de informação e comunicações e o fornecimento de serviços (Executive Order on Securing the Information and Communications technology). A decisão foi adotada com fundamento no Internacional Emergency Economic Powers Act, National Emergencies Act e United States Code. Segundo a justificativa da Ordem Executiva, adversários estrangeiros estão criando e explorando as vulnerabilidades das tecnologias de informação e comunicações e respectivos serviços, os quais armazenam expressivas quantidades de informações sensíveis, no contexto da economia digital, e nas infraestruturas críticas de suporte a serviços emergenciais.

Adversário estrangeiro é qualquer governo estrangeiro ou pessoa estrangeira não governamental engajada em caminho de longo prazo ou que adotem condutas significativamente adversas à segurança nacional dos Estados Unidos ou à segurança e integridade de seus cidadãos. Há riscos de ações maliciosas, inclusive espionagem industrial contra os Estados Unidos e seu povo. Há ameaças causadas por adversários estrangeiros à segurança nacional, política externa e economia dos Estados Unidos.

Diante disso, a Executive Order proíbe aquisição, importação, transferência, instalação, contratação utilização de qualquer tecnologia de informação e comunicação ou serviço por qualquer pessoa ou qualquer propriedade, sujeita à jurisdição dos Estados Unidos, na hipótese de a transação envolver a propriedade de país estrangeiro ou de qualquer nacional deste outro país, a partir da data da publicação desta decisão. O ato presidencial objetiva assegurar o controle pelo governo norte-americano das transações comerciais que envolvam tecnologia de informação e comunicações desenhadas, desenvolvidas, manufaturadas, fornecidas, por pessoas possuídas, controlados ou sujeitas à jurisdição ou direção de adversário estrangeiro.

A transação apresenta o risco de sabotagem ou subversão do design, integridade, produção, distribuição, instalação, operação, manutenção de tecnologias de informações ou comunicações ou serviços nos Estados Unidos. A transação apresenta riscos de efeitos catastróficos na segurança ou resistência dos Estados Unidos em infraestruturas críticas ou sua economia digital. Ou ofereça riscos à segurança nacional dos Estados Unidos ou a segurança dos seus cidadãos.

O ato presidencial atribui competências ao Secretário de Comércio, para consulta com outras autoridades (Secretário do Tesouro, Secretário de Estado, Secretário de Defesa, o Advogado Geral, o Secretário de Defesa Interna, o Diretor de Inteligência Nacional, o Diretor-Geral da Agência Federal das Comunicações), designar ou negociar medidas para mitigar as preocupações quanto aos riscos descritos na Ordem Executiva.

Estas medidas podem ser uma pré-condição para a aprovação da transação ou uma categoria de transações que caso contrário seriam proibidas de acordo com Order Executiva. E o Secretário de Comércio, em consulta com as demais autoridades, está autorizado a tomar ações para cessar a transações proibidas pela Ordem Executiva, adotando regras e regulações necessárias.O Secretário de Comércio, em consulta às demais autoridades federais, está autorizado a submeter relatório final do controle das atividades ao Congresso.

O Diretor da Agência da Inteligência Nacional deve continuar suas atividades de monitoramento das ameaças aos Estados Unidos e seus cidadãos, decorrentes das tecnologias de informação e comunicações possuídas ou controladas, ou sujeitas à jurisdição ou direção de adversário estrangeiro.

O Secretário de Segurança Interna deve continuar a identificar as entidades, hardware, software e serviços que representam vulnerabilidades aos Estados Unidos e apresentem o potencial de graves consequências à segurança nacional. A ordem executiva não menciona países ou empresas específicos. Mas, na prática, o alvo do governo Trump é a empresa chinesa Huawei.

