CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8
Este artigo explora a oitava parte do Capítulo 3 do CyBOK, focando na validade legal de assinaturas eletrônicas, responsabilidades de emissoras de certificados, requisitos de segurança específicos da indústria e restrições de exportação para tecnologias de cibersegurança. Aborda questões cruciais para a segurança digital e conformidade legal.
MundiX News·21 de maio de 2026·15 min de leitura·👁 4 views
CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8
Este artigo continua a série dedicada ao Cybersecurity Body of Knowledge (CyBOK), um compêndio de conhecimento em cibersegurança. O Capítulo 3 do CyBOK aborda as principais normas regulatórias e princípios do direito internacional relevantes para a cibersegurança, que podem ser aplicados na avaliação de riscos cibernéticos, gestão de segurança da informação e investigação de incidentes cibernéticos. Esta é a oitava parte da análise do Capítulo 3, focando em questões como a validade legal de assinaturas eletrônicas e a responsabilidade dos emissores de certificados, requisitos específicos da indústria em segurança da informação e restrições de exportação para tecnologias de cibersegurança.
3.10 Documentos Eletrônicos e Serviços de Autenticação
Com o aumento da digitalização, surgiu a necessidade de transferir para o formato eletrônico os métodos tradicionais de garantir a autenticidade e integridade de documentos em papel, como assinaturas, selos e tinta indelével. A resposta foram as tecnologias de proteção, muitas vezes baseadas em PKI (Infraestrutura de Chave Pública), cuja aplicação gerou uma série de novas questões legais: validade legal de documentos eletrônicos, suporte legal para comunicações digitais, direitos e obrigações na prestação e utilização de serviços eletrônicos.
3.10.1 Admissibilidade de documentos eletrônicos como prova
A aceitação de documentos eletrônicos como prova em processos judiciais é agora generalizada. Tribunais e legisladores permitem o uso de ferramentas forenses projetadas para verificar a autenticidade e integridade dos dados. A legislação de diferentes países pode exigir procedimentos especiais para reconhecer provas em formato eletrônico, mas as regras geralmente coincidem com os requisitos para evidências documentais de outros tipos.
3.10.2 Requisitos de forma e risco de inaplicabilidade das normas legais
O requisito legal de forma é expresso no fato de que algumas comunicações podem ser objeto de aplicação da lei somente se tiverem uma forma predeterminada. O não cumprimento dos requisitos legais aplicáveis à forma acarreta o risco de que o assunto (substância) da comunicação perca sua força legal. Diferentes países aplicam diferentes requisitos de forma, que podem incluir o cumprimento das seguintes regras aproximadas para reconhecer documentos como legalmente válidos:
Algumas notificações legais devem ser enviadas por escrito (na forma de um documento em papel);
Certos contratos devem ser assinados à mão;
Alguns apelos a órgãos governamentais podem ser emitidos apenas em um formulário especial;
Alguns itens de contratos que afetam a responsabilidade de uma das partes devem ser emitidos com destaque visual (por exemplo, usando letras maiúsculas, uma fonte notável, etc.) e assinados por uma das partes;
Um testamento deve ser escrito e assinado na presença de testemunhas;
Um documento de transferência de direitos de propriedade deve ser assinado na presença de um funcionário público, que então carimba o documento.
