Telecoms Series | Alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações


Telecoms Series | Alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações


Recentemente entrou em vigor a Resolução nº 767 da Agência Nacional de Telecomunicações (“Anatel”), datada de 07 de agosto de 2024 (“Resolução 767/2024”), que introduziu alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Comunicações (“Regulamento”), por sua vez aprovado pela Resolução nº 740, de 21 de dezembro de 2020, da mesma Agência.

O Regulamento, cuja aplicação foi iniciada em 04 de janeiro de 2021, busca o estabelecimento de “condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações”, incluindo a Segurança Cibernética e a proteção de Infraestruturas Críticas de Telecomunicações.

O conceito de Segurança Cibernética é dado pelo próprio texto do Regulamento, e corresponde às ações direcionadas à segurança de operações, garantindo que os sistemas de informação apresentem capacidade de resistir a eventos no espaço cibernético que possam comprometer a disponibilidade, integridade, confidencialidade e autenticidade de dados que sejam armazenados, processados ou transmitidos, bem como dos serviços oferecidos ou disponibilizados pelos referidos sistemas.

Infraestruturas Críticas de Telecomunicações também foram definidas pelo Regulamento e são entendidas como instalações, serviços, bens e sistemas relacionados à prestação dos serviços de telecomunicações que, em caso de interrupção ou destruição, provocam um relevante impacto social, econômico, político, internacional, ou à segurança brasileira e da sociedade.

À exceção das prestadoras de pequeno porte (ou seja, grupos que detenham participação de mercado nacional inferior a 5% em cada mercado de varejo em que atuam), o Regulamento é aplicável a todas as prestadoras de serviços de telecomunicações de interesse coletivo, o que significa dizer que suas disposições devem ser cumpridas por todas as operadoras que prestam serviços a quaisquer interessados em sua fruição, em condições não discriminatórias e de acordo com os demais termos regulamentares que sejam aplicáveis. 

Fato relevante, é expressamente previsto pelo Regulamento que empresas detentoras de direitos de exploração de satélites para transporte de sinais de telecomunicações, bem como outras pessoas jurídicas, poderão passar a estar sujeitas aos seus dispositivos, ou até mesmo ser dispensadas do seu cumprimento, conforme decisão da Anatel.

Entre as alterações introduzidas pela Resolução 767/2024, foi estabelecido que, independentemente de seu porte, todas as prestadoras de serviços de telecomunicações de interesse coletivo devem “alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários” (como é o caso, por exemplo, dos roteadores). Mais ainda, a mesma Resolução esclarece que a responsabilidade de estipular a quais equipamentos esta determinação se aplica, além de versar sobre o procedimento correlato a esta exigência, são incumbências do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (“GT-Ciber”).

Outra importante mudança trazida pela Resolução 767/2024 ordena que, independentemente de seu porte, (i) operadoras de cabos submarinos com destino internacional (ou seja, “prestadoras encarregadas pela comunicação de dados entre países por meio de cabo submarino, assim como de um conjunto de equipamentos e instalações necessários para o estabelecimento dessa comunicação”), (ii) prestadoras de serviço móvel pessoal (“SMP”) detentoras de rede própria, bem como (iii) operadoras de rede que ofertam tráfego em mercado de atacado pertencentes aos grupos econômicos classificados como detentores de poder de mercado significativo no Mercado de Transporte de Dados em Alta Capacidade, passam a ser obrigadas a cumprir o quanto previsto nos artigos 6º, 7º, 9º, 10 e 11 do Regulamento. Em virtude disto, temos que:

  • As empresas sujeitas às alterações da Resolução 767/2024 devem elaborar, implementar e manter uma Política de Segurança Cibernética em conformidade com os termos do Regulamento, ou seja, uma política de ações direcionadas à segurança das operações, visando garantir que os sistemas de informação apresentem capacidade para resistir a eventos no espaço cibernético que possam causar comprometimento à disponibilidade, integridade, confidencialidade e autenticidade dos dados armazenados, processados ou transmitidos, além dos serviços oferecidos ou acessíveis por meio dos referidos sistemas.