A medida é adotada no contexto da guerra comercial entre os Estados Unidos e a China. Em disputa, o mercado de fornecimento de equipamentos de redes de telecomunicações e o mercado 5G. O governo dos Estados Unidos quer impedir a compra pela empresa chinesa Huawei e as empresas parceiras de compra de componentes e tecnologias norte-americanas sem a prévia aprovação do governo. Assim, as autoridades norte-americanas elaborarão uma lista de empresas e produtos considerados nocivos aos interesses dos Estados Unidos, eis que promovidos por adversários estrangeiros.

Segundo informações divulgadas na Reuters, a Huawei não tem a capacidade de fabricar servidores de redes de telecomunicações, razão pela qual ela depende do produto de terceiros, como é o caso dos fornecedores norte-americanos. Porém, em relação ao mercado de telefones celulares, a Huawei tem autonomia, pois possui os componentes destes produtos (chips e software). A empresa chinesa está se movimentando para o desenvolvimento de tecnologias de ponta (high-end), com o objetivo de reduzir a dependência de componentes importados.

Artigo publicado no Portal Jurídico Migalhas em 24/05/2019 (clique aqui).

On May 15, the President of the United States issued the Executive Order on Securing the Information and Communications Technology. The decision was grounded on the International Emergency Economic Powers Act, National Emergencies Act, and the United States Code. According to the justification of the Executive Order, foreign adversaries are increasingly creating and exploiting vulnerabilities in information and communications technology and services, which store and communicate vast amounts of sensitive information, facilitate the digital economy, and support critical infrastructure and vital emergency services. Foreign adversary means any foreign government or foreign non-government person engaged in a long‑term pattern or serious instances of conduct significantly adverse to the national security of the United States or security and safety of United States persons. There are risks of malicious actions, including industrial espionage against the United States and its people There are threats caused by foreign adversaries to the national security, foreign policy, and economy of the United States. Hence, the Executive Order forbids any acquisition, importation, transfer, installation, dealing in, or use of any information and communications technology or service (transaction) by any person, or with respect to any property, subject to the jurisdiction of the United States, where the transaction involves any property in which any foreign country or a national thereof has any interest, from the date that this order is issued.

The presidential act has the purpose to ensure the control by the North American government of commercial transactions that involve information and communications technology or services designed, developed, manufactured, or supplied, by persons owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary; transactions that pose an undue risk of sabotage to or subversion of the design, integrity, manufacturing, production, distribution, installation, operation, or maintenance of information and communications technology or services in the United States; transactions that pose an undue risk of catastrophic effects on the security or resiliency of United States critical infrastructure or the digital economy of the United States; or otherwise poses an unacceptable risk to the national security of the United States or the security and safety of its citizens.

The presidential act grants powers to the Secretary of Commerce, in consultation with other authorities (the Secretary of the Treasury, Secretary of State, the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the United States Trade Representative, the Director of National Intelligence, the Administrator of General Services, the Chairman of the Federal Communications Commission) to design or negotiate measures to mitigate concerns related to the risks described in the Executive Order. Such measures may serve as a precondition to the approval of a transaction or of a class of transactions that would otherwise be prohibited pursuant to the Executive Order. The Secretary of Commerce, in consultation with other authorities, is authorized to take such actions to cease the transactions prohibited by the Executive Order, adopting the appropriate rules and regulations.  The Secretary, in consultation with the other federal authorities, is authorized to submit a final report to the Congress on control of such activities. The Director of National Intelligence shall continue to assess threats to the United States and its people from information and communications technology or services designed, developed, manufactured, or supplied by persons owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary.   The Secretary of Homeland Security shall continue to assess and identify entities, hardware, software, and services that present vulnerabilities to the United States and that pose the greatest potential consequences to the national security of the United States.