Os sistemas de comércio eletrônico, que surgiram na década de 1960, contornaram alguns dos requisitos formais para o registro de documentos, assinando um contrato-quadro em papel, que continha uma lista de regras da plataforma de comércio eletrônico e sua relação com obrigações legais - como resultado, mensagens de texto estruturadas no sistema de comércio eletrônico tornaram-se comunicações legalmente significativas entre os participantes do comércio. No entanto, as plataformas de negociação modernas impõem muito menos requisitos formais aos participantes da negociação (pessoas físicas e jurídicas - vendedores e compradores). Em 1996, a UNCITRAL (UNCITRAL) assinou uma lei modelo da ONU sobre comércio eletrônico para facilitar o uso de plataformas de Internet para fins comerciais e remover obstáculos legais, adotando a regra da equivalência de documentos em papel e eletrônicos. Por sua vez, estados individuais começaram a adotar leis que fornecem uma estrutura legal para interação online, incluindo comércio, transferência de informações financeiras e relatórios, regras de litígio, etc. No entanto, certas questões sensíveis em muitos países ainda não foram traduzidas para o formato eletrônico - incluindo, por exemplo, a transferência de direitos de propriedade ou questões de herança. Na Rússia, no entanto, a maioria das questões pode ser resolvida através do portal de Serviços Públicos, o que gera certos riscos materiais e consequências legais para os cidadãos: por exemplo, através dos Serviços Públicos, você pode emitir um empréstimo ou vender imóveis - é por isso que é importante saber sobre a possibilidade de estabelecer uma auto-proibição de obter empréstimos e uma proibição de ações com imóveis sem a participação pessoal do proprietário.
3.10.3 Assinatura eletrônica e serviços de autenticação
O desenvolvimento do setor de comércio eletrônico ocorreu simultaneamente com a disseminação de serviços de autenticação (em inglês, identity trust services), incluindo aqueles que emitem certificados digitais que vinculam uma determinada pessoa à sua chave pública no âmbito da infraestrutura PKI. À medida que esses serviços de verificação de autenticidade se desenvolveram, dois tópicos de discussão surgiram: primeiro, em que medida a validade legal de uma assinatura manuscrita em papel corresponde a uma assinatura digital; em segundo lugar, qual é o escopo dos direitos e obrigações das pessoas que atendem e usam esses serviços. A primeira questão foi resolvida na maioria dos estados, onde, sob certas condições, a assinatura digital é equiparada à assinatura manuscrita: por exemplo, na Rússia, de acordo com as normas da Lei Federal "Sobre Assinatura Eletrônica" nº 63-FZ de 06.04.2011, assinaturas eletrônicas simples (PEP, o par "login-senha" ou um código único do SMS/aplicativo), assinaturas eletrônicas não qualificadas (NEP, o par de chave pública-privada e certificado), bem como assinaturas eletrônicas qualificadas aprimoradas (UKEP/KEP, emitidas por centros de certificação credenciados, SKZI certificados) são aplicadas. A questão dos direitos e obrigações dos serviços de autenticação é mais complexa: é necessário determinar a medida da responsabilidade do emissor por certificados digitais emitidos incorretamente e por falhas no sistema de verificação de sua validade, pela comprometimento da chave privada do centro de certificação raiz, pela violação da disponibilidade do serviço e incidentes cibernéticos. Além disso, é importante determinar as regras de responsabilidade do signatário, que pode comprometer sua chave privada ou perder o acesso ao dispositivo para criar uma assinatura - essas questões são regulamentadas pela legislação setorial de um determinado país e são consideradas para cada cenário de uso específico (por exemplo, ao usar sistemas de pagamento eletrônico). Ao usar sistemas de emissão de certificados, surgem tarefas de troca de informações entre a entidade que aceita o certificado e a parte que confia nele, o usuário-signatário e o centro de certificação que emite e confirma a validade do certificado. As regras gerais tornaram-se as seguintes normas, apresentadas em vários atos legislativos de alguns países:
A obrigatoriedade de reconhecer assinaturas digitais como prova legal;
A obrigatoriedade de reconhecer assinaturas digitais como equivalentes à assinatura manuscrita, sujeitas ao cumprimento de uma série de requisitos técnicos para garantir a autenticidade e integridade;
Os juízes são recomendados a não se recusarem a reconhecer assinaturas digitais como legalmente significativas apenas porque estão em formato eletrônico;
A obrigação do emissor do certificado de garantir a devida confiabilidade e cautela em relação a terceiros que confiam no certificado emitido;
Imposição de responsabilidade ao emissor do certificado na questão da confirmação da confiabilidade das operações (em vez da obrigação da parte lesada que confiou no certificado emitido de provar independentemente a negligência do emissor);
Implementação de estruturas para melhorar os padrões de qualidade técnicos e não técnicos na emissão de certificados;
Fornecer aos emissores de certificados a capacidade de limitar sua responsabilidade financeira, especificando as restrições aplicáveis em formato de texto no corpo do próprio certificado;
Fornecer aos emissores de certificados a capacidade de excluir sua responsabilidade, especificando exclusões em formato de texto no corpo do próprio certificado.
