Decreto executivo sobre segurança cibernética — Principais implicações para a indústria de manufatura

24 de janeiro de 2025

Um cadeado digital com padrões de circuitos e rastros de luz simboliza a segurança cibernética e a proteção de dados para escritórios de advocacia sobre uma paisagem urbana desfocada — ideal para advogados de Chicago que buscam suporte avançado em litígios.

Em 16 de janeiro de 2025, o presidente Joe Biden emitiu a“Ordem Executiva sobre o Fortalecimento e a Promoção da Inovação na Cibersegurança Nacional”, uma diretiva abrangente destinada a lidar com a crescente complexidade e sofisticação das ameaças cibernéticas direcionadas aos Estados Unidos. A Ordem Executiva visa estabelecer uma estratégia nacional coesa para melhorar a cibersegurança em agências federais, empresas privadas e setores de infraestrutura crítica. A Ordem Executiva rege uma ampla gama de questões críticas, incluindo novos padrões de segurança cibernética para contratados federais, maior compartilhamento de informações entre os setores público e privado, promoção de tecnologias avançadas, como criptografia resistente a quantum e inteligência artificial (IA), e imposição de sanções a atores cibernéticos estrangeiros. As iniciativas da Ordem Executiva demonstram um compromisso com o fortalecimento das defesas de segurança cibernética do país em um cenário digital em rápida evolução e incorporam abordagens geralmente entendidas como melhores práticas para melhorar a segurança cibernética.

Para avançar ainda mais nas iniciativas descritas na ordem, a Agência de Segurança Cibernética e Infraestrutura (CISA), uma entidade federal fundamental responsável pela coordenação dos esforços nacionais para proteger infraestruturas críticas, ampliou a diretiva com estruturas de implementação detalhadas e orientações adicionais. O envolvimento da CISA ressalta o seu papel crucial na operacionalização da Ordem Executiva e na transformação das suas diretrizes políticas em estratégias acionáveis. Por meio da colaboração com líderes do setor, inovadores tecnológicos e partes interessadas do governo, a CISA abordou desafios específicos, incluindo a adoção de criptografia resistente à tecnologia quântica, a implantação de inteligência artificial nas defesas de segurança cibernética e a melhoria dos mecanismos de compartilhamento de informações entre os setores público e privado. Esses esforços enfatizam o fomento da inovação, o aumento da resiliência e a proteção do ecossistema digital do país contra ameaças emergentes. Com base na Ordem Executiva, a CISA procura colmatar a lacuna entre os objetivos políticos e as práticas de cibersegurança no terreno, garantindo que a postura de cibersegurança do país evolui em paralelo com o panorama de ameaças em rápida mudança.

A transição da presidência para o presidente Donald Trump em 20 de janeiro de 2025 levantou questões sobre o futuro da ordem executiva de Biden. Historicamente, o presidente Trump tem favorecido a desregulamentação e, durante o seu primeiro mandato, revogou várias ordens executivas emitidas por administrações anteriores. A possibilidade de modificação ou revogação da Ordem Executiva é particularmente significativa para o setor manufatureiro, que é um componente crítico da economia dos EUA e um alvo frequente de ataques cibernéticos.

O objetivo deste guia é triplo. Primeiro, ele examina os elementos-chave da Ordem Executiva existente. Em seguida, explora as possíveis modificações que a administração Trump pode implementar. Por fim, fornece orientações personalizadas para empresas de manufatura para navegar neste ambiente regulatório e de ameaças em evolução, com base em recursos anteriores relacionados publicados pela Foley & Lardner e pelo Cybersecurity Manufacturing Innovation Institute (CyManII), que são referenciados no final deste alerta.

Principais disposições do decreto executivo e seu impacto na indústria transformadora

Padrões mínimos de segurança cibernética para contratados federais

Uma disposição central da Ordem Executiva exige medidas básicas de segurança cibernética para contratados federais. Isso inclui proteger o acesso a sistemas e dados críticos usando autenticação multifatorial (MFA), incorporar ferramentas de detecção e resposta de terminais (EDR) para monitorar, detectar e responder a ameaças à segurança cibernética e usar criptografia para proteger dados confidenciais tanto durante o trânsito quanto em repouso.

Os fabricantes que fornecem bens ou serviços ao governo federal devem aderir a essas normas de segurança cibernética para manter a sua elegibilidade para contratos governamentais. Para muitas empresas, isso pode exigir investimentos substanciais na atualização de sistemas, adoção de novas tecnologias e formação de pessoal. O não cumprimento pode levar à perda de contratos federais lucrativos e a possíveis danos à reputação.

Partilha de informações público-privadas melhorada

A Ordem Executiva orienta as agências federais a aprimorar os mecanismos de partilha de informações sobre ameaças com entidades do setor privado. Essa colaboração visa fornecer insights oportunos e acionáveis para ajudar as empresas a se defenderem contra ameaças cibernéticas emergentes.