The Executive Order does not mention any specific countries or companies. However, it is known that the Trump administration is targeting the Chinese company Huawei. This measure is being adopted in the context of the trade war between the United States and China. The dispute is for the market that supplies equipment for telecommunications networks and the 5G market. The United States government wants to bar the Chinese company Huawei and its partners from purchasing American components and technologies without prior government approval. So the US authorities will prepare a list of companies and products deemed harmful to the interests of the United States, as they are promoted by foreign adversaries. According to information published by Reuters, Huawei is not able to manufacture servers for telecommunications networks, relying on third-party products such as the ones from American suppliers. However, Huawei is independent when it comes to the mobile phone market, as it owns all the components of these products (chips and software). The Chinese company is seeking to develop high-end technology to reduce its dependency on imported components. 

Publicado no portal Jurídico Migalhas Internacional em 21/05/2019 (clique aqui)

A necessidade de adoção pelas autoridades competentes de medidas preventivas para alertar aos usuários de aparelhos celulares quanto aos riscos em relação à cibersegurança, bem como ações de responsabilização dos agentes malfeitores.

A Autoridade de Proteção de Dados (Data Protection Comission) da Irlanda foi comunicada a respeito de incidente de segurança pelo WhatsAppp. A vulnerabilidade do aplicativo de mensagens permite a infiltração por softwares espiões (spyware) capazes de acessar dados pessoais, inclusive com o risco de ativação remota da captura de dados pelo microfone e câmara de vídeo de aparelhos celulares, bem como identificar a localização do usuário. O mecanismo atinge as chamadas por voz pelo WhatsApp, realizadas por aplicações VoIP (voice-over-internet protocol). O incidente afeta usuários de iPhone e Android, por meio da função de chamada por voz pelo aplicativo. Não é nem mesmo necessário atender a chamada telefônica para a instalação do vírus no celular. O WhatsApp recomenda a atualização do aplicativo no loja de Apple e do Google. O software espião (spyware) é ativado, mediante o simples o recebimento de uma chamada telefônica, e é conhecido como Pegasus de fabricação da empresa israelense NSO.

O software tem a capacidade de controlar secretamente e remotamente um aparelho celular. Para compreender melhor contexto do caso, segundo informações divulgadas na mídia, o software é utilizado por agências de segurança governamentais, para fins de investigações que buscam infectar celulares de suspeitos de atos terroristas e criminosos. Mas, a Anistia Internacional está movendo ação judicial contra o governo de Israel, para requerer o cancelamento da licença de exportação do referido software da empresa NSO para países repressores de direitos humanos, sob a alegação de que o mesmo está sendo utilizado abusivamente para espionar digitalmente as atividades de grupos de defesa de direitos humanos, dissidentes políticos, ativistas sociais, jornalistas e advogados.Argumenta a Anistia Internacional que se tornou alvo dos mecanismos de vigilância digital, através do software Pegasus, em detrimento dos direitos à liberdade de expressão, opinião e direito à privacidade de seus membros, e que causa o silenciamento das atividades de seus integrantes. O tema do licenciamento das exportações de software está sob a gestão da Agência de Defesa de Controle de Exportações, a qual estabelece as restrições para a exportação de armas militares e sistemas de segurança nacional.Assim, a razão principal para a ação judicial ser dirigida contra este órgão estatal israelense. Afirma-se, também, que o governo de Israel está falhando em prevenir a violação de direitos humanos previstos em tratados internacionais. E, ainda, em Carta Aberta à referida empresa, a Anistia Internacional clama pela responsabilidade corporativa diante da utilização abusiva do software. Segundo ela, a empresa teria a responsabilidade de promover diligências para identificar e prevenir o impacto dos riscos de danos aos direitos humanos.

A empresa NSO Group, sob o controle da Novalpina Capital, nega as acusações e afirma que a tecnologia de cibersegurança é utilizada pelas agências governamentais em atividades exclusivamente de investigação e prevenção de crimes e atividades terroristas. Informa ainda que em seus contratos há cláusulas quanto à utilização responsável de seus produtos. Diz, também, que está disposta em colaborar na investigação de eventuais abusos na utilização de sua tecnologia. No Brasil, não há ainda estimativa dos danos causados pelo incidente de segurança do WhatsApp. Mas, em síntese, o fato revela a vulnerabilidade do aplicativo de mensagens WhatsApp diante do ataque por hackers e os riscos à confidencialidade e privacidade das comunicações privadas em razão de dispositivos de vigilância e espionagem digital. Assim, a necessidade de adoção pelas autoridades competentes de medidas preventivas para alertar aos usuários de aparelhos celulares quanto aos riscos em relação à cibersegurança, bem como ações de responsabilização dos agentes malfeitores.

