Em reunião do Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) realizada nesta quinta-feira, 17, o Colegiado aprovou versão final de Resolução que tem como anexo o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.
A proposta aprovada consta de Voto apresentado pelo Presidente da Agência, Leonardo Euler de Morais, e corresponde a acréscimos e ajustes à proposta relatada pelo Conselheiro Moisés Moreira.
O desafio identificado é o de promover a segurança cibernética nas redes e serviços de telecomunicações, o que se dará em uma linha de atuação eminentemente técnico-regulatória, integrada a um contexto de ações e esforços de diferentes esferas governamentais. A premissa é a de uma regulação de riscos, estruturando-se vigilância permanente do mercado e das infraestruturas e adotando-se medidas corretivas proporcionais.
Em linhas gerais, a estrutura do Regulamento contempla disposições gerais; princípios e diretrizes em segurança cibernética; segurança cibernética no âmbito das redes e serviços e mitigação de riscos em infraestruturas críticas; atuação da Anatel e do Grupo Técnico em Segurança Cibernética; sanções e disposições finais.
Destaca-se que a incidência inicial das disposições regulamentares se volta para todas as prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte (PPP). Novos agentes, tais como as próprias PPP, detentoras de direitos de exploração de satélites, e outras empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou desenvolvimento de redes e serviços, podem a vir ser incluídos ou dispensados, total ou parcialmente, do âmbito de abrangência do Regulamento a partir de decisão posterior, motivada, do Conselho Diretor.
Uma das principais obrigações impostas às prestadoras é a de elaborar, manter e implementar uma Política de Segurança Cibernética detalhada, que contemple normas e padrões, nacionais e internacionais, e referências de boas práticas. Nela deverão estar reportados procedimentos e controles para identificação de vulnerabilidades às infraestruturas críticas, apresentadas de forma hierarquizada, e à continuidade dos serviços, bem como um mapeamento de riscos e plano de resposta de incidentes, dentre outros requisitos.
Outras obrigações preveem a utilização, nas redes, de produtos e equipamentos provenientes de fornecedores que adotem Políticas de Segurança Cibernética e a realização de ciclos de avaliação de vulnerabilidades. Há deveres como o compartilhamento e envio de informações à Agência e de notificação de incidentes relevantes.
No âmbito da atuação da Anatel sobre o tema, prevê-se a instituição de arranjo específico, o Grupo Técnico de Segurança Cibernética (GT-Ciber) que deterá dentre outras atribuições as de auxiliar o acompanhamento e implantação da Política de Segurança Cibernética e de gestão das infraestruturas críticas; a de propor relação de incidentes relevantes e prazos para realização de registro e comunicação; e de avaliar e recomendar a internalização de padrões, melhores práticas, ações e iniciativas. Ficará ainda a cargo do GT-Ciber, dentre outras atividades, a dispor sobre a identificação das infraestruturas críticas e de propor a alteração na abrangência do Regulamento para outros atores.
O Regulamento entrará em vigor em 4 de janeiro de 2021, e as prestadoras terão um prazo de 180 dias para se adaptarem.
