Anatel aprova Regulamento de Segurança Cibernética para Setor de Telecomunicações

Anatel aprova Regulamento de Segurança Cibernética para Setor de Telecomunicações. Normativo entrará em vigor em janeiro de 2021 e prestadoras terão 180 para se adaptarem.

Em Reunião do Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) realizada em 17 de dezembro, o Colegiado aprovou versão final de Resolução que tem como anexo o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

O desafio identificado é o de promover a segurança cibernética nas redes e serviços de telecomunicações, o que se dará em uma linha de atuação eminentemente técnico-regulatória, integrada a um contexto de ações e esforços de diferentes esferas governamentais. A premissa é a de uma regulação de riscos, estruturando-se vigilância permanente do mercado e das infraestruturas e adotando-se medidas corretivas proporcionais.

Em linhas gerais, a estrutura do Regulamento contempla (i) disposições gerais; (ii) princípios e diretrizes em segurança cibernética; (iii) segurança cibernética no âmbito das redes e serviços e mitigação de riscos em infraestruturas críticas; (iv) atuação da Anatel e do Grupo Técnico em Segurança Cibernética; (v) sanções e disposições finais.

Princípios

Art. 4º As condutas e procedimentos para a promoção da Segurança Cibernética nas redes e serviços de telecomunicações devem buscar assegurar os seguintes princípios:

  1. Autenticidade;
  2. Confidencialidade;
  3. Disponibilidade;
  4. Diversidade;
  5. Integridade;
  6. Interoperabilidade;
  7. Prioridade;
  8. Responsabilidade; e
  9. Transparência.

Diretrizes

Art. 5º As pessoas naturais ou jurídicas envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações devem atuar em Segurança Cibernética observando as seguintes diretrizes:

  1. adotar normas e padrões, nacionais ou internacionais, e referências de boas práticas em Segurança Cibernética;
  2. atuar com responsabilidade, zelo e transparência;
  3. disseminar a cultura de Segurança Cibernética;
  4. buscar a utilização segura e sustentável das redes e serviços de telecomunicações;
  5. identificar, proteger, diagnosticar, responder e recuperar de incidentes de Segurança Cibernética;
  6. buscar a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;
  7. respeitar e promover os direitos humanos e as garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e
  8. incentivar a adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

Parágrafo único. No cumprimento das diretrizes será observado o atendimento integral e tempestivo das solicitações apresentadas pela Agência. 

Destaques

A Anatel destaca que a incidência inicial das disposições regulamentares se volta para todas as prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte (PPP). Novos agentes, tais como as próprias PPP, detentoras de direitos de exploração de satélites, e outras empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou desenvolvimento de redes e serviços, podem a vir ser incluídos ou dispensados, total ou parcialmente, do âmbito de abrangência do Regulamento a partir de decisão posterior, motivada, do Conselho Diretor.

Uma das principais obrigações impostas às prestadoras é a de elaborar, manter e implementar uma Política de Segurança Cibernética detalhada, que contemple normas e padrões, nacionais e internacionais, e referências de boas práticas. Nela deverão estar reportados procedimentos e controles para identificação de vulnerabilidades às infraestruturas críticas, apresentadas de forma hierarquizada, e à continuidade dos serviços, bem como um mapeamento de riscos e plano de resposta de incidentes, dentre outros requisitos.

Outras obrigações preveem a utilização, nas redes, de produtos e equipamentos provenientes de fornecedores que adotem Políticas de Segurança Cibernética e a realização de ciclos de avaliação de vulnerabilidades. Há deveres como o compartilhamento e envio de informações à Agência e de notificação de incidentes relevantes.

No âmbito da atuação da Anatel sobre o tema, prevê-se a instituição de arranjo específico, o Grupo Técnico de Segurança Cibernética (GT-Ciber) que deterá dentre outras atribuições as de auxiliar o acompanhamento e implantação da Política de Segurança Cibernética e de gestão das infraestruturas críticas; a de propor relação de incidentes relevantes e prazos para realização de registro e comunicação; e de avaliar e recomendar a internalização de padrões, melhores práticas, ações e iniciativas. Ficará ainda a cargo do GT-Ciber, dentre outras atividades, a dispor sobre a identificação das infraestruturas críticas e de propor a alteração na abrangência do Regulamento para outros atores.

O Regulamento entrará em vigor em 4 de janeiro de 2021, e as prestadoras terão um prazo de 180 (cento e oitenta) dias para se adaptarem.

Fonte: Anatel 

Patrocínio MindSec Segurança e Tecnologia da Informação

 

Veja também:

About mindsecblog 1320 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Anatel aprova Regulamento de Segurança Cibernética para Setor de Telecomunicações – Neotel Segurança Digital
  2. O que é microssegmentação!
  3. Importância do aprendizado contínuo de cibersegurança e privacidade

Deixe sua opinião!