Conselho Diretor da Anatel aprovou, hoje, 4, a proposta de alteração do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (Resolução nº 740, de 21 de dezembro de 2020).Com esta aprovação, todas as prestadoras dos serviços de telecomunicações de interesse coletivo, independentemente do porte, devem cumprir o art. 8º do R-Ciber, o qual visa mitigar vulnerabilidades nos equipamentos cedidos aos consumidores dos serviços de telecomunicações.
Adicionalmente, foi introduzido o artigo 2º-B, ampliando o escopo de entidades sujeitas ao controle ex ante, incluindo operadoras de cabo submarino com destino internacional, operadoras de celular com rede própria e operadoras de rede que oferecem tráfego em mercado de atacado. A inclusão dessas entidades se justifica pela relevância e criticidade dos serviços e infraestruturas que operam.
Com essa inclusão, as entidades mencionadas também passam a integrar o GT-Ciber. O conselheiro relator da matéria, Alexandre Freire, explicou: “Atualmente, é essencial que essas entidades estejam sujeitas a um regime de supervisão ex ante, garantindo assim a segurança e a resiliência do ecossistema de telecomunicações do país”.
Anatel e segurança cibernética
Além disso, com o objetivo de fortalecer a transparência e a coordenação entre as entidades reguladoras, a alteração determina que todas as prestadoras devem notificar a Anatel sobre incidentes de segurança quando tal medida for obrigatória perante a Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto no artigo 2º-C.
Outra importante alteração é relacionada à inclusão de disposições que incentivam a inovação no setor, permitindo que as prestadoras possam contratar startups sem a necessidade de cumprir certos requisitos de segurança cibernética, desde que garantam a conformidade com as disposições do regulamento, conforme proposto no art. 7º, §§ 3º e 4º.
Com isso, abre-se espaço para que empresas inovadoras de tecnologia possam realizar novas experimentações sem serem limitadas pelas exigências de conformidade do regulamento. Ao mesmo tempo, as prestadoras, que estão mais familiarizadas com essas obrigações de cibersegurança, conseguem gerenciar os riscos associados.
O conselheiro destacou que a proposta aprovada incorpora as principais práticas de benchmarks internacionais, especialmente no que diz respeito às assimetrias entre grandes e pequenas prestadoras, à ampliação do rol de obrigados ex ante e à atualização do regramento aplicável às políticas de segurança cibernética, para tornar mais claras as rotinas a serem empregadas nas contratações de data centers e de serviços de computação em nuvem.
Salientou que a alteração está alinhada aos objetivos do Decreto nº 11.738, de 18 de outubro de 2023, que estabelece o Programa de Fortalecimento da Capacidade Institucional para Gestão em Regulação (PRO-REG), bem como aos Objetivos de Desenvolvimento Sustentável da Agenda 2030 da ONU, contribuindo para a construção de uma sociedade mais segura, inclusiva e próspera.
“É com grande responsabilidade que promovemos melhorias nos procedimentos voltados para a promoção da segurança nas redes e serviços de telecomunicações, incluindo tanto a Segurança Cibernética quanto a proteção das Infraestruturas Críticas de Telecomunicações”, finalizou o conselheiro.
(com assessoria de imprensa)