Esta iniciativa beneficia o setor de manufatura, pois é um dos principais alvos de ataques de ransomware e roubo de propriedade intelectual. O acesso a informações sobre ameaças em tempo real permite que os fabricantes identifiquem vulnerabilidades, respondam rapidamente a incidentes e mitiguem riscos de forma mais eficaz. Um plano de incidentes de ransomware focado na manufatura pode ser encontrado aqui: Manual de ransomware.

Transição para a criptografia resistente à tecnologia quântica

A Ordem Executiva destaca a necessidade urgente de adotar algoritmos criptográficos resistentes à computação quântica para enfrentar a ameaça de longo prazo decorrente dos avanços na computação quântica. À medida que a indústria incorpora cada vez mais tecnologias digitais e sistemas interconectados, proteger projetos proprietários, dados da cadeia de abastecimento e outras informações confidenciais é essencial para os negócios. A adoção antecipada da criptografia resistente à computação quântica pode proporcionar uma vantagem competitiva e proteger ativos críticos contra ameaças existentes e futuras. As diretrizes para abordar a criptografia resistente à computação quântica estão disponíveis no NIST e os primeiros padrões de criptografia pós-quântica podem ser encontrados aqui.

Aproveitando a IA para a segurança cibernética

A Ordem Executiva promove o uso de ferramentas de segurança cibernética baseadas em IA para identificar e combater ameaças cibernéticas avançadas em tempo real. A IA tem potencial transformador para o setor de manufatura, pois pode automatizar estratégias de detecção e resposta a ameaças. A IA também é uma ferramenta comprovada para minimizar interrupções operacionais, proteger a propriedade intelectual e garantir a integridade das linhas de produção. Os programas-piloto descritos na Ordem Executiva podem servir de modelo para uma adoção mais ampla em toda a indústria. A IA pode acelerar significativamente a deteção e mitigação de ciberataques, uma área em desenvolvimento pela CyManII.

Sanções contra ciber-actores estrangeiros

A Ordem Executiva concede ao governo federal a autoridade para impor sanções a indivíduos e entidades responsáveis por ataques cibernéticos direcionados a organizações dos EUA. As sanções servem como um impedimento contra ataques cibernéticos patrocinados por Estados e espionagem industrial. Para os fabricantes, essa disposição oferece uma camada extra de proteção e destaca o compromisso do governo em proteger indústrias críticas.

Possíveis mudanças sob a administração Trump

Desregulamentação das normas de segurança cibernética

A ênfase do presidente Trump em minimizar os encargos regulatórios pode resultar numa redução dos requisitos de segurança cibernética na Ordem Executiva. Isso poderia transferir a responsabilidade pela implementação de medidas robustas de segurança cibernética do governo federal para empresas individuais.

Foco na resiliência da cadeia de abastecimento

Com base na importância da indústria transformadora dos EUA e no seu papel na competitividade global e na estabilidade económica, prevemos que o presidente Trump emitirá orientações sobre como garantir a resiliência da cadeia de abastecimento para aumentar a produtividade dos fabricantes norte-americanos. Iremos acompanhar essas mudanças previstas e publicar alertas futuros, conforme aplicável.

Reorganização das prioridades das iniciativas de segurança cibernética

Embora a atual ordem executiva enfatize a criptografia resistente à computação quântica e a IA, o governo Trump pode se concentrar primeiro nos desafios imediatos de segurança cibernética e adiar soluções de longo prazo que exigem investimentos significativos.

Menor ênfase na colaboração público-privada

Alterações nas iniciativas de partilha de informações podem diminuir o apoio governamental aos esforços de segurança cibernética do setor privado, o que pode obrigar os fabricantes a procurar fontes alternativas de inteligência contra ameaças.

Aplicação seletiva de sanções

Uma abordagem mais seletiva às sanções poderia alterar o efeito dissuasor sobre os ciberataques estrangeiros, aumentando potencialmente o risco de ataques direcionados a empresas industriais americanas.

Orientação para empresas de manufatura

Dada a incerteza em torno do futuro da Ordem Executiva, os fabricantes devem adotar uma abordagem proativa em relação à cibersegurança. Abaixo estão algumas medidas práticas para aumentar a resiliência:

Reforçar as medidas essenciais de cibersegurança

Adote as melhores práticas do setor:garanta a implementação de MFA, EDR e criptografia em todos os sistemas críticos.
Tecnologia operacional segura (OT):proteja os sistemas de controlo industrial (ICS) e outros componentes OT essenciais para as operações de fabrico.
Realizar avaliações regulares:auditorias regulares podem ajudar a identificar vulnerabilidades e priorizar esforços de correção.
Invista na formação dos funcionários: mais de 80% dos ataques de ransomware e outros ciberataques podem ser atribuídos ao «fator humano». Portanto, a formação em cibersegurança é um investimento sólido para proteger a sua empresa e as suas operações.