Além desses princípios, é importante levar em consideração a questão jurídica da confiança dos usuários finais nos emissores de certificados - isso se aplica, entre outras coisas, aos usuários de navegadores de Internet e empregadores que instalam certificados raiz corporativos em dispositivos de funcionários, garantindo a inspeção autorizada do tráfego criptografado.
3.10.4 Conflito de leis no uso de assinaturas eletrônicas e serviços de autenticação
Conflitos legais surgem com o uso transfronteiriço de certificados - por exemplo, se o emissor do certificado estiver em um estado, o signatário em outro e a pessoa que confia na autenticidade do certificado em um terceiro. Se estamos falando da transferência de direitos de propriedade, que pode estar fisicamente em um quarto estado, então as normas legais desse estado serão aplicadas. De acordo com a lei da UE "Roma I" (Regulamento 593/2008), um mecanismo unificado de aplicação da lei foi desenvolvido para obrigações contratuais, que prevê a pré-seleção da jurisdição pelas partes do contrato para resolver disputas, e em caso de reclamações do comprador, um contrato transfronteiriço com o vendedor só pode ser reconhecido como válido se for válido no país de residência do consumidor. Casos igualmente complexos podem surgir, por exemplo, em casos em que o emissor do certificado usou os princípios de limitação de sua própria responsabilidade de acordo com as normas de seu país de residência, e a pessoa que foi prejudicada pela imprudência ou insegurança das ações do emissor entra com uma ação em outro país (no qual está registrado).
3.11 Outras questões regulatórias
3.11.1 Requisitos da indústria e Diretiva NIS
Além dos órgãos governamentais, vários reguladores da indústria também desenvolvem seus próprios requisitos para cibersegurança - por exemplo, no setor financeiro, prática jurídica, saúde, as normas sobre relatórios e notificações de incidentes de acesso não autorizado a dados podem ser aplicadas. O aumento do nível de riscos cibernéticos, especialmente para infraestruturas críticas nacionais, levou ao desenvolvimento de vários requisitos estatais no campo da cibersegurança. Por exemplo, a UE opera a Diretiva 2016/1148 ("NIS") e a Diretiva 2022/2555 ("NIS 2"), dedicadas a medidas para garantir a cibersegurança de redes e sistemas de informação (Network and Information Systems, abreviado NIS). Os requisitos da Diretiva "NIS 2" aplicam-se a 18 setores de infraestrutura crítica - energia, transporte, abastecimento de água, saúde, ciência, indústria química e alimentícia, setores financeiro e digital, esfera da administração pública. As disposições da Diretiva "NIS 2" incluem:
A responsabilidade dos chefes diretos das organizações pelo cumprimento dos requisitos da Diretiva;
A necessidade de implementar processos de gestão de riscos cibernéticos, incidentes cibernéticos, continuidade dos negócios, segurança da cadeia de suprimentos (incluindo provedores de serviços);
Enviar notificações ao centro regional CSIRT (Computer Security Incident Response Team, grupo de resposta a incidentes de segurança cibernética) dentro de 24 horas após a detecção do incidente e dentro de 72 horas após a análise inicial do incidente (indicando o perigo e os danos, listando os indicadores de comprometimento), fornecendo um relatório final sobre o incidente o mais tardar 1 mês depois;
As sanções por não conformidade com os requisitos da Diretiva "NIS 2" são de até 10 milhões de euros ou até 2% do volume de negócios anual da empresa infratora.
