Anatel aprova regulamento de Segurança Cibernética para o setor de Telecom

Regulamento entra em vigor em 4 de janeiro de 2021; as prestadoras terão um prazo de 180 (cento e oitenta) dias para se adaptarem.

Em Reunião do Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) realizada na última quinta-feira, 17-dez-2020, o Colegiado aprovou versão final de Resolução que tem como anexo o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações. O regulamento aplica-se “a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte” e “tem por objetivo estabelecer condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações, incluindo a Segurança Cibernética e a proteção das Infraestruturas Críticas de Telecomunicações”. Além disso, os princípios gerais e diretrizes do regulamento (artigos 4o e 5o) “devem ser observados por todas as prestadoras dos serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte, ainda que dispensadas do cumprimento das demais disposições deste Regulamento, bem como pelas demais pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações”. Os princípios e diretrizes são os seguintes:

Princípios

  • Autenticidade;
  • Confidencialidade;
  • Disponibilidade;
  • Diversidade;
  • Integridade;
  • Interoperabilidade;
  • Prioridade;
  • Responsabilidade; e
  • Transparência.

Diretrizes

  • adotar normas e padrões, nacionais ou internacionais, e referências de boas práticas em Segurança Cibernética;
  • atuar com responsabilidade, zelo e transparência;
  • disseminar a cultura de Segurança Cibernética;
  • buscar a utilização segura e sustentável das redes e serviços de telecomunicações;
  • identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética;
  • buscar a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;
  • respeitar e promover os direitos humanos e as garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e
  • incentivar a adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

A proposta aprovada consta de Voto apresentado pelo Presidente da Agência, Leonardo Euler de Morais, e corresponde a acréscimos e ajustes à proposta relatada pelo Conselheiro Moisés Moreira. O desafio identificado é o de promover a segurança cibernética nas redes e serviços de telecomunicações, o que se dará em uma linha de atuação eminentemente técnico-regulatória, integrada a um contexto de ações e esforços de diferentes esferas governamentais. A premissa é a de uma regulação de riscos, estruturando-se vigilância permanente do mercado e das infraestruturas e adotando-se medidas corretivas proporcionais.

Uma das principais obrigações impostas às prestadoras é a de elaborar, manter e implementar uma Política de Segurança Cibernética detalhada, que contemple normas e padrões, nacionais e internacionais, e referências de boas práticas. Nela deverão estar reportados procedimentos e controles para identificação de vulnerabilidades às infraestruturas críticas, apresentadas de forma hierarquizada, e à continuidade dos serviços, bem como um mapeamento de riscos e plano de resposta de incidentes, dentre outros requisitos.

Outras obrigações preveem a utilização, nas redes, de produtos e equipamentos provenientes de fornecedores que adotem Políticas de Segurança Cibernética e a realização de ciclos de avaliação de vulnerabilidades. Há deveres como o compartilhamento e envio de informações à Agência e de notificação de incidentes relevantes.

Para mais informações acesse o voto, a minuta de resolução e a apresentação realizada na reunião.

Informações obtidas/adaptadas de https://sei.anatel.gov.br/sei/modulos/pesquisa/md_pesq_documento_consulta_externa.php?eEP-wqk1skrd8hSlk5Z3rN4EVg9uLJqrLYJw_9INcO760LFI_pHFdPDvhssf6GcKAE5_GJovBZUfi7_h9SO4EFu4GZ_rtRSkPAMggKV38swnbODIuh_k2ClcCwWdtg0X e https://www.gov.br/anatel/pt-br/assuntos/noticias/anatel-aprova-regulamento-de-seguranca-cibernetica-aplicada-ao-setor-de-telecomunicacoes