O conselheiro Alexandre Freire, relator da proposta de alteração do Regulamento de Segurança Cibernética, tornou públicos os documentos que vão fundamentar seu relatório final sobre o tema. E, conforme mostram os pareceres agora públicos tanto das áreas técnicas quando da Procuradoria Federal Especializada da Anatel, está mantida a recomendação que já havia sido colocada em consulta pública para que todas as operadoras de telecomunicações (inclusive as Prestadoras de Pequeno Porte – PPPs) passem uma das regras de segurança cibernética estabelecidas pela regulamentação, sem a exceção regulatória normalmente prevista para operadoras de pequeno porte: a necessidade de alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários. Além disso, todoas as operadoras ficam obrigadas a notificar a Anatel, além da ANPD, em caso de ocorrência de incidentes que envolvam a proteção de dados dos usuários.
Segundo a minuta de resolução que foi sugerida ao conselho (e que ainda depende de deliberação do colegiado), "todas as prestadoras dos Serviços de Telecomunicações de Interesse Coletivo ficam sujeitas ao cumprimento do art. 8º deste regulamento", que é justamente o que estabelece esta regra.
Além disso, as empresas de cabos submarinos, operadoras de SMP e operadoras de atacado de grupos com Poder de Mercado Significativo também devem cumprir às demais regras do Regulamento de Segurança Cibernética, como a elaboração de uma política de segurança; utilizar equipamentos de empresas fornecedoras que estejam em compliance dcom o Regulamento de Segurança Cibernética; notificar eventuais incidentes; fazer avaliações periódicas sobre vulnerabilidades e; informar as suas infraestruturas críticas.
A propista da área técnica prevê o seguinte texto para a resolução que alterará o Regulamento de Segurança Cibernética:
"Art. 1º Incluir os arts. 2º-A ao 2º-D ao Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, na forma do presente artigo:
"Art. 2º-A. Todas as Prestadoras dos Serviços de Telecomunicações de Interesse Coletivo ficam sujeitas ao cumprimento do art. 8º deste regulamento.
Parágrafo único. O cumprimento da obrigação de que trata o caput se dará no prazo e na forma estabelecidos pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), nos termos do parágrafo único do art. 8º deste regulamento.
Art. 2º-B. Além das prestadoras mencionadas no caput do art. 2º, as obrigações constantes dos arts. 6º, 7º, 9º, 10 e 11 deste regulamento se aplicam às empresas listadas abaixo:
I – Operadoras de cabo submarino com destino internacional;
II – Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III- Operadoras de rede que ofertam tráfego em mercado de atacado, pertencentes aos Grupos Econômicos identificados como PMS no Mercado de Transporte de Dados em Alta Capacidade, conforme Plano Geral de Metas de Competição (PGMC).
Art. 2º-C. Todas as Prestadoras dos Serviços de Telecomunicações devem notificar a Anatel nas hipóteses em que for requerida comunicação da ocorrência de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD), nos termos da legislação e regulamentação aplicáveis.
Art. 2º-D. A Anatel estabelecerá em Despacho Decisório da Superintendência responsável, mediante levantamento prévio, o rol de empresas que se enquadrem nas hipóteses previstas pelo art. 2º-B.
§1º As empresas de que trata o caput terão um prazo de 12 meses para se adequar às disposições regulamentares apontadas, a contar da data de publicação do Despacho Decisório de que trata o caput.
§2º O levantamento de que trata o caput poderá ser atualizado, diante da ciência de outras empresas que se enquadrem nas hipóteses previstas no art. 2º-B;
§3º O GT-Ciber terá a participação das empresas de que trata o caput"
Art. 2º Esta Resolução entra em vigor em xxx, de y de mmmmmmm de aaaa".