Nos EUA, os principais atos regulatórios no campo da cibersegurança são:
Lei Federal de Gerenciamento de Segurança da Informação (FISMA - Federal Information Security Management Act) de 2002, conforme alterada em 2014;
Lei de Compartilhamento de Informações de Cibersegurança (CISA - Cybersecurity Information Sharing Act) de 2015;
Lei para Fortalecer a Cibersegurança Americana (Strengthening American Cybersecurity Act) de 2022;
Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA - Cyber Incident Reporting for Critical Infrastructure Act) de 2022.
3.11.2 Melhorando a cibersegurança de bens e serviços
O desenvolvimento da Internet das Coisas e dos serviços em nuvem cria riscos aumentados de violação da confidencialidade dos dados de compradores e empresas privadas, e, portanto, os órgãos reguladores de vários países estão desenvolvendo regras legais para a certificação de conformidade com os padrões de segurança da informação para produtos e serviços. Por exemplo, a UE opera a Lei de Cibersegurança (EU Cybersecurity Act, Regulamento 2019/881), que foi desenvolvida para melhorar a cibersegurança do mercado digital e é uma estrutura de certificação voluntária para produtos, serviços, processos de TI e atribuindo-lhes um dos três níveis de avaliação de confiabilidade. Nos EUA, a Lei de Melhoria da Cibersegurança da Internet das Coisas (IoT Cybersecurity Improvement Act) de 2020 está em vigor, no âmbito da qual o instituto americano NIST está trabalhando na padronização para garantir os principais requisitos da lei (gerenciamento de vulnerabilidades e atualizações de dispositivos IoT, proibição do uso de credenciais codificadas, cumprimento pelos fabricantes dos requisitos básicos de segurança da informação).
3.11.3 Restrições de exportação para tecnologias de cibersegurança
O regime de restrições de exportação se aplica a vários produtos de dupla utilização, incluindo funções criptográficas como parte do software e hardware. Até 2000, os EUA aplicavam restrições bastante rígidas à exportação para outros países de produtos com funções criptográficas integradas - por exemplo, os primeiros lançamentos estáveis do navegador Netscape Navigator em 1995 foram distribuídos nos EUA e Canadá em uma versão com suporte total para chaves RSA assimétricas com um comprimento de 1024 bits e o algoritmo de criptografia de fluxo simétrico RC4 com chaves de 128 bits de comprimento, enquanto nas versões de exportação apenas chaves RSA de 512 bits e chaves RC4 de apenas 40 bits eram suportadas, o que significava sua baixa resistência à criptografia. Finalmente, em 2000, por decisão judicial, os EUA estabeleceram que a proibição da distribuição do código-fonte de programas e algoritmos violava o princípio da liberdade de expressão (Primeira Emenda da Constituição dos EUA), e o governo atualizou os requisitos de exportação, que começaram a impor restrições significativamente menos amplas à funcionalidade criptográfica. No entanto, atualmente, o controle sobre a exportação e importação de equipamentos criptográficos é mantido: por exemplo, o Centro de Licenciamento, Certificação e Proteção de Segredos de Estado (CLSZ) do Serviço Federal de Segurança da Rússia realiza o registro de notificações sobre as características de produtos contendo meios criptográficos (criptográficos) - tal permissão deve ser obtida ao importar vários dispositivos importados para a Federação Russa que implementam certas funções criptográficas (por exemplo, criptografando o tráfego). O controle da exportação de bens e tecnologias russas de dupla utilização, incluindo meios criptográficos, já é realizado pelo FSTEC da Rússia.
3.11.4 Questões de proteção de segredos de estado
Especialistas em segurança da informação que trabalham em instituições governamentais podem enfrentar a aplicação de requisitos legislativos para a proteção de dados secretos ou segredos de estado. Na maioria das vezes, esses tipos de informações estão relacionados à capacidade de defesa do estado, à realização de investigações e ao trabalho das agências de aplicação da lei, à segurança de indivíduos, etc. As leis de proteção de segredos de estado podem ser usadas para classificar trabalhos de pesquisa e desenvolvimento de terceiros, e especialistas em segurança da informação podem estar sujeitos a essas leis ao trabalhar com alguns dados de análise de ameaças cibernéticas (inteligência cibernética). A violação dos requisitos da legislação sobre a proteção de segredos de estado pode acarretar consequências muito sérias.
CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8
Este artigo continua a série dedicada ao Cybersecurity Body of Knowledge (CyBOK), um compêndio de conhecimento em cibersegurança. O Capítulo 3 do CyBOK aborda as principais normas regulatórias e princípios do direito internacional relevantes para a cibersegurança, que podem ser aplicados na avaliação de riscos cibernéticos, gestão de segurança da informação e investigação de incidentes cibernéticos. Esta é a oitava parte da análise do Capítulo 3, focando em questões como a validade legal de assinaturas eletrônicas e a responsabilidade dos emissores de certificados, requisitos específicos da indústria em segurança da informação e restrições de exportação para tecnologias de cibersegurança.
3.10 Documentos Eletrônicos e Serviços de Autenticação
Com o aumento da digitalização, surgiu a necessidade de transferir para o formato eletrônico os métodos tradicionais de garantir a autenticidade e integridade de documentos em papel, como assinaturas, selos e tinta indelével. A resposta foram as tecnologias de proteção, muitas vezes baseadas em PKI (Infraestrutura de Chave Pública), cuja aplicação gerou uma série de novas questões legais: validade legal de documentos eletrônicos, suporte legal para comunicações digitais, direitos e obrigações na prestação e utilização de serviços eletrônicos.
3.10.1 Admissibilidade de documentos eletrônicos como prova
A aceitação de documentos eletrônicos como prova em processos judiciais é agora generalizada. Tribunais e legisladores permitem o uso de ferramentas forenses projetadas para verificar a autenticidade e integridade dos dados. A legislação de diferentes países pode exigir procedimentos especiais para reconhecer provas em formato eletrônico, mas as regras geralmente coincidem com os requisitos para evidências documentais de outros tipos.
3.10.2 Requisitos de forma e risco de inaplicabilidade das normas legais
O requisito legal de forma é expresso no fato de que algumas comunicações podem ser objeto de aplicação da lei somente se tiverem uma forma predeterminada. O não cumprimento dos requisitos legais aplicáveis à forma acarreta o risco de que o assunto (substância) da comunicação perca sua força legal. Diferentes países aplicam diferentes requisitos de forma, que podem incluir o cumprimento das seguintes regras aproximadas para reconhecer documentos como legalmente válidos:
Algumas notificações legais devem ser enviadas por escrito (na forma de um documento em papel);
Certos contratos devem ser assinados à mão;
Alguns apelos a órgãos governamentais podem ser emitidos apenas em um formulário especial;
Alguns itens de contratos que afetam a responsabilidade de uma das partes devem ser emitidos com destaque visual (por exemplo, usando letras maiúsculas, uma fonte notável, etc.) e assinados por uma das partes;
Um testamento deve ser escrito e assinado na presença de testemunhas;
Um documento de transferência de direitos de propriedade deve ser assinado na presença de um funcionário público, que então carimba o documento.
Os sistemas de comércio eletrônico, que surgiram na década de 1960, contornaram alguns dos requisitos formais para o registro de documentos, assinando um contrato-quadro em papel, que continha uma lista de regras da plataforma de comércio eletrônico e sua relação com obrigações legais - como resultado, mensagens de texto estruturadas no sistema de comércio eletrônico tornaram-se comunicações legalmente significativas entre os participantes do comércio. No entanto, as plataformas de negociação modernas impõem muito menos requisitos formais aos participantes da negociação (pessoas físicas e jurídicas - vendedores e compradores). Em 1996, a UNCITRAL (UNCITRAL) assinou uma lei modelo da ONU sobre comércio eletrônico para facilitar o uso de plataformas de Internet para fins comerciais e remover obstáculos legais, adotando a regra da equivalência de documentos em papel e eletrônicos. Por sua vez, estados individuais começaram a adotar leis que fornecem uma estrutura legal para interação online, incluindo comércio, transferência de informações financeiras e relatórios, regras de litígio, etc. No entanto, certas questões sensíveis em muitos países ainda não foram traduzidas para o formato eletrônico - incluindo, por exemplo, a transferência de direitos de propriedade ou questões de herança. Na Rússia, no entanto, a maioria das questões pode ser resolvida através do portal de Serviços Públicos, o que gera certos riscos materiais e consequências legais para os cidadãos: por exemplo, através dos Serviços Públicos, você pode emitir um empréstimo ou vender imóveis - é por isso que é importante saber sobre a possibilidade de estabelecer uma auto-proibição de obter empréstimos e uma proibição de ações com imóveis sem a participação pessoal do proprietário.
