SEI/ANATEL - 3470863

Consulta Pública para a reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança das redes de telecomunicações, em cumprimento do itens nº 41 e 58 da Agenda Regulatória da Anatel para o biênio 2017-2018.

Consulta pública. Comitê sobre Infraestrutura Nacional de Informações. novo regimento interno e Atribuição adicional em Segurança. serviços públicos de emergência. Revisões Regulamentares. proposta de Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações. Requisitos formais atendidos. submissão à Consulta pública POR 30 (trinta) DIAS.

1. Proposta de Consulta Pública para a reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança das redes de telecomunicações, em cumprimento dos itens nº 41 e 58 da Agenda Regulatória da Anatel para o biênio 2017-2018.

2. Manutenção do Comitê sobre Infraestrutura Nacional de Informações, criado pela Resolução nº 53, de 14 de setembro de 1998, recém reativado pela Agência sob a nova nomenclatura de Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS).

3. Proposta de novo Regimento Interno para o C-INTS, com nova composição e atribuição adicional de subsidiar o Conselho Diretor da Agência em temas de telecomunicações relacionados a: (i) segurança pública; (ii) segurança física das redes; e (iii) segurança lógica de redes.

4. Inclusão, no Regulamento dos Serviços de Telecomunicações (RST), aprovado pela Resolução nº 73, de 25 de novembro de 1998, de disposições sobre serviços públicos de emergência, prevenção a fraudes e sigilo, com a revogação de dispositivos relativos a esses temas nos seguintes Regulamentos: (i) Serviço Telefônico Fixo Comutado (STFC), aprovado pela Resolução nº 426, de 9 de dezembro de 2005; (ii) Serviço Móvel Pessoal (SMP), aprovado pela Resolução nº 477, de 7 de agosto de 2007; e Serviço de Comunicação Multimídia (SCM), aprovado pela Resolução nº 614, de 28 de maio de 2013.

5. Inclusão, no Regulamento de Exploração de SMP por meio de Rede Virtual (RRV-SMP), aprovado pela Resolução nº 550, de 22 de novembro de 2010, de obrigações de colaboração entre a Prestadora Origem e a Autorizada ou o Credenciado de Rede Virtual sobre medidas afetas à segurança pública.

6. Proposta de novo Regulamento sobre Segurança Cibernética aplicada às Prestadoras de Serviços de Telecomunicações (R-ciber), com objetivo de tratar da segurança lógica das redes.

7. Revogação dos dispositivos relacionados à segurança lógica no Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública (RGR), aprovado pela Resolução nº 656, de 17 de agosto de 2015, o qual passaria a tratar exclusivamente da segurança física das redes.

8. Atendimento dos requisitos legais e regimentais e reconhecimento da conveniência e oportunidade da proposta para o cumprimentos dos itens nº 41 e 58 da Agenda Regulatória para o biênio 2017-2018.

9. Submissão à Consulta Pública, pelo prazo de 30 (trinta) dias, da Resolução que aprova o Regimento Interno do C-INTS, aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações e dá outras providências.

Decreto nº 9.319, de 21 de março de 2018, que institui o Sistema Nacional para a Transformação Digital;

Regulamento dos Serviços de Telecomunicações (RST), aprovado pela Resolução nº 73, de 25 de novembro de 1998;

Resolução nº 53, de 14 de setembro de 1998, que prevê a instalação do Comitê sobre Infraestrutura Nacional de Informações;

Regulamento do Serviço Telefônico Fixo Comutado (STFC), aprovado pela Resolução nº 426, de 9 de dezembro de 2005;

Regulamento do Serviço Móvel Pessoal (SMP), aprovado pela Resolução nº 477, de 7 de agosto de 2007;

Regulamento sobre Exploração de Serviço Móvel Pessoal por meio de Rede Virtual (RRV-SMP), aprovado pela Resolução nº 550, de 22 de novembro de 2010;

Regulamento do Serviço de Comunicação Multimídia (SCM), aprovado pela Resolução nº 614, de 28 de maio de 2013;

Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública (RGR), aprovado pela Resolução nº 656, de 17 de agosto de 2015; e

Regimento Interno da Anatel (RIA), aprovado pela Resolução nº 612, de 29 de abril de 2013;

Cuida-se proposta de Consulta Pública para a reavaliação da regulamentação relacionada a serviços públicos de emergência e à segurança das redes de telecomunicações, em cumprimento dos itens nº 41 e 58 da Agenda Regulatória da Anatel para o biênio 2017-2018.