Artigo publicado no Portal Jurídico Migalhas em 21/05/2019 (clique aqui)

The British government, through its Department for Digital, Culture, Media & Sport (DCMS) has presented measures to deal with online harms against users of digital platform services – the Online Harms White Paper. The measures were presented to the British Parliament. According to the document, the British Digital Economy needs a new regulation to improve the online security of citizens, given the online abuses that exist. The instrument mentions that self-regulation by global technology companies is not enough to prevent harms to users related to abuses and illegal online content. Thus, it recommends regulatory measure to establish the duty of care of digital platforms towards the protection of their users, for the purpose of inhibiting illegal and harmful content.

The regulation covers social media networks, websites, public discussion forums, messaging services, and search engines. It proposes that an independent regulatory authority should monitor the responsibility of the technology companies that mediate online content. Amongst the issues in debate are problems with abuse against children (cyberbullying), online disinformation campaigns, terrorist content shared on social media, pornography, hate crimes, inciting violence and crimes (there are online gangs that promote violence), encouragement to self-mutilation and suicide (protection of the mental health and wellbeing of youngster), drug trafficking, anonymous online intimidation, interference in legal procedures by disseminating online content, amongst other issues. Among the justifications for such regulation is online abuse of public figures; the example given are abuses committed against female journalists. Another matter under debate is online advertising and the regulatory asymmetry in dissemination of content in different services (for example: the regulation of broadcasting and the deregulation on content published on digital platforms: Youtube, Netflix, Prime Video, amongst others).

The document also speaks of the duty of care regarding interference in legal proceedings by disseminating online content throughout communities. According to the report, the technology companies must help users to report interference in legal proceedings, in the case of anonymous offenses. And as for online content that interferes with legal proceedings, the information on the occurrences must be updated in relation to the updating of the such information. Companies providing content distribution services must ensure immediate removal of illegal online content, as soon as determined by the proper authority.

Technology is part of the solution to promote education and digital awareness. The United Kingdom is seeking to build a new regulatory framework for online content, by holding technology companies accountable for the content they distribute and promoting the duty of care with regard to protecting the users of digital services. Amongst the sanctions stated in the regulation are fines, service blocking (geo-blocking of websites and applications), and the individual liability of the managers of the online content intermediary companies.

Artigo publicado no Portal Jurídico Migalhas Internacional em 15/04/2019 – (clique aqui).

Segundo o ato, a autorregulação pelas empresas globais de tecnologia é insuficiente para prevenir danos aos usuários diante de conteúdos ilegais online e abusos.

O governo do Reino Unido, através do Departamento Digital, Cultura, Mídia e Esportes apresentou medidas para resolver danos online (Online Harms White Paper) contra usuários dos serviços de plataformas digitais.  As medidas foram apresentadas ao Parlamento britânico. Conforme o documento, a economia digital precisa de nova regulação para melhorar a segurança online dos cidadãos, diante dos abusos online.

Segundo o ato, a autorregulação pelas empresas globais de tecnologia é insuficiente para prevenir danos aos usuários diante de conteúdos ilegais online e abusos. Assim, recomenda-se medidas regulatórias para estabelecer o dever de cuidado das plataformas digitais em relação à proteção dos usuários, para o efeito de inibir conteúdos ilegais e danosos. Propõe-se uma autoridade reguladora independente para fiscalizar a responsabilidade das empresas de tecnologia que intermediam conteúdos online.

