Anatel eleva exigências de segurança cibernética

A evolução tecnológica acelerada, a expansão do uso de dispositivos conectados e o aumento das ameaças cibernéticas têm colocado o setor de telecomunicações sob intensa pressão para garantir segurança e conformidade regulatória. Nesse contexto, a Resolução 740/2020 da Agência Nacional de Telecomunicações (Anatel), conhecida como Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, foi editada para elevar os padrões de segurança cibernética da infraestrutura de telecomunicações no Brasil.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Originalmente, a norma dispensava de seu cumprimento as empresas de pequeno porte (com menos de 5% de marketshare nacional de qualquer serviço de telecomunicações), porém sofreu uma importante atualização no final de 2024, com prazo até setembro de 2025 para adequações, passando a exigir cuidados técnicos e operacionais mais sofisticados, além de ampliar os agentes econômicos sujeitos às suas determinações. 

De forma geral, o objetivo do regulamento é, antes de mais nada, proteger as infraestruturas críticas de telecomunicações e os dados pessoais dos usuários. Para isso, traz exigências que demandarão das empresas programas de governança mais robustos para mitigar riscos cibernéticos crescentes.

São requisitos da mais variada ordem, que vão de determinações genéricas, como a adoção das melhores práticas nacionais ou internacionais de segurança, atreladas aos princípios enunciados no artigo 4º, até condutas mais específicas, como a obrigação de alterar as configurações default dos terminais (equipamentos utilizados para conectar assinantes à rede do prestador tais como receptores e roteadores e modens).

Há ainda obrigações como a realização de ciclos de avaliação de vulnerabilidades, que neste momento ainda não são aplicáveis a alguns agentes regulados (exclui-se, grosso modo, as empresas de pequeno porte), mas que num futuro próximo podem vir a ser exigidas de todas as prestadoras.

Conheça o JOTA PRO Tributos, plataforma de monitoramento tributário para empresas e escritórios com decisões e movimentações do Carf, STJ e STF

Entre as obrigações de aplicação mais restrita, destaca-se a exigência de elaboração, implementação e constante atualização de políticas de segurança cibernética, cuja aprovação deve se dar em nível de conselho de administração ou órgão equivalente. A política deve ser disponibilizada à Anatel e mantida, em uma versão sumária, no website da prestadora. Mais que isso, deverá ser periodicamente testada por entidades externas, gerando relatório de gerenciamento de vulnerabilidades que deve ser encaminhado à agência. 

Torna-se também obrigatória a realização de auditorias e diligências de fornecedores de produtos e serviços para assegurar que toda a cadeia esteja em conformidade com normas de segurança cibernética. A norma também detalhou requisitos para segurança em contratos de processamento e armazenamento de dados, computação em nuvem e mitigação de riscos críticos de infraestrutura de rede, dever que, somado a outras exigências, recomenda a revisão de todos os contratos com fornecedores relacionados ao negócio.

A par do dever de adoção de planos de resposta a incidentes, outro ponto tão relevante quanto sensível diz respeito à notificação de incidentes de segurança. De acordo com o artigo 17 da resolução, as prestadoras de serviços de telecomunicações devem notificar à Anatel todos os incidentes relevantes que afetem substancialmente a segurança das redes de telecomunicações.

Ainda, em sintonia com a Lei Geral de Proteção de Dados (LGPD), a comunicação do incidente à Agência Nacional de Proteção de Dados (ANPD) é obrigatória sempre que houver vazamento de dados pessoais (artigo 2º-C). No entanto, conforme um Despacho Decisório da Anatel, a notificação à ANPD não substitui a necessidade de comunicação àquela, e vice-versa.

A obrigatoriedade de compartilhamento de informações sobre incidentes relevantes e outros dados de segurança cibernética entre as prestadoras, conforme o artigo 18,  busca a coordenação com as demais entidades relevantes. O tema é muito sensível pois, para além da notificação ao órgão regulador, a exposição de vulnerabilidades será levada ao próprio mercado, incluindo competidores, tema cuja complexidade não nos parece resolvida pelo fato de a norma autorizar que o procedimento de compartilhamento permita o anonimato.   

Ainda que não seja uma solução ótima diante da complexidade do tema, o anonimato parece ser uma solução adequada para atingir um objetivo maior, que é formar, a partir desta troca de informações, uma inteligência a respeito da origem e das características – sempre inovadoras – dos ataques cibernéticos. Trata-se de cooperação setorial que pode tornar mais efetivo combate aos crimes cibernéticos e contribuir para um ambiente digital mais seguro e resiliente. 

 A ampliação do alcance das normas de cibersegurança em 2024 fez com que fornecedores de serviços e produtos, que antes não estavam sujeitos a qualquer norma de cibersegurança, tenham que se adaptar a requisitos de due diligence, que passam a ser exigíveis para uma gama maior de prestadores de serviços de telecomunicações. Tais fornecedores terão que rapidamente adaptar processos e sistemas para se manterem aptos a fornecer serviços e produtos.

Além disso, a atuação do GT-Ciber, criado pela Resolução 740/2020, também tende a ser ampliada, principalmente no detalhamento da regulamentação e na interlocução com os agentes privados e, por isso, será importante acompanhar os trabalhos desse grupo técnico em suas diversas frentes.

A cibersegurança é um dos temas previstos na agenda regulatória da Anatel para o biênio 2025-2026 e o órgão pretende revisar novamente a Resolução 740/2020. De acordo com a agenda regulatória, será dada atenção às ameaças advindas de novas tecnologias como uso malicioso de Inteligência Artificial e vulnerabilidades nas redes.

Além disso, seguindo o movimento de se aumentar o escopo de aplicação das normas de cibersegurança, a Anatel também abordará nessa revisão temas relacionados a serviços de computação em nuvem e data centers, alinhada à Política Nacional de Cibersegurança (PNCiber).

Somente esses aspectos já deixam entrever a complexidade dos temas que vêm sendo enfrentados pelas empresas a partir da resolução, em cenário agravado por alguns desafios significativos. O primeiro se refere à infraestrutura diversificada e descentralizada, já que as redes de telecomunicações são vastas e heterogêneas, com múltiplos fornecedores, tecnologias e dispositivos conectados, aumentando a complexidade da segurança cibernética.

O segundo diz respeito ao custo de implementação e manutenção dos sistemas existentes às novas exigências, impondo investimentos significativos em tecnologia, treinamento e auditorias contínuas. O terceiro passa pela integração e monitoramento de fornecedores e terceirizados, demandando uma área dedicada à due diligence rigorosa e auditorias periódicas.

O quarto desafio, de caráter mais generalizado, é a escassez de especialistas em segurança cibernética, num momento em que a demanda excede largamente a oferta de profissionais capacitados, tornando difícil a implementação de políticas e controles efetivos. 

Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email

Diante do cenário regulatório em constante evolução, fica evidente que apenas as empresas que estiverem plenamente alinhadas com as exigências de cibersegurança da Anatel e preparadas para enfrentar as crescentes ameaças digitais conseguirão se manter competitivas e sustentáveis no setor de telecomunicações.

A conformidade regulatória deixou de ser uma mera formalidade para se tornar um imperativo estratégico, exigindo governança sólida, infraestrutura tecnológica robusta e uma cultura organizacional voltada à segurança digital. Resta saber como o setor de telecomunicações, que sempre esteve na vanguarda da inovação e da conectividade, lidará com mais este desafio inadiável e fundamental para a sobrevivência no novo cenário digital.