Por meio do Memorando-Circular nº 11/2017/SEI/PRRE/SPRE, de 3 de agosto de 2017 (SEI nº 1734475), expedido nos autos do Processo nº 53500.066938/2017-74, deu-se início aos trabalhos relacionados ao Projeto de Reavaliação da regulamentação relacionada a serviços públicos de emergência, previstos no item nº 41 da Agenda Regulatória da Anatel para o biênio 2017-2018, transcrito a seguir:

"Reavaliação da regulamentação relacionada a serviços públicos de emergência, em especial sobre aspectos que envolvam a interlocução entre as prestadoras de serviços de telecomunicações e os órgãos de segurança pública (bloqueio de Estações Móveis impedidas, interceptação de chamadas, quebra de sigilo, entre outros)."

Formou-se a equipe de projeto, composta de áreas técnicas e de assessoria da Agência, liderada pela Superintendência de Planejamento e Regulamentação (SPR). Procedeu-se a uma tomada de subsídios (SEI nº 2843360), a qual recebeu contribuições das operadoras Claro S.A., Telefônica Brasil S.A. e TIM S.A.

Em junho de 2018 concluiu-se a Análise de Impacto Regulatório (AIR) relativa a ações de apoio à segurança pública pelo setor de telecomunicações (SEI nº 2843562). Analisaram-se 4 (quatro) temas, sublinhando-se a melhor alternativa em cada caso:

Tema 01 – Engajamento do setor de telecomunicações em prol de ações de segurança pública

Alternativa A – Manutenção da configuração atual, com regulamentação sobre o tema dispersa em diversos instrumentos;

Alternativa B – Centralização das obrigações em instrumento regulamentar único;

Alternativa C – Maior institucionalização dos grupos e padronização de seus produtos, especialmente quanto à aprovação;

Tema 02 – Dificuldade em mobilizar as instituições públicas em aderir às iniciativas e discussões

Alternativa C – Criação de estruturas no portal da Agência para dar publicidade às discussões e resultados;

Tema 03 – Acesso a dados com qualidade necessária no contexto de segurança pública

Alternativa B – Previsão da necessidade na regulamentação e tratamento da forma de implementação por meio de grupo de trabalho;

Tema 04 – Interlocução entre as prestadoras de telecomunicações e o setor de segurança pública (bloqueadores de sinais em presídios e outras iniciativas)

Alternativa A – Manutenção da configuração atual (coordenação de forma descentralizada, dependendo dos agentes regionais de cada prestadora);

Alternativa B – Padronização do processo de coordenação entre as partes no âmbito dos grupos de trabalho;

Por meio do Memorando-Circular nº 15/2017/SEI/PRRE/SPRE, de 30 de outubro de 2017 (SEI nº 2049142), iniciaram-se as atividades relacionados ao Projeto de Análise sobre a regulamentação de segurança das redes de telecomunicações, previstos no item nº 58 da Agenda Regulatória para o biênio 2017-2018, cujo teor se reproduz abaixo:

"Elaboração de análises e estudos sobre a necessidade ou não de regulamentação que possibilite a implementação de medidas de proteção e segurança das redes e serviços das operadoras de telecomunicações. A segurança das redes é hoje um dos grandes problemas da nova economia digital. São diversos os países que vêm enfrentando os problemas relacionados à segurança cibernética e realizando grandes investimentos na busca da disponibilidade, confidencialidade e integridade das informações no ambiente cibernético. Como os dados trafegam em redes de telecomunicações cabe à Anatel atuar dentro de suas competências a fim de garantir e fiscalizar a proteção dessa primeira linha de frente, a exemplo de outros reguladores como FCC (EUA), Anacom (Portugal), KISA (Coréia do Sul), Ofcom (Reino Unido) que atualizam constantemente suas diretrizes."

