O CECE (Committee for European Construction Equipment), juntamente a uma diversificada coalizão de indústrias e ONGs, emitiu uma carta conjunta sobre as obrigações de relatórios de vulnerabilidades impostas aos fabricantes sob a Lei de Resiliência Cibernética (Cyber Resilience Act) na Europa.

A iniciativa conjunta tem como objetivo alertar os colegisladores europeus sobre os riscos de segurança cibernética associados especificamente à obrigatoriedade de comunicação de "vulnerabilidades não-corrigidas", como previsto na lei.

Segundo a entidade, o controle de vulnerabilidades desempenha um papel fundamental na manutenção da segurança e integridade de produtos digitais.

Ao identificar pontos falhos da segurança, o procedimento permite que os fabricantes possam corrigi-los de forma rápida e eficaz.

Porém, a entidade avalia que comunicação prematura de vulnerabilidades pode ter impacto sobre a segurança dos produtos, inclusive com maior exposição a novos ataques cibernéticos, argumentando que a coleta de dados confidenciais tem potencial de atrair agentes mal-intencionados de todo o mundo.

“A coalizão de cosignatários pede ao Parlamento Europeu e ao Conselho que eliminem essas obrigações”, solicita a coalizão.

“A comunicação de vulnerabilidades deve ser limitada, de fato, apenas às vulnerabilidades já corrigidas e que tenham sido ativamente exploradas, representando um risco significativo à segurança cibernética”, destaca o comunicado divulgado hoje (21).

A carta pode ser baixada (em inglês) neste link.