UE apresenta plano para excluir fornecedores de alto risco

A Comissão Europeia apresentou esta semana um conjunto de propostas destinadas a reforçar a cibersegurança na União Europeia, incluindo a eliminação progressiva de fornecedores considerados de alto risco nas infraestruturas críticas dos Estados-membros. Recorde-se que o Financial Times tinha já avançado esta segunda-feira com a informação de que a UE se preparava para agir perante equipamentos fabricados por fornecedores chineses de infraestruturas críticas. As medidas, agora anunciadas, suscitaram já uma reação por parte da China, que acusou Bruxelas de protecionismo.

As propostas constam de um projeto de revisão do Cybersecurity Act e da Diretiva NIS (Network and Information Systems), divulgado esta terça-feira, e refletem preocupações crescentes com vulnerabilidades na cadeia de abastecimento digital num contexto de tensões geopolíticas, campanhas de ciberespionagem patrocinadas por Estado-Nação e aumento da atividade criminosa no ciberespaço.

A Comissão Europeia refere que ataques ransomware, espionagem digital e tentativas de perturbação de serviços essenciais estão a impulsionar a necessidade de reduzir riscos ao longo da supply chain de IT. Para esse efeito, o plano prevê a criação de um enquadramento de certificação que identifique fornecedores considerados de confiança.

“Num contexto geopolítico cada vez mais complexo, a segurança da supply chain já não se limita às características técnicas de produtos ou serviços, mas inclui riscos associados aos próprios fornecedores, nomeadamente dependências e interferência estrangeira”, afirmou a Comissão, em comunicado.

As revisões propostas estabelecem requisitos mais claros de teste e certificação para fornecedores de tecnologia que pretendam operar no mercado europeu. No setor das telecomunicações, os operadores terão até três anos para remover completamente componentes de fornecedores classificados como representando um risco significativo para a cibersegurança.

De acordo com o The Record, embora a proposta não mencione explicitamente países ou empresas, o Ministério dos Negócios Estrangeiros da China reagiu, alertando que a iniciativa poderá conduzir a União Europeia “por um caminho errado de protecionismo”.

Fornecedores chineses de equipamentos de rede, como a Huawei e a ZTE, já tinham sido alvo de restrições em vários Estados-membros, na sequência de orientações não vinculativas da UE, como é o caso de Espanha que cancelou um contrato no valor de 9,8 milhões de euros com a Huawei após pressão internacional.

Contactada pela IT Security, fonte oficial que representa a Huawei em Portugal remeteu para os comentários da empresa na notícia da Associated Press, onde afirma que “uma proposta legislativa para limitar ou excluir fornecedores de países terceiros com base no país de origem, em vez de provas factuais e normas técnicas, viola os princípios jurídicos básicos da UE de justiça, não discriminação e proporcionalidade, bem como as suas obrigações na OMC” [Organização Mundial do Comércio].

O debate estende-se também à dependência europeia de tecnologia norte-americana. Decisões recentes da administração dos Estados Unidos, incluindo sanções que impediram determinadas entidades de aceder a serviços de empresas como a Microsoft, reforçaram preocupações sobre soberania digital. Até ao momento, as autoridades norte-americanas não reagiram formalmente às propostas da Comissão Europeia. Ainda que haja uma partilha comum de preocupações gerais sobre fornecedores chineses, os Estados Unidos têm criticado a legislação digital europeia que consideram desfavorável às empresas tecnológicas norte-americanas.