Dentre as questões debatidas, há os problemas de abusos contra crianças (cyberbulling), campanhas de desinformação online, conteúdos terroristas compartilhados nas redes sociais, pornografia, crimes de ódio, incitação à violência, incentivo às práticas de automutilação e suicídio, venda de drogas, intimidação online anônima, interferência em procedimentos legais mediante a difusão de conteúdos online, entre outras.

Também, dentre as justificativas para as propostas, consideram-se os abusos online contra figuras públicas, citando-se como exemplo os abusos contra jornalistas mulheres. Outro tema debatido é a publicidade online e a assimetria regulatória na difusão de conteúdos em diferentes serviços (exemplo: tratamento regulatório do conteúdo na radiodifusão e a desregulação em relação aos conteúdos difundidos nas plataformas digitais: Youtube, Netflix, Prime Video, entre outros).

Outro tema abordado é o dever de cuidado quanto à interferência em processos judiciais, mediante a difusão de conteúdos online em comunidades. Segundo o relatório, as empresas responsáveis devem ajudar os usuários para que relatem a interferência em processos judiciais, em casos de ofensas anônimas. E nas hipóteses de conteúdos online que interfiram em processos judiciais deve-se atualizar as informações sobre as ocorrências em relação à atualização das informações.

As empresas provedoras dos serviços de intermediação de conteúdo devem assegurar a retirada imediada de conteúdos online ilegais, assim que for determinada pela autoridade competente. A tecnologia é parte da solução para promover a educação e consciência digital. Enfim, o Reino Unido busca construir novo marco regulatório sobre os conteúdos line, com a responsabilização das empresas de tecnologia que intermediam conteúdos online, promovendo-se o dever de cuidado em relação à proteção dos usuários.

Dentre as sanções cogita-se a aplicação de multas, bloqueio dos serviços (geobloqueio dos websites e aplicativos), bem como a responsabilidade individual dos dirigentes das empresas que intermediam conteúdos online. As medidas atingem diretamente empresas de tecnologia como Facebook e Youtube.

Artigo publicado no portal Jurídico Migalhas em 11/04/2019 (clique aqui).

On March 12, 2019, the European Council and European Commission presented the joint strategic outlook of the European Union on China. This text is based on the main aspects of that official document, focusing on the matter of cybersecurity in the 5G networks. China is recognized as the EU’s second-biggest trading partner, behind only the United States. Hence, the challenges and opportunities presented by the relationship with China must be identified. China is a global player with leading technological power; however, this leads to greater responsibilities for upholding the international order, as well as greater reciprocity, non-discrimination, and openness of its system. It is a cooperative partner, but in some cases also a strong competitor. Thus, the need to find a balance between the political and commercial relationships. In a near future, China will no longer be seen as a developing country.

With regard to competitiveness and leveling the playing field, the document mentions measures to be adopted by the EU regarding the distortive effects of foreign state ownership and state financing of foreign companies on the EU internal market. It also mentions the need to build a strategy related to artificial intelligence to foster investments, with a human-centric and trustworthy approach, a key condition for acceptance of the use of technologies.

Another theme is strengthening the security of critical infrastructure and the technological base. There are concerns regarding the risks to the EU’s security represented by foreign investment in strategic sectors of the European economy through acquisitions of critical assets, technologies and infrastructure, as well as the supply of critical equipment. We highlight the matter of 5G digital infrastructure, used to provide mobile and wireless communication services. 5G has the potential to connect billions of objects and systems, including sensitive information and communication technology systems. Hence, the European Union has several legal instruments, such as the Network and Information Security Directive, the Cybersecurity Act, and the European Electronic Communications Code, for protection against cyberattacks. The EU will support multilateral efforts to promote free and secure data flows based on strong privacy protections for personal data.

On the other hand, the new Regulation for foreign investments will enter into force in April 2019 and fully apply from November 2020 Therefore, the Member States must apply the rules of such Regulation on foreign investment to control the security risks posed by foreign investment in critical assets, technologies and infrastructure. To avoid the distortions resulting from foreign state ownership and state financing of companies, the European Commission must identify such distortions by the end of 2019. Given the potential risks to the security of the digital infrastructure, there must be a strategy for the security of the 5G networks. Thus, the European Commission will issue a recommendation to be followed by the European Council. As for the security threats caused by foreign investments in critical assets, technologies and infrastructure, the Member States must ensure the effective implementation of the Regulation of direct foreign investments.

Artigo publicado no Portal Jurídico Migalhas em 05/04/2019 (clique aqui).

O Parlamento e o Conselho Europeu apresentaram no dia 01/03/2019, declaração conjunta sobre a visão estratégica da União Européia sobre a China.

O presente texto está baseado nos principais aspectos deste ato oficial, com foco na questão da segurança cibernética nas redes 5G.

Reconhece-se que a China é o segundo parceiro comercial da União Européia, os Estados Unidos é o primeiro. Assim, é preciso identificar os desafios e oportunidades apresentados pela relação com a China.

A China é um ator global e lidera o poder tecnológico, mas diante disto, surgem grandes responsabilidades diante da ordem internacional, bem como maiores reciprocidades, práticas de não-discriminação e abertura.

Ela é um parceiro cooperador, mas também em algumas áreas forte competidor. Daí a necessidade de buscar o equilíbrio nas relações políticas e comerciais. Em futuro próximo, a China não dever ser mais vista como um país em desenvolvimento.

Medidas a serem adotadas pela UE

No âmbito da competitividade e garantia do nivelamento do nível do jogo, menciona-se as medidas a serem adotadas pela União Européia em relação aos efeitos de distorção causada pela propriedade por estados estrangeiros de empresas e o financiamento de governos estrangeiros às empresas estrangeiras que atuam no mercado europeu.

Também, da necessidade de se construir uma estratégia em matéria de inteligência artificial para incentivar a realização de investimentos, bem como uma abordagem a partir do valor central do ser humano, condição essencial para aceitação da utilização das tecnologias.

Outro tema é o fortalecimento da segurança das infraestruturas críticas e tecnologias de base. Assim, há preocupações quanto aos riscos à segurança da União Européia representados por investimentos estrangeiros em setores estratégicos da economia europeia, mediante a aquisição de ativos críticos, tecnologias e infraestruturas, bem como no fornecimento de equipamentos críticos.

Em destaque, o tema da infraestrutura digital na modalidade 5G, utilizada na prestação de serviços de comunicação móvel e sem fio.

5G tem potencial de conectar bilhões de objetos e sistemas

A rede 5G tem o potencial de conectar bilhões de objetos e sistemas, incluindo informações sensíveis e as tecnologias de informação e de comunicações. Assim, a União Européia tem inúmeros mecanismos jurídicos como o Network and Information Security Directive, o Cybersecurity Act, European Electronic Communications Code, que permitem a proteção diante de ciberataques.

A União Européia deve promover esforços multilaterais para promover o livre e seguro fluxo de dados baseado na proteção à privacidade e aos dados pessoais.

Por outro lado, a nova regulação dos investimentos estrangeiros direto entrará em vigor em abril de 2019, com efeitos a partir de novembro de 2020.

Assim, no controle de riscos à segurança cibernética causados pelos investimentos estrangeiros direitos em ativos críticos, tecnologias e infraestrutura, os estados-membros devem aplicar as regras previstas no marco regulatório do investimento estrangeiro.

Portanto, para evitar a distorção da propriedade de empresas por estados estrangeiros e financiamento estatal, a Comissão Européia deve identificar estas distorções até o fim de 2019.

Estratégia de segurança é necessária para redes 5G

Diante dos potenciais riscos à segurança em relação à infraestrutura digital, é necessário uma estratégia para segurança das redes 5G. Assim, a Comissão Européia editará uma recomendação a ser seguida pelo Conselho Europeu.

