Anatel propõe elevar segurança das operadoras

O Conselho Diretor da Anatel, a Agência Nacional de Telecomunicações, aprovou hoje (16/12/2021) a abertura de uma consulta pública de 45 dias para uma nova ‘Instrução Normativa’, que traz dois aperfeiçoamentos na segurança das telecomunicações do Brasil.

O primeiro é que as prestadoras “detentoras de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal que detenham rede própria e detentores de rede de suporte de transporte de tráfego interestadual, em mercado de atacado (…) deverão elaborar, implementar e manter uma Política de Segurança Cibernética; notificar a Agência e comunicar às prestadoras e aos usuários incidentes relevantes; realizar ciclos para avaliação de vulnerabilidades; e enviar à Anatel informações sobre suas infraestruturas críticas”.

A proposta estabelece que a maioria das PPPs, “por não ser detentora de Infraestruturas Críticas de Telecomunicações, estará desobrigada de prestar informações à Anatel”.

Em outras palavras, a instrução normativa – que complementará o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado em 21 de dezembro do ano passado – exige mais segurança do setor.

Em outro ponto, o documento estabelece a obrigatoriedade de todas as prestadoras de serviços de telecomunicações, independentemente do porte, alterararem a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários (inicluindo roteadores, por exemplo): “Mesmo as Prestadoras de Pequeno Porte (PPPs) – que possuem participação de mercado nacional inferior a 5% em cada mercado de varejo – ficam sujeitas ao cumprimento dessa obrigação”, diz o documento”.

“Entendo que o texto trazido pelo GT Ciber, positivamente, resguarda as PPP que não sejam enquadradas em nenhuma das hipóteses de infraestruturas críticas, garantindo o propósito fundamental do caput do art. 2º do RCiber, que excluiu, a priori, a obrigatoriedade de atendimento das disposições por tais prestadoras. Também é crucial ressaltar que as prestadoras não PPP são obrigadas pelo art. 11 do RCiber a informar sobre suas Infraestruturas Críticas de Telecomunicações”, votou o relator.

O R-Ciber foi aprovado, em dezembro do ano passado, por meio da Resolução nº 740/ 2020. O novo normativo representou um marco na atuação da Anatel quanto ao novo cenário tecnológico e regulatório, tendo estabelecido regras de alto nível para o atingimento de um ambiente mais seguro e estável quando do provimento das telecomunicações no País. Em 1º de março de 2021, foi inaugurado o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).

Fonte: Ciso Advisor