Formou-se uma equipe de projeto, composta de representantes das áreas técnicas e de assessoria da Agência, liderada pela SPR. Procedeu-se a uma tomada de subsídios (SEI nº 2843360), a qual recebeu contribuições por escrito da Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee), Algar Telecom, Claro S.A., Cisco da Brasil Ltda., Hughes Telecomunicações do Brasil Ltda., Oi S.A., Nextel Telecomunicações Ltda., Sercomtel S.A., TIM S.A. e Telefônica Brasil S.A.

Em 29 de março de 2018, a Gerência de Regulamentação (PRRE) solicitou contribuições escritas a operadoras, fabricantes e outras entidades do setor. Além disso, realizaram-se reuniões presenciais em Brasília relativas à segurança cibernética. Participaram ou contribuíram diversas entidades do setor (SEI nº 2672852).

A PRRE reiterou seu pedido de contribuições ao CERT.br (SEI nº 2701862) em 8 de maio de 2018. Em 5 de junho de 2018, essa entidade enviou suas considerações sobre segurança de redes e, em particular, sobre "a necessidade de um fórum formal entre as prestadoras de telecomunicações para o compartilhamento seguro e sigiloso dos incidentes" apontada pela Anatel (SEI nº 2828338).

Em junho de 2018 concluiu-se a Análise de Impacto Regulatório (AIR) relativa à segurança das redes telecomunicações (SEI nº 2843567). Analisaram-se 5 (cinco) temas, um dos quais dividido em 3 (três) subtemas, sublinhando-se as melhores alternativas recomendadas em cada caso:

Alternativa D – Indicação de área específica da Anatel responsável pelo acompanhamento do tema;

Alternativa C – Criação de plataforma de compartilhamento de informações na Anatel;

Alternativa D – Incumbência às prestadoras da criação de plataforma de compartilhamento de informações.

Subtema 2 - Estrutura organizacional, gestão da Segurança Cibernética e Infraestruturas críticas

Alternativa B – Estabelecimento de requisitos de gestão da segurança cibernética a todas as prestadoras, de forma equânime;

Alternativa C – Estabelecimento de requisitos de gestão da segurança cibernética às prestadoras de forma assimétrica e não exaustiva;

Alternativa B – Promoção, pela Anatel, de ações de conscientização e educação dos consumidores sobre segurança cibernética;

Alternativa C - Promoção, pelas prestadoras, de ações de conscientização e educação dos consumidores sobre segurança cibernética;

Alternativa D – Promoção, pela Anatel e prestadoras, de ações de conscientização e educação dos consumidores sobre segurança cibernética.

Alternativa B – Estabelecimento de compromisso de correção de vulnerabilidades por parte do fabricante do produto;

Alternativa C – Certificação e homologação de equipamentos de rede, levando em conta requisitos de segurança;

Alternativa D – Avaliações de segurança em produtos já homologados seguindo-se um processo de procura de falhas – Pós-venda específico;

Alternativa E – Criação de especificações para o projeto e a construção de produtos observando-se critérios específicos de segurança;

Alternativa F – Previsão de instrumentos autodeclaratórios em relação à segurança cibernética, para a certificação e homologação de equipamentos.

Alternativa B – Definição de requisitos exaustivos em regulamentação específica;

Alternativa C – Estabelecimento de diretrizes e comandos no âmbito de um fórum específico, com o apoio do Conselho Diretor;

Alternativa A – Manutenção das regras e requisitos de segurança cibernética atualmente aplicáveis ao armazenamento de dados pessoais por prestadoras de serviços de telecomunicações;

Alternativa B – Estabelecimento, além das regras já existentes nos normativos vigentes, de princípios de segurança cibernética aplicáveis ao armazenamento dos dados pessoais de consumidores por prestadoras de serviços de telecomunicações;

Alternativa C – Estabelecimento, além das regras já existentes nos normativos vigentes, de princípios e regras com detalhamento razoável sobre segurança cibernética, aplicáveis ao armazenamento dos dados pessoais de consumidores por prestadoras de serviços de telecomunicações.

