A Anatel abriu a consulta pública nº 75/2023 nesta segunda-feira, 29, para receber contribuições da sociedade civil sobre a proposta de procedimento operacional que contém diretrizes para realização de auditoria em fornecedores de produtos e equipamentos para as prestadoras de serviços de telecomunicações.
A auditoria tem por objetivo a comprovação de implementação da Política de Segurança Cibernética (PSC) estabelecida pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT Ciber).
Com a abertura já publicada no Diário Oficial da União (DOU), os interessados em contribuir com a proposta terão o prazo de até 70 dias – ou seja: até o dia 8 de abril de 2024.
O texto completo da proposta da consulta estará disponível na página Sistema Participa Anatel. Na página, o público também pode acessar o formulário eletrônico para encaminhar as manifestações que serão examinadas pelo órgão. As contribuições enviadas passarão por análise da Anatel e permanecerão à disposição do público na Biblioteca da Agência.
Informações consideráveis para as auditorias
Segundo o texto em consulta, para o procedimento ser realizado, o fornecedor deveria apresentar à entidade que conduzir a auditoria uma cópia de sua Política de Segurança Cibernética e uma série de evidências elencadas no documento, que avaliam desde a segurança do design dos produtos até a disponibilização de um canal público de suporte para identificação e mitigação de vulnerabilidades.
O processo de avaliação da auditoria frente às evidências apresentadas deve considerar como referência as características dos equipamentos, seus cenários de utilização e as ameaças a que estão submetidos, para determinar se as informações apresentadas comprovam atendimento aos itens da política.
O procedimento das auditorias deve gerar relatórios que descrevam a avaliação de cada item da política do fornecedor e sua conformidade ou não.
Quem pode realizar as auditorias?
As auditorias para verificação da implementação da PSC pelo fornecedor das prestadoras, segundo o documento em consulta, poderão ser conduzidas por:
- Organismos de Certificação Designados (OCD) pela Anatel habilitados pela Agência para atividade;
- Empresas independentes que possuam licença concedida por entidade membro do IAF (International Accreditation Forum) com escopo que contemple os itens da Política de Segurança Cibernética;
- Entidades que integram esquemas de certificação desenvolvidos por organismos ou fóruns de normatização técnica internacionalmente reconhecidos que contemplem os itens da Política de Segurança Cibernética.
O auditor deverá também ser reconhecido pela Anatel como especialista de segurança cibernética para o referido OCD e ser reconhecido pela Agência como especialista para avaliação de fornecedores com qualificação para realização de auditorias externas do Sistema de Gestão da Qualidade.