Bruxelas propõe forçar países a restringirem Huawei no 5G

A Comissão Europeia propôs esta terça-feira um conjunto de medidas para reforçar a cibersegurança na União Europeia, com enfoque nos “serviços e infraestruturas críticas”. A proposta abre a porta a que sejam convertidas em obrigatórias as recomendações feitas em 2020 que levaram países como Portugal a restringir a participação de empresas chinesas no desenvolvimento das redes 5G — como é o caso da Huawei.

Com este pacote, que inclui a revisão do Cybersecurity Act e da diretiva NIS2, Bruxelas tenta “harmonizar” a abordagem europeia à proteção das cadeias de abastecimento no plano tecnológico, resolvendo “a atual fragmentação do mercado interno causada por diferentes abordagens a nível nacional”. Por exemplo, enquanto Portugal decidiu em 2023 expulsar a Huawei das redes móveis de quinta geração, Espanha tem optado pela abordagem diametralmente oposta.

“Ao longo de cinco anos, a eliminação progressiva de determinados equipamentos de alto risco poderá gerar custos anuais entre 3,4 e 4,3 mil milhões de euros para os operadores de redes móveis, enquanto os investimentos em fornecedores de confiança poderão ascender a até dois mil milhões de euros por ano”, estima a Comissão Europeia.

Para a empresa chinesa, esta abordagem da Comissão não é necessariamente uma derrota: tudo dependerá do texto final desta lei, na medida em que poderá fixar uma proibição total do uso da tecnologia da Huawei nas redes de comunicações ou abrir a porta à integração da sua tecnologia em partes não críticas das redes. De qualquer forma, Bruxelas não faz referência a qualquer empresa específica na proposta de lei nem no comunicado, mas indica que o novo Cybersecurity Act “visa reduzir os riscos na cadeia de abastecimento” de tecnologias da informação e comunicação (TIC), “associados a fornecedores de países terceiros com preocupações em matéria de cibersegurança”.

Para esse fim, a proposta “estabelece um quadro de segurança para uma cadeia de abastecimento de TIC de confiança, assente numa abordagem harmonizada, proporcionada e baseada no risco”. “Este quadro permitirá à UE e aos Estados-membros identificar e mitigar conjuntamente os riscos nos 18 setores críticos da UE, tendo igualmente conta os impactos económicos e a oferta de mercado”, defende a Comissão.

Adicionalmente, Bruxelas propõe simplificar e melhorar a certificação de produtos e serviços em matéria de cibersegurança. Este esquema “mais claro e simples” de certificação é gerido pela Agência da União Europeia para a Cibersegurança (ENISA), que ganha um papel reforçado na gestão de ameaças de cibersegurança, e tornar-se-á num “instrumento prático e voluntário” para que as empresas possam “demonstrar a conformidade com a legislação da UE, reduzindo encargos e custos”.

Numa semana em que se espera que apresente também um novo regulamento para o setor das telecomunicações — o chamado Digital Networks Act —, a Comissão acaba de introduzir também uma proposta para alteração cirúrgica da diretiva NIS2, a lei europeia que introduziu um novo regime de cibersegurança na União.

Resumidamente, “as alterações à Diretiva NIS2 visam aumentar a clareza jurídica, simplificando as regras jurisdicionais, facilitando a recolha de dados sobre ataques de ransomware e facilitando a supervisão de entidades transfronteiriças”. Bruxelas acredita que esta proposta vai reduzir os custos de compliance a 28.700 empresas europeias, incluindo 6.200 micro e pequenas empresas. “Introduz ainda uma nova categoria de empresas mid-cap para reduzir os custos de conformidade a cerca de 22.500 empresas”, acrescenta.

Estas alterações surgem pouco mais de um mês depois de Portugal ter concluído a transposição desta lei, já com atraso, onde só entrará oficialmente em vigor no dia 3 de abril. O Governo determinou ainda, na transposição da diretiva, que terá de ser realizada uma nova avaliação de segurança, o que poderá, no limite, conduzir a alterações na posição de Portugal face à utilização de tecnologia da Huawei.

A vice-presidente executiva da Comissão Europeia com a pasta da Soberania Tecnológica, Segurança e Democracia, Henna Virkkunen, dá a cara por este conjunto de propostas que ainda terão de ser discutidas e aprovadas pelo Parlamento Europeu e pelo Conselho da UE. “As ameaças à cibersegurança não são apenas desafios técnicos. São riscos estratégicos para a nossa democracia, economia e modo de vida”, diz, citada em comunicado. Com este pacote, Bruxelas passará “a dispor dos meios necessários para proteger melhor as cadeias de abastecimento de TIC, mas também para combater de forma decisiva os ciberataques”, defende.

A Comissão lembra ainda que a Europa enfrenta “diariamente” ataques cibernéticos e híbridos nos “serviços essenciais” e “instituições democráticas”, levados a cabo por grupos criminosos e com ligações a estados hostis.

(Notícia em atualização)