Optou-se por examinar conjuntamente os itens nº 41 e nº 58 no Informe nº 64/2018/SEI/PRRE/SPR (SEI nº 2843457), considerando-se que ambos os projetos tratam de temas de segurança relacionados a serviços de telecomunicações e que os prazos estabelecidos na Agenda Regulatória de 2017-2018 são compatíveis.

Dispensou-se a realização de Consulta Interna dada a urgência de deliberação da matéria, nos termos do art.60, §2º, do Regimento Interno da Anatel (RIA), aprovado pela Resolução nº 612, de 29 de abril de 2013.

Preparou-se Minuta Preliminar, na qual se apresentaram as propostas de Resolução, de Regimento Interno do Comitê sobre Infraestrutura Nacional de Informações e Segurança, de Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações e outras providências associadas (SEI nº 2843580).

Submeteu-se a referida Minuta à apreciação da a Procuradoria Federal Especializada junto à Anatel (PFE-Anatel), a qual emitiu o Parecer nº 00538/2018/PFE-ANATEL/PGF/AGU, de 1º de outubro de 2018 (SEI nº 3292440).

a) a Área Técnica deveria fundamentar a revogação do inciso XI do art.4º do Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública (RGR), aprovado pela Resolução nº 656, de 17 de agosto de 2015;

b) o art.10 da Minuta teria motivado a proposta de revogação dos art.23, art. 24 e art. 25 do Regulamento do Serviço Telefônico Fixo Comutado (STFC), aprovado pela Resolução nº 426, de 9 de dezembro de 2005; art. 19, art. 77, art. 89, art. 90 e art. 91 do Regulamento do Serviço Móvel Pessoal (SMP), aprovado pela Resolução nº 477, de 7 de agosto de 2007; e art. 52 do Regulamento do Serviço de Comunicação Multimídia (SCM), aprovado pela Resolução nº 614, de 28 de maio de 2013;

c) o conteúdo dos dispositivos cuja revogação se propõe estaria devidamente contemplado no futuro Capítulo IV do Título III do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998; e

d) os arts.6º a 9º tratariam adequadamente de aspectos que envolvem a interlocução entre as prestadoras de serviços de telecomunicações e os órgãos de segurança pública, bem como a implementação de medidas de proteção e segurança das redes e serviços das prestadoras;

Com respeito à Minuta de Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (Anexo I à Minuta de Resolução):

"Art. 4º. [...]
§ 1º. As prestadoras devem publicar em sua página na Internet, com linguagem compreensível, as diretrizes e ou princípios de sua política de segurança cibernética."

b) recomendou-se esclarecer como se daria a aplicação prática do art.4º, §2º;

"Art. 5º. [...]
§ 1º. As demais disposições deste Regulamento aplicam-se às prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, nos termos da regulamentação."

d) o § 3º do art.5º destaca que "a inclusão ou dispensa prevista no § 2º deverá ser motivada pela relevância da empresa na infraestrutura dos serviços de telecomunicações brasileiros"; o dispositivo vincula a motivação do Ato a que se refere o §2º do art.5º da proposta, deixando de considerar outros aspectos que podem levar o Conselho Diretor a incluir ou dispensar uma prestadora das obrigações constantes do futuro Regulamento. Recomendou-se, assim, a exclusão do §3º do art.5º da proposta, avaliando-se, ainda, a seguinte redação paro §2º do dispositivo:

"Art. 5º. [...]
§ 2º. Ato do Conselho Diretor poderá incluir ou dispensar, total ou parcialmente, definitiva ou temporariamente, da incidência das disposições deste Regulamento prestadoras de serviços de telecomunicações, ainda que de Pequeno Porte ou exploradora de serviço de interesse restrito, e empresas detentoras de outorga do direito de exploração de satélite para transporte de sinais de telecomunicações. O Conselho Diretor, por meio de Ato devidamente motivado, poderá incluir ou dispensar da incidência das disposições deste Regulamento as prestadoras de serviços de telecomunicações de interesse restrito ou coletivo, independentemente do porte, bem como empresas detentoras de outorga de direito de exploração de satélite para transporte de sinais de telecomunicações.

