Anatel altera o Regulamento de Segurança Cibernética e sinaliza futura regulação direta de data centers e cloud computing

Em 08 de agosto de 2024, a Agência Nacional de Telecomunicações (“Anatel”) publicou, no Diário Oficial da União (DOU), a Resolução nº 767, de 07 de agosto de 2024, que altera o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (“R-Ciber”).

O R-Ciber, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, tem por objetivo estabelecer condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações, incluindo a segurança cibernética e a proteção das infraestruturas críticas.

A Resolução nº 767/2024 entra em vigor em 02 de setembro de 2024. Dentre as principais alterações no R-Ciber, destacam-se:

• Inclusão de novas empresas no controle ex ante da Anatel

Considerando a criticidade dos serviços e infraestruturas que elas detêm e operam, a Anatel decidiu pela inclusão das:

1. 1. operadoras de cabo submarino com destino internacional;
   2. prestadoras de Serviço Móvel Pessoal (SMP) (ou seja, telefonia móvel) com rede própria; e
   3. operadoras de rede que oferecem tráfego em mercado de atacado pertencentes aos grupos econômicos com Poder de Mercado Significativo (PMS) no Mercado de Transporte de Dados em Alta Capacidade, conforme Plano Geral de Metas de Competição (PGMC), no rol de obrigados ex ante (artigo 2º-B).

• • As entidades acima agora estão sujeitas a uma série de obrigações regulatórias, a exemplo da:
    1.  implementação de uma política de segurança cibernética;
    2. utilização de produtos e equipamentos de fornecedores que possuam políticas de segurança cibernética compatíveis com o R-Ciber e realizem processos de auditoria periódicos;
    3. notificação à Anatel sobre incidentes relevantes que possam afetar significativamente a segurança das redes e dos dados dos usuários;
    4. realização de avaliações periódicas das vulnerabilidades de segurança cibernética; e
    5. envio à Anatel de informações sobre suas infraestruturas críticas de telecomunicações.
  • Em breve, a Anatel expedirá portaria identificando nominalmente o rol das prestadoras e operadoras que se submeterão ao cumprimento das disposições ex ante. Tais empresas:
    1.  terão o prazo de um ano, a contar da data de publicação da portaria, para se adequarem às disposições regulamentares; e
    2. passarão a integrar o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).
• Ampliação da obrigação de alterar configuração padrão de equipamento às PPPs

Com a finalidade de mitigar vulnerabilidades relacionadas aos equipamentos cedidos aos consumidores, a Anatel determinou que todas as prestadoras de interesse coletivo, independentemente do porte, alterem a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários (artigo 2º-A).

• Notificação obrigatória da Anatel sobre incidentes comunicados à ANPD

Com o objetivo de fortalecer a transparência e a coordenação entre as entidades reguladoras, a Anatel estabeleceu que todas as prestadoras, independente do porte, deverão notificar a Anatel nas hipóteses em que for requerida comunicação da ocorrência de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) (artigo 2º-C).

• Waiver para contratação de fornecedores enquadrados como startups

De acordo com o R-Ciber, as prestadoras de telecomunicações devem utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatível com os princípios e diretrizes dispostos neste regulamento e que realizam processos de auditoria independente periódicos (artigo 7º). A Resolução nº 767/2024 prevê uma exceção a esta regra, permitindo a contratação de startups que não atendam aos requisitos do R-Ciber, contanto que as prestadoras se responsabilizem pela segurança cibernética e adequação da solução contratada às redes de telecomunicações e a seus usuários (artigo 7º, §§ 3º e 4º).

• Regulação indireta de data centers e cloud computing

Como medida de regulação indireta de data centers e de serviços de computação em nuvem, a  Anatel passa a exigir que as prestadoras de serviços de telecomunicações ajustem as suas políticas de segurança cibernética para que contemplem aspectos pertinentes à contratação dos respectivos serviços (por exemplo, a capacidade do fornecedor e a compatibilidade das suas práticas com os princípios e diretrizes do R-Ciber, o mapeamento de riscos, a avaliação do grau de dependência de fornecedores, etc.) (artigo 14, VIII-A).

Para além das alterações acima, o Conselho Diretor da Anatel determinou, por meio do Acórdão nº 198, de 07 de agosto de 2024 – que aprovou a Resolução nº 767/2024 –, a emissão de alerta regulatório para comunicar as partes interessadas, incluindo empresas de telecomunicações, consumidores, investidores e outros reguladores, acerca do início de estudos para uma futura regulação direta da prestação dos serviços de data center e cloud computing, que atualmente é objeto do item 29 da Agenda Regulatória da Anatel para o biênio 2023-2024.

A equipe de Telecomunicações, Mídia e Tecnologia (TMT) do Demarest está monitorando o desenvolvimento do tema e permanece à disposição para prestar quaisquer esclarecimentos.