3.10.3 Assinatura eletrônica e serviços de autenticação
O desenvolvimento do setor de comércio eletrônico ocorreu simultaneamente com a disseminação de serviços de autenticação (em inglês, identity trust services), incluindo aqueles que emitem certificados digitais que vinculam uma determinada pessoa à sua chave pública no âmbito da infraestrutura PKI. À medida que esses serviços de verificação de autenticidade se desenvolveram, dois tópicos de discussão surgiram: primeiro, em que medida a validade legal de uma assinatura manuscrita em papel corresponde a uma assinatura digital; em segundo lugar, qual é o escopo dos direitos e obrigações das pessoas que atendem e usam esses serviços. A primeira questão foi resolvida na maioria dos estados, onde, sob certas condições, a assinatura digital é equiparada à assinatura manuscrita: por exemplo, na Rússia, de acordo com as normas da Lei Federal "Sobre Assinatura Eletrônica" nº 63-FZ de 06.04.2011, assinaturas eletrônicas simples (PEP, o par "login-senha" ou um código único do SMS/aplicativo), assinaturas eletrônicas não qualificadas (NEP, o par de chave pública-privada e certificado), bem como assinaturas eletrônicas qualificadas aprimoradas (UKEP/KEP, emitidas por centros de certificação credenciados, SKZI certificados) são aplicadas. A questão dos direitos e obrigações dos serviços de autenticação é mais complexa: é necessário determinar a medida da responsabilidade do emissor por certificados digitais emitidos incorretamente e por falhas no sistema de verificação de sua validade, pela comprometimento da chave privada do centro de certificação raiz, pela violação da disponibilidade do serviço e incidentes cibernéticos. Além disso, é importante determinar as regras de responsabilidade do signatário, que pode comprometer sua chave privada ou perder o acesso ao dispositivo para criar uma assinatura - essas questões são regulamentadas pela legislação setorial de um determinado país e são consideradas para cada cenário de uso específico (por exemplo, ao usar sistemas de pagamento eletrônico). Ao usar sistemas de emissão de certificados, surgem tarefas de troca de informações entre a entidade que aceita o certificado e a parte que confia nele, o usuário-signatário e o centro de certificação que emite e confirma a validade do certificado. As regras gerais tornaram-se as seguintes normas, apresentadas em vários atos legislativos de alguns países:
A obrigatoriedade de reconhecer assinaturas digitais como prova legal;
A obrigatoriedade de reconhecer assinaturas digitais como equivalentes à assinatura manuscrita, sujeitas ao cumprimento de uma série de requisitos técnicos para garantir a autenticidade e integridade;
Os juízes são recomendados a não se recusarem a reconhecer assinaturas digitais como legalmente significativas apenas porque estão em formato eletrônico;
A obrigação do emissor do certificado de garantir a devida confiabilidade e cautela em relação a terceiros que confiam no certificado emitido;
Imposição de responsabilidade ao emissor do certificado na questão da confirmação da confiabilidade das operações (em vez da obrigação da parte lesada que confiou no certificado emitido de provar independentemente a negligência do emissor);
Implementação de estruturas para melhorar os padrões de qualidade técnicos e não técnicos na emissão de certificados;
Fornecer aos emissores de certificados a capacidade de limitar sua responsabilidade financeira, especificando as restrições aplicáveis em formato de texto no corpo do próprio certificado;
Fornecer aos emissores de certificados a capacidade de excluir sua responsabilidade, especificando exclusões em formato de texto no corpo do próprio certificado.