~~§ 3º. A inclusão ou dispensa prevista no § 2º deverá ser motivada pela relevância da empresa na infraestrutura dos serviços de telecomunicações.~~"

e) a obrigação descrita no ao art.6º da Minuta estaria de acordo com o previsto no art.3º, incisos V e IX, da LGT;

"Art. 7º. [...]
X - a identificação e análise das vulnerabilidades, das ameaças, e dos riscos associados à Segurança Cibernética~~, bem como análise dos riscos existentes~~;'

g) o art.7º, §1º, da proposta diz "a Política de Segurança Cibernética deve ser aprovada pelo conselho de administração ou o órgão de deliberação colegiado equivalente das prestadoras e atualizada ou revisada com a periodicidade adequada". Sugeriu-se já se prever um prazo para se proceder a essa revisão ou atualização, sem se afastar a possibilidade de se adotar tal providência sempre que necessário;

h) indagou-se sobre a utilização do verbo "dever", em substituição ao verbo "poder", no art.11, considerando-se a importância do tema e a necessidade de os equipamentos de telecomunicações também seguirem as normas de segurança cibernética; e

Quanto à Minuta de Regimento Interno do Comitê sobre Infraestrutura Nacional de Informações e Segurança (Anexo II à Minuta de Resolução), não se vislumbram quaisquer máculas de natureza jurídica, cabendo apenas sugestões de melhoria textual nos arts.2º, caput; 3º, incisos X, XI e XII; 5º, incisos II e III; 6º, incisos I e III, §1º; 7º, incisos II e V; 8º, incisos II e V; 9º, incisos I e II; 12, caput; e 14, incisos II, IV e V.

Em atenção ao Parecer nº 00538/2018/PFE-ANATEL/PGF/AGU (SEI nº 3292440), preparou-se o Informe nº 54/2018/SEI/PRRE/SPR (SEI nº 2760022), no qual se acataram todas as contribuições da PFE-Anatel, salvo as indicadas a seguir.

Com relação à Minuta de Resolução, esclareceu-se que a revogação do inciso XI do art.4º do RGR, aprovado pela Resolução nº 656/2015, teve como principal intuito marcar a separação das atribuições entre grupos técnicos distintos. Tratar-se-á de segurança física no RGR e de segurança lógica na presente Resolução, conforme explicado no Tema 01 do Relatório de Análise de Impacto Regulatório - AIR (SEI nº 2843567):

"(..) Estes grupos cumpririam a função de assessorar o Comitê no âmbito das referidas temáticas. Ressalta-se que a inclusão do GGRR no rol destes grupos vinculados ao Comitê justifica-se devido de este se preocupar com uma parcela importante da segurança das redes de telecomunicações, qual seja, a segurança física. Complementarmente, o grupo referente à segurança cibernética daria foco principalmente à segurança lógica, da informação"

Conforme exposto na introdução desse Relatório de AIR, optou-se pela utilização da terminologia "Segurança Cibernética" em detrimento de "Segurança da Informação", tendo sido, portanto, prevista sua definição no art.2º da proposta de Regulamento de Segurança Cibernética aplicada ao setor de telecomunicações:

"Art. 2º Para fins deste Regulamento, Segurança Cibernética é o conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos, ações de treinamento, melhores práticas, garantias e tecnologias que podem ser usados para proteger o ambiente cibernético e ativos de usuários e de organizações."

Explicou-se que a intenção da Minuta de Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (Anexo I à Minuta de Resolução) seria "sinalizar para o setor de telecomunicações que as medidas, procedimentos, soluções tecnológicas ou outras abordagens para implementar sua Segurança Cibernética devem ser compatíveis com o ativo que se deseja assegurar, ou seja, o emprego de recursos na implementação da Política de Segurança Cibernética deve ser realizada de maneira razoável e proporcional."

