A aprovação do novo Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber) pela Anatel ampliou o rol de empresas que estão sujeitas, diretamente, ao arcabouço de regras do pacote. Mas a alteração das normas também traz mudanças na forma como as operadoras de telecomunicações se relacionam com fornecedores de processamento de dados e nuvens.
Em entrevista ao TELETIME, a sócia da área de direito público e regulação do Veirano Advogados, Beatriz França, chamou atenção para o fato de que, com o novo texto, as fornecedoras de data center e nuvem passarão a ser demandadas pelas operadoras de telecomunicações (dentro das relações contratuais privadas entre elas) a cumprirem regras de cibersegurança da Anatel.
Isso porque as mudanças propostas para a Política de Segurança Cibernética (PSC) agora incluem aspectos específicos de segurança cibernética para essas empresas. Os prestadores de telecom devem, por exemplo:
- Avaliar a capacidade dos fornecedores de data center e processamento em cloud;
- Garantir que essas práticas estejam alinhadas com os princípios do regulamento;
- Identificar e mapear os riscos associados;
- Implementar procedimentos para mitigar esses riscos, especialmente os que afetam funções críticas da rede e o tratamento de dados pessoais dos consumidores.
Além disso, se os dados forem armazenados no exterior, a gestão de incidentes deve considerar a complexidade adicional dessa situação – de acordo com o texto. As prestadoras também precisam avaliar o grau de dependência dos fornecedores de datacenters e nuvem, prevendo possíveis impactos operacionais e financeiros decorrentes dessa dependência.
Embora os itens acima não tenham sido objeto da consulta pública feita pela agência sobre a matéria, o órgão classifica essas adoções como "evolução da Anatel na regulação indireta do setor". De acordo com a reguladora, essas alterações atualizam a PSC, sem impor ônus regulatório adicional às empresas.
Impacto indireto
"O impacto disso é no relacionamento entre operadoras de telecomunicações e suas fornecedoras de serviços de data center e serviços de nuvem. À medida que a Anatel impõe regras a serem observadas pelas operadoras para contratação desses serviços, indiretamente as empresas de data center são afetadas, pois serão demandadas pelas operadoras nesse sentido", disse em entrevista ao TELETIME a sócia da área de direito público e regulação do Veirano Advogados, Beatriz França.
Apesar das novidades aprovadas no texto, a especialista lembrou que a Anatel segue não detendo jurisdição direta sobre as empresas de data center, "embora já sinalize o entendimento de que, participando do ecossistema de telecomunicações, a agência pode vir a atuar mais amplamente".
Impacto direto
A principal novidade do novo regulamento foi a ampliação do alcance de empresas que estarão sujeitas, diretamente, ao arcabouço de regras. São estas: operadoras de cabos submarinos com destino internacional; prestadoras de serviço móvel pessoal (SMP) detentoras de rede própria; e operadoras de rede que oferecem tráfego de mercado e atacado. Também as PPPs passam a ser submetidas à regra de atualização da senha dos roteadores.
Para Beatriz França, a aplicação das obrigações para essas novas entidades é positiva. Segundo argumentou, as questões voltadas à cibersegurança vêm se mostrando cada vez mais relevantes no contexto digital atual.
"Temos visto, com frequência, diferentes incidentes de segurança em diferentes setores do mercado, ataques cibernéticos a agentes públicos e privados. Do ponto de vista da infraestrutura crítica dos serviços de telecomunicações, vejo de forma positiva que se estabeleçam regras de cibersegurança que possam evitar esses incidentes", disse França.
Porém, a advogada disse que é necessário ter cautela com relação ao que está dentro do escopo de competência da Anatel. De acordo com França, esses três grupos que agora estão sujeitos ao controle ex ante foram incluídos pois são empresas de telecomunicações e, portanto, entram na jurisdição da agência. "Embora o tema de cibersegurança seja de extrema relevância, aqueles agentes que não estão sujeitos à jurisdição da Anatel, não podem ser alcançadas indevidamente pelas normas", disse a especialista.