Regulamento de Segurança Cibernética da Anatel prevê adequação de fabricantes


O R-Ciber entra em vigor em 4 de janeiro de 2021. Operadoras terão 180 dias para se adaptar. ISPs ficam de fora, mas Grupo Técnico dirá se os pequenos devem se enquadrar nas regras de cibersegurança da Anatel. O GT também vai avaliar se há dependência das operadoras a fornecedores.

O Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) aprovou hoje, 17, o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

PUBLICIDADE

Todas as grandes operadoras estão sujeitas às novas regras. As de Pequeno Porte (PPP) ficam isentas, mas isso pode mudar no futuro. Ficou decidido que o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), criado pelo novo regulamento, terá 150 dias, contatos a partir de sua criação, opine se as empresas que ficaram de fora devem ser incluídas.

O GT-Ciber também deverá dizer, no mesmo prazo de 150 dias, se é preciso constituir uma entidade ou designar um ente para ser responsável pela cibersegurança nas telecomunicações. Caso considere que sim, deverá explicar como esse órgão será financiado, qual relacionamento terá com a Anatel e como será estruturado.

O novo regulamento entrará em vigor em 4 de janeiro de 2021, e as prestadoras terão um prazo de 180 (cento e oitenta) dias para se adaptarem.

O GT-Ciber será composto por um superintendente da Anatel e representantes das teles. Ficará encarregado de acompanhar a implantação da Política de Segurança Cibernética nas operadoras e a gestão das infraestruturas críticas. Vai avaliar, entre diversos pontos, o grau de dependência de uma prestadoras de serviço de telecom a um único fornecedor.

Vai também elaborar a lista de incidentes que deverão ser sempre reportados e os prazos de comunicação. O GT-Ciber também ficará encarregado de propor a alteração da abrangência do Regulamento para outros atores além das operadoras. E deverá atender a diretrizes de governo quanto à identificação de infraestruturas críticas.

Regulação de fornecedores

Editado em um contexto de crescente pressão por parte do governo dos Estados Unidos para que o brasileiro adote políticas de restrição a fornecedores chineses, especialmente Huawei e ZTE, o regulamento não cita nenhum fornecedor. Nem aponta a proibição de grupos econômicos com base na origem.

Ainda assim, o regulamento abre espaço para que os fornecedores das operadoras sejam também regulados pela Anatel. Logo no começo do regulamento, o artigo 2º prevê a inclusão de outras “empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou desenvolvimento de redes e serviços de telecomunicações” no âmbito da regulação. Isso pode acontecer no futuro, a partir de decisão posterior do Conselho Diretor.

Em seu voto, o presidente da Anatel, Leonardo de Morais, deixa claro que a intenção com isso não é, entretanto, adotar práticas invasivas sobre os fornecedores e diz que quaisquer medidas a serem tomadas pela agência serão pautadas pela “razoabilidade e motivação”. A agência, ressaltou, manterá uma abordagem técnica.

“Na via regulatória tem prevalecido atuação pautada por melhores práticas e fundados indícios, o que, por certo, não impede que na esfera governamental se teçam entendimentos e se adotem medidas lastreados em outras premissas, igualmente legítimas, motivados pelas razões e preocupações que lhes cabem”, resumiu.

Voto vencido

Embora tenha sido aprovada por unanimidade, a extensão da regulação de cibersegurança aos fabricantes gerou debate na reunião do Conselho. Morais, foi autor da proposta com acréscimos ao voto original do relator, Moisés Moreira, com a qual todos os demais concordaram.

Moreira também concordou, mas fez uma ressalva. Para ele, o artigo 2º não deveria autorizar a possível extensão do regulamento a outras empresas diferentes de prestadores de serviços de telecomunicações.

O entendimento do conselheiro é de que a LGT restringe o poder de controle da agência às operadoras. A seu ver, o máximo de controle possível sobre equipamentos diz respeito à certificação dos produtos. Ele também defendeu que políticas de segurança destinadas a fabricantes é atribuição de governo, e não da agência reguladora.

A ressalva foi contestada pelos demais conselheiros. Carlos Baigorri, relator do processo de elaboração do edital do leilão 5G, ressaltou que as redes estão mudando rapidamente e que no futuro próximo o software será mais determinante para a prestação do serviço do que o hardware que o hospeda. “É impossível fazer certificação de software. O que precisará existir é a certificação dos processos para a elaboração do software”, disse.

O conselheiro Emmanoel Campello defendeu que o novo regulamento não traz de fato obrigações aos fabricantes. Mas que tais obrigações poderão existir casa haja motivação. Para ele, o fato de a Anatel homologar e certificar equipamentos significa que a agência possui competência para regular outras empresas do ecossistema de telecomunicações. “Há uma sobreposição e entre segurança cibernética e certificação”, acrescentou.

Já Leonardo de Morais anteviu a necessidade de a agência regular não apenas fabricantes, como novos players que poderão no futuro entrar no setor. “No ambiente 5G, o próprio core de rede pode ser virtualizado. Pode pertencer a uma big tech, por exemplo, e a Anatel precisar regular”, finalizou.

Obrigações das operadoras

As teles terão diversas obrigações de garantia da segurança das redes. Uma delas é a de elaborar, manter e implementar uma Política de Segurança Cibernética detalhada, que contemple normas e padrões, nacionais e internacionais, e referências de boas práticas.

Essa política deverá apontar procedimentos e controles para identificação de vulnerabilidades às infraestruturas críticas, apresentadas de forma hierarquizada. Também devem demonstrar garantias à continuidade dos serviços, bem como um mapeamento de riscos e plano de resposta de incidentes.

Outras obrigações preveem a utilização, nas redes, de produtos e equipamentos provenientes de fornecedores que adotem Políticas de Segurança Cibernética e a realização de ciclos de avaliação de vulnerabilidades. Há deveres como o compartilhamento e envio de informações à Agência e de notificação de incidentes relevantes e criação de uma página na internet para divulgação pública da Política de Segurança Cibernética da empresa.

Anterior Conexis consegue adiar por 60 dias campanha das metas de universalização
Próximos Exploração de satélites poderá ser concedida por ordem de chegada