Quanto à possibilidade de se definir um prazo para a revisão da Política de Segurança Cibernética já no Regulamento proposto, entendeu-se mais adequado manter a redação originalmente proposta. A definição de maneira mais flexível atenderia às peculiaridades da matéria e permitiria a adequada definição pela Agência, após o devido diagnóstico do Comitê.

Concluiu-se pela manutenção do verbo "poder" na redação do art.11, levando em consideração a análise do caso concreto quanto à viabilidade e necessidade de se observarem aspectos de segurança cibernética quando da avaliação da conformidade e homologação de produtos para telecomunicações.

Acolheram-se as contribuições de melhoria textual da PFE/Anatel, tendo sido feito apenas um ajuste na contribuição ao art.9º, inciso II, substituindo-se o termo "Regulamento" por "Regimento", nos termos a seguir:

II - ~~aquelas~~ exercer as atribuições estabelecidas no Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública e em seu Regimento Interno, respeitadas as disposições constantes nos §§3º e 4º do artigo 6º deste Regimento.

Preparou-se nova Minuta de Resolução (SEI nº 3298660), bem como versão com marcas de revisão com relação à proposta anteriormente encaminhada à PFE-Anatel (SEI nº 3298670).

Encaminhou-sea matéria (SEI nº 3302912) para apreciação do Conselho Diretor, após a devida verificação quanto aos aspectos formais (SEI nº 3363763).

Em sorteio eletrônico realizado em 18 de outubro de 2018, designou-se como relator o Conselheiro Leonardo Euler de Morais (SEI nº 3371983), o qual, em seguida, foi nomeado Presidente do Conselho Diretor da Agência, nos termos do Decreto Presidencial publicado em 1º de novembro de 2018 (SEI nº 3456808).

Efetuou-se novo sorteio no dia 9 de novembro de 2018 e remeteram-se os autos a este Gabinete (SEI nº 3462957).

Propõe-se, nos presentes autos, submeter à Consulta Pública os itens nº 41 e nº 58 da Agenda Regulatória de 2017-2018, considerando-se que os cronogramas são compatíveis e que ambos tratam de temas de segurança envolvendo redes de telecomunicações. Embora os temas de "segurança pública" relacionados com telecomunicações (item nº 41) e "segurança da própria rede e das informações nela transportadas" (item 58) tenham pouco em comum, nada obsta a tratá-los em conjunto.

A fim de assessorar o Conselho Diretor da Agência em temas relacionados com "segurança", pensou-se em conferir tal atribuição ao Comitê sobre Infraestrutura Nacional de Informações (C-INI), instalado pela Resolução nº 53, de 14 de setembro de 1998, e recém reativado pela Anatel^[1]. Incluem-se em tais temas: (i) o uso dos serviços de telecomunicações para atividades de segurança pública; (ii) a segurança física das redes de telecomunicações; e (iii) a segurança lógica das redes de telecomunicações, compreendendo os aspectos de segurança cibernética.

Com tais objetivos, na Minuta de Resolução (SEI nº 2843580), proposta pela Área Técnica, abordaram-se os seguintes temas:

Comitê sobre Infraestrutura Nacional de Informações (C-INI): (i) manutenção do comitê instalado pela Resolução nº 53/1998, com novo título de Comitê sobre Infraestrutura Nacional de Informações e Segurança (C-INIS), nova composição e atribuição adicional de subsidiar o Conselho Diretor da Agência em temas relacionados com "segurança"; e (ii) aprovação, sob a forma do Anexo II à Minuta de Resolução, de um novo Regimento Interno para o referido comitê.

Item nº 41 - Reavaliação da regulamentação relacionada a serviços públicos de emergência: (i) inclusão de disposições abrangentes sobre "serviços públicos de emergência, prevenção a fraudes e sigilo"no RST; (ii) revogação das provisões relativas àqueles temas nos Regulamentos do STFC, SMP e SCM; e (iii) inclusão, no Regulamento de Exploração de SMP por meio de Rede Virtual (RRV-SMP), aprovado pela Resolução nº 550/2010, de obrigações de colaboração entre a Prestadora Origem e a Autorizada ou o Credenciado de Rede Virtual relativas a segurança pública.

