Recentemente entrou em vigor a Resolução nº 767 da Agência Nacional de Telecomunicações (“Anatel”), datada de 07 de agosto de 2024 (“Resolução 767/2024”), que introduziu alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Comunicações (“Regulamento”), por sua vez aprovado pela Resolução nº 740, de 21 de dezembro de 2020, da mesma Agência.
O Regulamento, cuja aplicação foi iniciada em 04 de janeiro de 2021, busca o estabelecimento de “condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações”, incluindo a Segurança Cibernética e a proteção de Infraestruturas Críticas de Telecomunicações.
O conceito de Segurança Cibernética é dado pelo próprio texto do Regulamento, e corresponde às ações direcionadas à segurança de operações, garantindo que os sistemas de informação apresentem capacidade de resistir a eventos no espaço cibernético que possam comprometer a disponibilidade, integridade, confidencialidade e autenticidade de dados que sejam armazenados, processados ou transmitidos, bem como dos serviços oferecidos ou disponibilizados pelos referidos sistemas.
Infraestruturas Críticas de Telecomunicações também foram definidas pelo Regulamento e são entendidas como instalações, serviços, bens e sistemas relacionados à prestação dos serviços de telecomunicações que, em caso de interrupção ou destruição, provocam um relevante impacto social, econômico, político, internacional, ou à segurança brasileira e da sociedade.
À exceção das prestadoras de pequeno porte (ou seja, grupos que detenham participação de mercado nacional inferior a 5% em cada mercado de varejo em que atuam), o Regulamento é aplicável a todas as prestadoras de serviços de telecomunicações de interesse coletivo, o que significa dizer que suas disposições devem ser cumpridas por todas as operadoras que prestam serviços a quaisquer interessados em sua fruição, em condições não discriminatórias e de acordo com os demais termos regulamentares que sejam aplicáveis.
Fato relevante, é expressamente previsto pelo Regulamento que empresas detentoras de direitos de exploração de satélites para transporte de sinais de telecomunicações, bem como outras pessoas jurídicas, poderão passar a estar sujeitas aos seus dispositivos, ou até mesmo ser dispensadas do seu cumprimento, conforme decisão da Anatel.
Entre as alterações introduzidas pela Resolução 767/2024, foi estabelecido que, independentemente de seu porte, todas as prestadoras de serviços de telecomunicações de interesse coletivo devem “alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários” (como é o caso, por exemplo, dos roteadores). Mais ainda, a mesma Resolução esclarece que a responsabilidade de estipular a quais equipamentos esta determinação se aplica, além de versar sobre o procedimento correlato a esta exigência, são incumbências do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (“GT-Ciber”).
Outra importante mudança trazida pela Resolução 767/2024 ordena que, independentemente de seu porte, (i) operadoras de cabos submarinos com destino internacional (ou seja, “prestadoras encarregadas pela comunicação de dados entre países por meio de cabo submarino, assim como de um conjunto de equipamentos e instalações necessários para o estabelecimento dessa comunicação”), (ii) prestadoras de serviço móvel pessoal (“SMP”) detentoras de rede própria, bem como (iii) operadoras de rede que ofertam tráfego em mercado de atacado pertencentes aos grupos econômicos classificados como detentores de poder de mercado significativo no Mercado de Transporte de Dados em Alta Capacidade, passam a ser obrigadas a cumprir o quanto previsto nos artigos 6º, 7º, 9º, 10 e 11 do Regulamento. Em virtude disto, temos que:
- As empresas sujeitas às alterações da Resolução 767/2024 devem elaborar, implementar e manter uma Política de Segurança Cibernética em conformidade com os termos do Regulamento, ou seja, uma política de ações direcionadas à segurança das operações, visando garantir que os sistemas de informação apresentem capacidade para resistir a eventos no espaço cibernético que possam causar comprometimento à disponibilidade, integridade, confidencialidade e autenticidade dos dados armazenados, processados ou transmitidos, além dos serviços oferecidos ou acessíveis por meio dos referidos sistemas.
- Passa também a ser obrigatório o uso, por parte das empresas anteriormente mencionadas, de produtos e equipamentos de telecomunicações em suas redes e serviços cujos fornecedores implementem políticas de segurança cibernética alinhadas aos termos do Regulamento, e que realizem auditorias independentes periódicas, sendo que os resultados das auditorias poderão ser solicitados pela Anatel. Contudo, sobre este ponto é importante observar que os fornecedores que sejam classificados como startups foram isentados destas obrigatoriedades; neste caso, as próprias operadoras são responsáveis pela segurança cibernética e “pela adequação da solução contratada às redes de telecomunicações e a seus usuários”. De acordo com a Lei Complementar nº 182, de 01 de junho de 2021 (marco legal das startups e do empreendedorismo inovador), startups são definidas como as “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados”.
- Incidentes relevantes, que afetem substancialmente a segurança das redes, bem como os dados dos usuários, devem ser notificados à Anatel e comunicados às outras operadoras e aos usuários.
- Ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética devem ser realizados pelas empresas.
- As prestadoras devem apresentar informações sobre suas Infraestruturas Críticas de Telecomunicações à Anatel.
Por fim, deve-se notar que por meio da Portaria nº 2899, de 16 de setembro de 2024 (“Portaria 2899/2024”), a Anatel identificou as prestadoras e operadoras que deverão seguir os requisitos de segurança cibernética. São elas: