A Comissão Europeia, órgão executivo da União Europeia (UE), propôs uma nova legislação de cibersegurança que exigiria que os Estados-membros removessem fornecedores estrangeiros “de alto risco” de infraestruturas críticas de tecnologia da informação e comunicação (TIC), especialmente em redes de telecomunicações. A reforma visa fortalecer as defesas contra ameaças cibernéticas e garantir as cadeias de suprimentos para infraestruturas-chave em todo o bloco.
Segundo a proposta, a UE realizaria avaliações conjuntas de risco dos fornecedores e poderia impor restrições ou proibições a equipamentos e serviços que representem preocupações de segurança nacional. As novas regras abrangeriam cerca de 18 setores críticos, incluindo redes móveis, serviços em nuvem, dispositivos médicos e sistemas de segurança de fronteira, e concederiam à Comissão autoridade para coordenar avaliações de risco entre os Estados-membros.
A legislação se baseia em esforços anteriores da UE, como o 5G Security Toolbox, um quadro voluntário introduzido em 2020 que incentivou os Estados-membros a limitarem a dependência de fornecedores considerados “de alto risco”, sem exigências jurídicas vinculativas. Autoridades já manifestaram preocupações sobre riscos potenciais ligados a produtos tecnológicos de certas empresas de terceiros países, embora empresas específicas não sejam citadas no texto preliminar.
Operadores de telecomunicações e outros provedores de infraestrutura terão períodos de transição para remover ou substituir equipamentos identificados como de alto risco assim que uma lista de fornecedores for estabelecida por lei. Em propostas vistas por organizações de notícias, os Estados-membros teriam até 36 meses para eliminar esses equipamentos das redes móveis após a publicação da lista.
A reforma também revisaria a atual Lei de Cibersegurança da UE, que estabelece quadros e papéis de certificação em cibersegurança para a Agência da União Europeia de Cibersegurança (ENISA), e expandiria para incluir restrições obrigatórias aos fornecedores como parte de esforços mais amplos para proteger as cadeias de suprimentos das TIC.
Os formuladores de políticas europeus descreveram as mudanças como parte dos esforços para fortalecer a “soberania tecnológica” e reduzir a dependência de fornecedores externos com possíveis vínculos com governos estrangeiros ou risco geopolítico. Os apoiadores argumentam que avaliações abrangentes de risco e medidas coordenadas melhorarão a resiliência contra ataques cibernéticos e pressões na cadeia de suprimentos.
Críticos da reforma planejada levantaram preocupações sobre possíveis implicações comerciais e legais, observando que restrições baseadas no país de origem poderiam ser contestadas sob as regras da Organização Mundial do Comércio se não forem fundamentadas em evidências técnicas de risco. A proposta deve ser revisada e aprovada pelo Parlamento Europeu e pelos Estados-membros da UE antes de se tornar lei.