  • Passa também a ser obrigatório o uso, por parte das empresas anteriormente mencionadas, de produtos e equipamentos de telecomunicações em suas redes e serviços cujos fornecedores implementem políticas de segurança cibernética alinhadas aos termos do Regulamento, e que realizem auditorias independentes periódicas, sendo que os resultados das auditorias poderão ser solicitados pela Anatel. Contudo, sobre este ponto é importante observar que os fornecedores que sejam classificados como startups foram isentados destas obrigatoriedades; neste caso, as próprias operadoras são responsáveis pela segurança cibernética e “pela adequação da solução contratada às redes de telecomunicações e a seus usuários”. De acordo com a Lei Complementar nº 182, de 01 de junho de 2021 (marco legal das startups e do empreendedorismo inovador), startups são definidas como as “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados”. 

  • Incidentes relevantes, que afetem substancialmente a segurança das redes, bem como os dados dos usuários, devem ser notificados à Anatel e comunicados às outras operadoras e aos usuários.

  • Ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética devem ser realizados pelas empresas.

  • As prestadoras devem apresentar informações sobre suas Infraestruturas Críticas de Telecomunicações à Anatel.

Outra exigência introduzida no texto do Regulamento por força da entrada em vigor da Resolução 767/2024 se refere à obrigatoriedade de as prestadoras de serviços de telecomunicações informarem a Anatel acerca de incidentes que necessitam ser comunicados à Autoridade Nacional de Proteção de Dados (“ANPD”). Este é um ponto bastante positivo, que reafirma o compromisso do Brasil em proteger os dados pessoais nas mais diversas esferas de atuação econômica.

Adicionalmente a outras exigências já descritas no texto original do Regulamento, foi determinado pela Resolução 767/2024 que a Política de Segurança Cibernética deverá abranger aspectos de cybersecurity referentes à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem que sejam utilizados pelas prestadoras, estando incluídos nestas avaliações (i) a capacidade do fornecedor e a compatibilidade de suas práticas com os princípios e diretrizes do Regulamento; (ii) o mapeamento dos riscos; (iii) procedimentos e controles voltados à mitigação de riscos que abarquem funções críticas de rede e tratamento de dados pessoais; e (iv) a complexidade da gestão de incidentes nos casos em que haja o envolvimento de dados localizados no exterior.

Por fim, deve-se notar que por meio da Portaria nº 2899, de 16 de setembro de 2024 (“Portaria 2899/2024”), a Anatel identificou as prestadoras e operadoras que deverão seguir os requisitos de segurança cibernética. São elas:

Prestadoras não consideradas como PPPs: Telefônica Brasil S.A., Fibrasil Infraestrutura e Fibra Ótica S.A., Telxius Cable Brasil Ltda. (Grupo Telefônica); Claro S.A., Embratel TVSat Telecomunicações S.A., Americel S.A., Telmex do Brasil S.A., Claro NXT Telecomunicações S.A. (Grupo Telecom Americas); TIM S.A., I-Systems Soluções em Infraestrutura S.A. (Grupo Telecom Italia); e V.Tal – Rede Neutra de Telecomunicações S.A., Oi S.A., Oi Soluções S.A. (Grupo Oi).

Operadoras de cabos submarinos: Globenet Cabos Submarinos S.A.; Angola Cables Brasil Ltda.; Cirion Technologies do Brasil Ltda.; China Unicom do Brasil Telecomunicações Ltda.; Cabo Brasil Europa Ltda.; e Seabras 1 Brasil Ltda.

Prestadoras de SMP detentoras de rede própria: Algar Telecom S.A., Sercomtel S.A. Telecomunicações; Brisanet Serviços de Telecomunicações S.A.; Unifique Telecomunicações S.A.; e Ligga Telecomunicações S.A.

Operadoras de rede que ofertam tráfego em mercado de atacado pertencentes a grupos econômicos classificados como PMS no Mercado de Transporte de Dados em Alta Capacidade: Algar Telecom S.A.; e Ligga Telecomunicações S.A.

Por fim, deve-se ressaltar que de acordo com o texto do Regulamento, a partir da data de publicação da Portaria 2899/2024 (ocorrida em 27 de setembro de 2024), as empresas têm o prazo de um ano para realizar as adequações necessárias.

Para receber as principais notícias e posicionamentos legislativos sobre este e outros temas relacionados a telecomunicações, acompanhe a equipe de Tecnologia, Mídia e Telecomunicações (TMT) do Azevedo Sette Advogados.