Por sua vez, quanto às ameaças à segurança causados por investimentos estrangeiros em ativos, tecnologias e infraestruturas críticas, os estados-membros devem assegurar a implementação efetiva da regulação em matéria de investimento estrangeiro direto.

A Comissão da União Européia apresentou recomendações sobre as práticas de cibersegurança na rede 5G.

O ato considera a rede 5G como essencial para o funcionamento do mercado interno, bem como vital para a sociedade e a economia, em setores estratégicos como energia, transporte, bancos, saúde e indústria.

Também, a organização dos processos democráticos, como eleições, depende da confiança na infraestrutura digital da rede 5G.

Na definição oficial, 5G significa redes de infraestrutura para as tecnologias de comunicação móvel e sem fio, utilizada para conectividade e serviços de valor adicionado, caracterizada por altas taxas na transmissão dos dados, baixa latência das comunicações, ultra confiabilidade, e equipamentos de conexão.

Assim, diante da relevância do tema, são necessárias medidas tanto no nível da União Européia quanto dos Estados-membros em relação às práticas de cibersegurança.

Além disto, investimentos estrangeiros em setores estratégicos, mediante a aquisição de ativos críticos, tecnologias e infraestrutura na União Européia e fornecimento de equipamentos críticos podem colocar em risco a segurança da União.

A segurança cibernética das redes 5G serve para preservar a autonomia da União, tal como reconhecida na Comunicação EU-China, uma visão estratégica (strategic outlook, de 12/03/2019), uma declaração conjunta do Parlamento Europeu e Conselho Europeu em matéria de assuntos estrangeiros e política de segurança.

O novo marco regulatório sobre investimentos estrangeiros diretos deve entrar em vigor em abril de 2019, sendo aplicável em novembro de 2020.

Assim, riscos à segurança cibernética derivados de investimentos estrangeiros em ativos críticos, tecnologias, e infraestrutura, os Estados-membros devem assegurar a implementação da regulação em matéria de investimento estrangeiro direto.

Recomenda-se a adoção de um marco regulatório adequado para a proteção das redes de comunicação eletrônicas.

O quadro regulatório deve promover certificações adequadas conforme níveis de segurança dos equipamentos e das redes.

Na ausência de regras do direito europeu, os Estados-membros podem especificar os aspectos técnicos das regulações em matéria de segurança cibernética.

Compras públicas de equipamentos 5G

Nas compras públicas de equipamentos de redes devem ser definidos os padrões técnicos para a segurança cibernética.

Deve-se assegurar os melhores benefícios nas compras governamentais, estimulando-se a competitividade. E, deve-se evitar práticas de diferenciação entre fornecedores europeus e não-europeus.

Também, os Estados-membros devem definir os requisitos de controle de riscos para a outorga do direito de uso de frequências do espectro para a prestação dos serviços de comunicações móveis e sem fio, na modalidade 5G.

A proteção de dados e a privacidade é um elemento fundamental da segurança das redes 5G. No marco regulatório podem ser impostas exigências específicas para o fornecimento de tecnologias de informação e comunicações.

Também, práticas de gestão de risco das redes devem ser adotadas em nível nacional, para controlar os riscos de ciberespionagem e ciberataques.

No campo das telecomunicações, os Estados-membros devem adotar medidas para integridade e seguranças das comunicações através das redes e a confidencialidade das comunicações. Neste contexto, a Agência Européia de Cibersegurança tem o papel de regulamentar os temas relacionados à segurança das redes de telecomunicações.

E, até 30 de junho de 2019, os Estados-membros deve adotar as medidas de gestão de risco cibernético. Em documento explicativo sobre as recomendações, há a referência à possibilidade de os estados-membros terem o direito de excluir empresas de seus mercados por razões de segurança nacional, se as mesmas não cumprirem com os padrões técnicos nacionais definidos no marco regulatório.