Entra em vigor hoje, 4 de janeiro, o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações aprovado pela Anatel.
A proposta tem o desafio de promover a segurança cibernética nas redes e serviços de telecomunicações, o regulamento tem um caráter de atuação técnico-regulatória, integrado a um contexto de ações e esforços de diferentes esferas do governo. O objetivo é a regulação de riscos, estruturando-se vigilância permanente do mercado e das infraestruturas e adotando-se medidas corretivas proporcionais.
Em linhas gerais, a estrutura do Regulamento contempla:
(i) disposições gerais;
(ii) princípios e diretrizes em segurança cibernética;
(iii) segurança cibernética no âmbito das redes e serviços e mitigação de riscos em infraestruturas críticas;
(iv) atuação da Anatel e do Grupo Técnico em Segurança Cibernética;
(v) sanções e disposições finais.
Destaca-se que a incidência inicial das disposições regulamentares se volta para todas as prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte (PPP). Novos agentes, tais como as próprias PPP, detentoras de direitos de exploração de satélites, e outras empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou desenvolvimento de redes e serviços, podem a vir ser incluídos ou dispensados, total ou parcialmente, do âmbito de abrangência do Regulamento a partir de decisão posterior, motivada, do Conselho Diretor.
ÀS PRESTADORAS E PPPs
Uma das principais obrigações impostas às prestadoras é a de elaborar, manter e implementar uma Política de Segurança Cibernética detalhada, que contemple normas e padrões, nacionais e internacionais, e referências de boas práticas. Nela deverão estar reportados procedimentos e controles para identificação de vulnerabilidades às infraestruturas críticas, apresentadas de forma hierarquizada, e à continuidade dos serviços, bem como um mapeamento de riscos e plano de resposta de incidentes, dentre outros requisitos.
Outras obrigações preveem a utilização, nas redes, de produtos e equipamentos provenientes de fornecedores que adotem Políticas de Segurança Cibernética e a realização de ciclos de avaliação de vulnerabilidades. Há deveres como o compartilhamento e envio de informações à Agência e de notificação de incidentes relevantes.
ATUAÇÃO DA ANATEL
No que diz respeito à atuação da Anatel sobre o regulamento, existe a previsão que a agência tenha um arranjo específico ao tema, o Grupo Técnico de Segurança Cibernética (GT-Ciber) que deterá dentre outras atribuições as de auxiliar o acompanhamento e implantação da Política de Segurança Cibernética e de gestão das infraestruturas críticas; a de propor relação de incidentes relevantes e prazos para realização de registro e comunicação; e de avaliar e recomendar a internalização de padrões, melhores práticas, ações e iniciativas.
Também fica a cargo do GT-Ciber, dentre outras atividades, dispor sobre a identificação das infraestruturas críticas e de propor a alteração na abrangência do Regulamento para outros atores.
INFORMAÇÕES IMPORTANTES
O regulamento entrará em vigor em 4 de janeiro de 2021, e as prestadoras terão um prazo de 180 (cento e oitenta) dias para se adaptarem.
Para mais informações acesse o voto, a minuta de resolução e a apresentação realizada na reunião.
Fonte: Anatel | Blog da MHemann Assessoria