Debate sobre o certificado cibernético na mesa da nova Comissária para a Tecnologia

O debate sobre os certificados voluntários de cibersegurança para serviços de computação em nuvem (EUCS), que já se arrasta há muito tempo, vai provavelmente cair no prato da próxima Comissão Europeia, uma vez que não é provável que seja resolvido antes do final deste mandato, disse à Euronews um porta-voz do gabinete de cibersegurança da UE, ENISA.

O debate sobre o projeto de texto está a decorrer num grupo de trabalho da ENISA e já foi adiado antes do verão, devido a orientações adicionais sobre questões de soberania, como a Euronews noticiou em junho.

De acordo com um funcionário da Comissão, a próxima reunião do grupo de trabalho está prevista para o outono, mas ainda sem data oficial confirmada.

O esquema, elaborado pela ENISA a pedido da Comissão em 2019, deve ser usado pelas empresas para demonstrar que as soluções de TIC certificadas têm o nível certo de proteção de segurança cibernética para o mercado da UE, mas se transformou em uma batalha política sobre os requisitos de soberania.

Henna Virkkunen, a nova Comissária para a Tecnologia, deverá supervisionar o debate, assim que for aprovada pelo Parlamento Europeu e o novo colégio entrar em funções.

De acordo com a sua carta de missão, enviada pela Presidente Ursula von der Leyen, terá de "contribuir para o reforço da cibersegurança", nomeadamente através da melhoria dos processos de adoção de tais regimes.

Impasse

A França tentou introduzir requisitos de soberania no texto, concebidos para excluir as empresas de computação em nuvem de fora da UE de se qualificarem para as opções de segurança mais elevadas, assemelhando-se ao seu próprio certificado de computação em nuvem SecNumCloud.

Esta proposta foi fortemente contestada por vários países da UE e pela indústria, que a consideraram uma medida protecionista, e desde então não se chegou a nenhum acordo.

Atualmente, a Comissão ainda tem de fornecer aos peritos orientações sobre a forma como os Estados-Membros podem acrescentar os seus próprios requisitos. Uma vez aprovado, o executivo comunitário publicará um ato de execução. As disposições só serão aplicáveis 18 meses após a sua entrada em vigor.

O atraso no regime pendente coincide com a avaliação da própria Lei da Cibersegurança. A Comissão iniciou uma consulta no início deste ano às empresas e aos governos, questionando-os, entre outras coisas, sobre o papel da Enisa.

A lei - que foi aprovada em 2019 - confere à ENISA um mandato para apoiar a coordenação da UE em caso de ciberataques e crises transfronteiriças em grande escala.

Dos dois outros certificados propostos pela Comissão desde 2019, apenas um foi aprovado, sobre produtos TIC de base, e outro, sobre 5G, ainda está em curso.

No início desta semana, a Comissão afirmou que solicitou à ENISA que prestasse apoio a outra certificação, desta vez de carteiras de identidade digital europeias.