Além desses princípios, é importante levar em consideração a questão jurídica da confiança dos usuários finais nos emissores de certificados - isso se aplica, entre outras coisas, aos usuários de navegadores de Internet e empregadores que instalam certificados raiz corporativos em dispositivos de funcionários, garantindo a inspeção autorizada do tráfego criptografado.
3.10.4 Conflito de leis no uso de assinaturas eletrônicas e serviços de autenticação
Conflitos legais surgem com o uso transfronteiriço de certificados - por exemplo, se o emissor do certificado estiver em um estado, o signatário em outro e a pessoa que confia na autenticidade do certificado em um terceiro. Se estamos falando da transferência de direitos de propriedade, que pode estar fisicamente em um quarto estado, então as normas legais desse estado serão aplicadas. De acordo com a lei da UE "Roma I" (Regulamento 593/2008), um mecanismo unificado de aplicação da lei foi desenvolvido para obrigações contratuais, que prevê a pré-seleção da jurisdição pelas partes do contrato para resolver disputas, e em caso de reclamações do comprador, um contrato transfronteiriço com o vendedor só pode ser reconhecido como válido se for válido no país de residência do consumidor. Casos igualmente complexos podem surgir, por exemplo, em casos em que o emissor do certificado usou os princípios de limitação de sua própria responsabilidade de acordo com as normas de seu país de residência, e a pessoa que foi prejudicada pela imprudência ou insegurança das ações do emissor entra com uma ação em outro país (no qual está registrado).
3.11 Outras questões regulatórias
3.11.1 Requisitos da indústria e Diretiva NIS
Além dos órgãos governamentais, vários reguladores da indústria também desenvolvem seus próprios requisitos para cibersegurança - por exemplo, no setor financeiro, prática jurídica, saúde, as normas sobre relatórios e notificações de incidentes de acesso não autorizado a dados podem ser aplicadas. O aumento do nível de riscos cibernéticos, especialmente para infraestruturas críticas nacionais, levou ao desenvolvimento de vários requisitos estatais no campo da cibersegurança. Por exemplo, a UE opera a Diretiva 2016/1148 ("NIS") e a Diretiva 2022/2555 ("NIS 2"), dedicadas a medidas para garantir a cibersegurança de redes e sistemas de informação (Network and Information Systems, abreviado NIS). Os requisitos da Diretiva "NIS 2" aplicam-se a 18 setores de infraestrutura crítica - energia, transporte, abastecimento de água, saúde, ciência, indústria química e alimentícia, setores financeiro e digital, esfera da administração pública. As disposições da Diretiva "NIS 2" incluem:
A responsabilidade dos chefes diretos das organizações pelo cumprimento dos requisitos da Diretiva;
A necessidade de implementar processos de gestão de riscos cibernéticos, incidentes cibernéticos, continuidade dos negócios, segurança da cadeia de suprimentos (incluindo provedores de serviços);
Enviar notificações ao centro regional CSIRT (Computer Security Incident Response Team, grupo de resposta a incidentes de segurança cibernética) dentro de 24 horas após a detecção do incidente e dentro de 72 horas após a análise inicial do incidente (indicando o perigo e os danos, listando os indicadores de comprometimento), fornecendo um relatório final sobre o incidente o mais tardar 1 mês depois;
As sanções por não conformidade com os requisitos da Diretiva "NIS 2" são de até 10 milhões de euros ou até 2% do volume de negócios anual da empresa infratora.
Nos EUA, os principais atos regulatórios no campo da cibersegurança são:
Lei Federal de Gerenciamento de Segurança da Informação (FISMA - Federal Information Security Management Act) de 2002, conforme alterada em 2014;
Lei de Compartilhamento de Informações de Cibersegurança (CISA - Cybersecurity Information Sharing Act) de 2015;
Lei para Fortalecer a Cibersegurança Americana (Strengthening American Cybersecurity Act) de 2022;
Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA - Cyber Incident Reporting for Critical Infrastructure Act) de 2022.
