SEI/ANATEL - 7493676 - Despacho Decisório

O SUPERINTENDENTE DE CONTROLE DE OBRIGAÇÕES, no uso de suas atribuições legais e regulamentares, em especial a designação constante da Portaria Anatel nº 1.878, de 30 de dezembro de 2020, e a disposta no art. 24, § 5º, do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740, de 21 de dezembro de 2020, considerando as discussões realizadas no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber) DECIDE que a obrigação das prestadoras de realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética, prevista no art. 10 do R-Ciber, será cumprida conforme as definições a seguir:

As prestadoras sobre as quais incida a obrigação contida no art. 10 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, para atender ao disposto no parágrafo único deste artigo, devem apresentar para a Anatel os documentos abaixo relacionados:

Relatório Executivo sobre o Processo de Gestão de Vulnerabilidades no âmbito da empresa abordando, no mínimo: (i) as atividades de avaliação que são realizadas; (ii) os responsáveis pela avaliação; (iii) quando aplicável, as empresas externas que realizam as avaliações, sua qualificação e o escopo dos contratos; e, (iv) um resumo executivo dos resultados encontrados;

Os itens (iii) e (iv) podem ser excluídos dos relatório da prestadora no caso de encaminhamento de relatório executivo da própria empresa externa; e

Relatório Executivo de avaliação, realizada por empresa capacitada e independente, sobre os processos adotados pelas prestadoras, para identificar as vulnerabilidades nos elementos de infraestruturas publicamente acessíveis via Internet (TI), com o intuito de validar o processo de avaliação de vulnerabilidade praticado pela prestadora nestes elementos.

Forma de atendimento e periodicidade:

Utilização do Sistema Eletrônico de Informações (SEI), com processos individuais de acompanhamento para cada prestadora;

A entrega das informações dar-se-á anualmente, sempre no mês de abril, a fim de escalonar a entrega de informações ao GT-Ciber, referindo-se à(s) avaliação(ões) realizada(s) dentro do período dos últimos 12 (doze) meses. Excepcionalmente, a primeira entrega poderá ser até junho de 2022; e

O Relatório Executivo sobre o Processo de Gestão de Vulnerabilidades no âmbito da empresa e os relatórios executivos de empresas externas mencionados nos subitens "a" e "b" do item I devem abranger as avaliações de vulnerabilidades realizadas a partir de 1° de janeiro de 2022 e, preferencialmente, também contemplar avaliações realizadas a partir de 1° de janeiro de 2021, caso possível.

Documento assinado eletronicamente por Gustavo Santana Borges, Superintendente de Controle de Obrigações, em 07/10/2021, às 15:02, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 7493676 e o código CRC 0DDD7220.