O Conselho Diretor da Anatel aprovou, por unanimidade, alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber) nesta quinta-feira, 4.
Agora, novas empresas estarão sujeitas ao arcabouço de regras: operadoras de cabos submarinos com destino internacional; prestadoras de serviço móvel pessoal (SMP) detentoras de rede própria; e operadoras de rede que oferecem tráfego de mercado e atacado.
Em paralelo, todas as operadoras, independentemente do porte, devem cumprir medida para mitigar vulnerabilidades nos equipamentos (como roteadores) cedidos aos consumidores dos serviços de telecom, nota a agência.
Ou seja, o novo texto tira parcialmente a assimetria regulatória que beneficiava as Prestadoras de Pequeno Porte (PPPs), a partir do princípio de que elas são responsáveis por mais da metade dos acessos e a vulnerabilidade em qualquer uma das redes coloca todo o sistema em risco.
Também estão indiretamente ao alcance do regulamento as empresas de processamento e armazenamento de dados e computação em nuvem contratadas pelas teles, uma vez que o regulamento demanda das operadoras que mantenham em suas Políticas de Segurança Cibernética informações acerca da capacidade dos fornecedores de atender aos dispositivos do regulamento; mapeamento de riscos; procedimentos de controle e mitigação destes fornecedores; plano de resposta a incidentes à segurança das redes e dados dos consumidores; e gestão de incidentes com dados no exterior.
GT-Ciber
Segundo o conselheiro da Anatel, Alexandre Freire, a ampliação do rol de entidades sujeitas ao controle da regulação tem, também, um novo resultado: essas empresas passarão a compor o Grupo Técnico de Segurança Cibernética (GT-Ciber) da agência.
"A inclusão dessas entidades é justificada pela relevância e criticidade dos serviços infraestruturas que operam. Atualmente, é essencial que estejam sujeitas a um regime de supervisão ex-ante, garantindo, assim, a segurança e resiliência do ecossistema de telecomunicações do País", disse Freire, em referências às empresas de cabos, telefonia móvel e atacado.
"Além disso, a proposta estabelece que todas as prestadoras devem notificar a Anatel sobre incidentes de segurança, quando tal medida for obrigatória perante a Autoridade Nacional de Proteção de Dados [ANPD]", completou Freire. Segundo o conselheiro, o objetivo da adição dessa regra ao escopo é dar maior transparência e melhorar a coordenação entre as entidades reguladoras.
A decisão de incluir essas entidades estava em discussão desde 2021 – sendo, inclusive, alvo de questionamentos por parte de provedores regionais. Já os grandes grupos defendiam um escopo ainda maior para o regulamento, alcançando todas as operadoras de telecom.
Inovação
Na alteração, também foram incluídos dispositivos para "incentivar inovação no setor", segundo Freire. As prestadoras, por exemplo, poderão contratar startups que possam prestar serviços que as apoiem no cumprimento dos requisitos de segurança cibernética.
"Com isso, cria-se um espaço para que empresas inovadoras de tecnologia consigam fazer novas experimentações. E que não sejam elas próprias limitadas pelas exigências de conformidade do regulamento. [Isso] ao passo em que as prestadoras mais familiarizadas com essas obrigações de cibersegurança, ainda que na condição de cliente desta startups, consigam administrar os riscos", afirmou o conselheiro.