3.11.2 Melhorando a cibersegurança de bens e serviços
O desenvolvimento da Internet das Coisas e dos serviços em nuvem cria riscos aumentados de violação da confidencialidade dos dados de compradores e empresas privadas, e, portanto, os órgãos reguladores de vários países estão desenvolvendo regras legais para a certificação de conformidade com os padrões de segurança da informação para produtos e serviços. Por exemplo, a UE opera a Lei de Cibersegurança (EU Cybersecurity Act, Regulamento 2019/881), que foi desenvolvida para melhorar a cibersegurança do mercado digital e é uma estrutura de certificação voluntária para produtos, serviços, processos de TI e atribuindo-lhes um dos três níveis de avaliação de confiabilidade. Nos EUA, a Lei de Melhoria da Cibersegurança da Internet das Coisas (IoT Cybersecurity Improvement Act) de 2020 está em vigor, no âmbito da qual o instituto americano NIST está trabalhando na padronização para garantir os principais requisitos da lei (gerenciamento de vulnerabilidades e atualizações de dispositivos IoT, proibição do uso de credenciais codificadas, cumprimento pelos fabricantes dos requisitos básicos de segurança da informação).
3.11.3 Restrições de exportação para tecnologias de cibersegurança
O regime de restrições de exportação se aplica a vários produtos de dupla utilização, incluindo funções criptográficas como parte do software e hardware. Até 2000, os EUA aplicavam restrições bastante rígidas à exportação para outros países de produtos com funções criptográficas integradas - por exemplo, os primeiros lançamentos estáveis do navegador Netscape Navigator em 1995 foram distribuídos nos EUA e Canadá em uma versão com suporte total para chaves RSA assimétricas com um comprimento de 1024 bits e o algoritmo de criptografia de fluxo simétrico RC4 com chaves de 128 bits de comprimento, enquanto nas versões de exportação apenas chaves RSA de 512 bits e chaves RC4 de apenas 40 bits eram suportadas, o que significava sua baixa resistência à criptografia. Finalmente, em 2000, por decisão judicial, os EUA estabeleceram que a proibição da distribuição do código-fonte de programas e algoritmos violava o princípio da liberdade de expressão (Primeira Emenda da Constituição dos EUA), e o governo atualizou os requisitos de exportação, que começaram a impor restrições significativamente menos amplas à funcionalidade criptográfica. No entanto, atualmente, o controle sobre a exportação e importação de equipamentos criptográficos é mantido: por exemplo, o Centro de Licenciamento, Certificação e Proteção de Segredos de Estado (CLSZ) do Serviço Federal de Segurança da Rússia realiza o registro de notificações sobre as características de produtos contendo meios criptográficos (criptográficos) - tal permissão deve ser obtida ao importar vários dispositivos importados para a Federação Russa que implementam certas funções criptográficas (por exemplo, criptografando o tráfego). O controle da exportação de bens e tecnologias russas de dupla utilização, incluindo meios criptográficos, já é realizado pelo FSTEC da Rússia.
3.11.4 Questões de proteção de segredos de estado
Especialistas em segurança da informação que trabalham em instituições governamentais podem enfrentar a aplicação de requisitos legislativos para a proteção de dados secretos ou segredos de estado. Na maioria das vezes, esses tipos de informações estão relacionados à capacidade de defesa do estado, à realização de investigações e ao trabalho das agências de aplicação da lei, à segurança de indivíduos, etc. As leis de proteção de segredos de estado podem ser usadas para classificar trabalhos de pesquisa e desenvolvimento de terceiros, e especialistas em segurança da informação podem estar sujeitos a essas leis ao trabalhar com alguns dados de análise de ameaças cibernéticas (inteligência cibernética). A violação dos requisitos da legislação sobre a proteção de segredos de estado pode acarretar consequências muito sérias.