Acompanhar os desenvolvimentos regulatórios

Mantenha-se informado:Mantenha-se informado sobre as atualizações da Ordem Executiva e outras políticas relevantes de segurança cibernética.
Contrate um consultor jurídico:consulte especialistas jurídicos e em conformidade para avaliar o impacto potencial das alterações nas políticas nas suas operações comerciais.

Invista em tecnologias avançadas de segurança cibernética

Explore as soluções de IA:aproveite as ferramentas de IA para prever ameaças, identificar anomalias e automatizar respostas a incidentes.
Transição para criptografia resistente à tecnologia quântica:Comece a planear atualizações criptográficas para proteger dados confidenciais contra ameaças emergentes.
Colabore com colegas do setor:participe de fóruns e consórcios para trocar as melhores práticas e estabelecer protocolos padronizados de segurança cibernética.

Proteja a cadeia de abastecimento

Avalie os riscos dos fornecedores:realize avaliações abrangentes de segurança cibernética dos fornecedores e parceiros terceirizados.
Desenvolva planos de redundância:identifique dependências críticas da cadeia de abastecimento e desenvolva planos de contingência para mitigar possíveis interrupções.
Criptografar comunicações:Proteja as transferências de dados em toda a cadeia de abastecimento para minimizar o risco de interceção.

Crie planos robustos de resposta a incidentes

Estabeleça protocolos abrangentes:desenvolva planos de resposta a incidentes adaptados a ameaças específicas da indústria, como ataques de ransomware a sistemas de produção. Um exemplo de orientação e modelo para o setor está disponível no Guia de Preparação para Ransomware da CyManII : Prevenção, Mitigação e Recuperação para Fabricantes.
Treinar funcionários:Oferecer formação contínua em segurança cibernética para aumentar a conscientização e minimizar erros humanos.
Testar e aperfeiçoar planos:Realizar simulações regulares para avaliar a eficácia das estratégias de resposta e implementar os ajustes necessários.

Considerações finais

A “Ordem Executiva sobre o Fortalecimento e a Promoção da Inovação na Cibersegurança Nacional” destaca a necessidade urgente de medidas robustas de cibersegurança, particularmente no setor de manufatura, vital para a segurança nacional, a estabilidade económica e a competitividade global. Este setor enfrenta um número crescente de ameaças sofisticadas, incluindo ataques de ransomware, vulnerabilidades na cadeia de abastecimento e roubo de propriedade intelectual. Embora o futuro da Ordem Executiva sob a administração Trump seja incerto, os fabricantes não podem se dar ao luxo de adiar a ação. Os ciberataques a fabricantes continuarão a aumentar em volume e sofisticação nos próximos anos. Medidas proativas, como a implementação de tecnologias de segurança avançadas, o reforço das defesas da cadeia de abastecimento e o acompanhamento das alterações regulamentares, são essenciais para mitigar os riscos e garantir a continuidade operacional.

Além disso, aderir a rigorosos padrões de segurança cibernética permite que os fabricantes garantam contratos federais, estabeleçam confiança com as partes interessadas e obtenham uma vantagem competitiva no mercado. Como possíveis alterações na Ordem Executiva podem levar a um cenário regulatório fragmentado — abrangendo os níveis federal, estadual e internacional —, os fabricantes devem se preparar para diversos requisitos de conformidade. Ao priorizar a segurança cibernética, o setor de manufatura não apenas protege seus ativos e processos críticos, mas também reforça seu papel vital na promoção do crescimento económico e da inovação tecnológica.

Sobre o CyManII

Lançado em 2020 pelo Departamento de Energia dos EUA, o CyManII trabalha com a indústria transformadora, instituições académicas e de investigação e agências governamentais federais para desenvolver tecnologias que permitam a segurança e o crescimento do sector transformador dos EUA. A Foley & Lardner é atualmente membro do CyManII.

Informações adicionais sobre os riscos de cibersegurança enfrentados pelos fabricantes podem ser encontradas em artigos anteriores escritos por Foley & Larder e CyManII, incluindo:

Recomendações para a gestão de ameaças à segurança cibernética no setor de manufatura

Então, pensa na cibersegurança apenas como um centro de custos? Pense de novo.

Autores

Parceiro

312.832.4367

Diretor Executivo
Cybersecurity Manufacturing Innovation Institute

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.

Decreto executivo sobre segurança cibernética — Principais implicações para a indústria de manufatura

Aaron Tantleff

Howard Grimes

Decreto executivo sobre segurança cibernética — Principais implicações para a indústria de manufatura

Principais disposições do decreto executivo e seu impacto na indústria transformadora

Possíveis mudanças sob a administração Trump

Orientação para empresas de manufatura

Considerações finais

Sobre o CyManII

Autores

Aaron Tantleff

Howard Grimes

Informações relacionadas

Atualização da Foley Automotive

CPSC Enforcement Under a Reorganized DOJ

Tribunal Federal nega alegação de que o franqueador é um empregador conjunto com o franqueado