Item 58 - Análise sobre regulamentação de segurança das redes de telecomunicações: (i) Proposta de novo Regulamento sobre Segurança Cibernética aplicada às Prestadoras de Serviços de Telecomunicações, com objetivo de tratar da segurança lógica das redes; e (ii) revogação dos dispositivos relacionados à segurança lógica no RGR, o qual passaria a tratar exclusivamente da segurança física das redes.

Com a aprovação do RGR, constituiu-se o Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações (GGRR), sob a coordenação da Anatel. Na revisão do Regimento Interno do C-INI aqui proposta, sugeriu-se concentrar no referido comitê 3 (três) grupos técnicos relacionados com temas de segurança:

III - Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações (GGRR).

A aprovação, a alteração ou a revogação de regulamentos pela Agência decorre de sua natureza de órgão regulador setorial, conforme previsto no art.21, inciso XI, da Constituição Federal e na Lei nº 9.472, de 16 de julho de 1997 (Lei Geral de Telecomunicações - LGT).

O art.1º da LGT estabelece que compete à União, por intermédio do órgão regulador e nos termos das políticas estabelecidas pelos Poderes Executivo e Legislativo, organizar a exploração dos serviços de telecomunicações, destacando-se aspectos do funcionamento das redes de telecomunicações:

"Art. 1º Compete à União, por intermédio do órgão regulador e nos termos das políticas estabelecidas pelos Poderes Executivo e Legislativo, organizar a exploração dos serviços de telecomunicações.

Parágrafo único. A organização inclui, entre outros aspectos, o disciplinamento e a fiscalização da execução, comercialização e uso dos serviços e da implantação e funcionamento de redes de telecomunicações, bem como da utilização dos recursos de órbita e espectro de radiofrequências." (Grifou-se)

A edição de atos de caráter normativo da Agência rege-se pelo art.42 LGT e pelos arts.62 a 66 do RIA. Citados dispositivos determinam que as minutas de atos normativos a serem expedidos pela Anatel dever-se-ão submeter às Consultas Pública e Interna, precedidas da devida Análise de Impacto Regulatório (AIR), nos seguintes termos:

"Art. 42. As minutas de atos de caráter normativo serão submetidos à consulta pública, formalizada por publicação no Diário Oficial da União, devendo as críticas e sugestões merecer exame e permanecer à disposição do público na Biblioteca".

"Art. 62. Os atos de caráter normativo da Agência serão expedidos por meio de Resoluções, de competência exclusiva do Conselho Diretor, observado o disposto nos arts. 59 e 60, relativos aos procedimentos de Consultas Pública e Interna, respectivamente.

Parágrafo único. Os atos de caráter normativo a que se refere o caput, salvo em situações expressamente justificadas, deverão ser precedidos de Análise de Impacto Regulatório". (grifou-se)

Cumprindo-se a exigência do art. 62 do RIA, realizaram-se as Análises de Impacto Regulatório (AIR) relativas aos itens nº 41 (SEI nº 2843562) e nº 58 (SEI nº 2843567) da Agenda Regulatória 2017-2018, respectivamente.

Dispensou-se a Consulta Interna, por se tratar de matéria urgente, conforme se explicou no Parecer nº 00538/2018/PFE-ANATEL/PGF/AGU, de 1º de outubro de 2018 (SEI nº 3292440):

"14. Verifica-se que a regra é a realização da Consulta Interna, sendo exceção a sua dispensa, que poderá ocorrer quando demonstrado que sua realização poderá impedir ou retardar deliberação de matéria urgente. Nesse sentido, o Regimento Interno da Anatel recomenda, como regra, a realização de Consulta Interna, devendo sua dispensa, se o caso, ser devidamente motivada com base nas exceções constantes do Regimento Interno da Anatel.

15. no Informe nº 64/2018/SEI/PRRE/SPR, datado de 28.06.2018, mais especificamente em seu item 3.7, a área técnica propôs a dispensa da realização de Consulta Interna, com lastro no art. 60, § 2º, do RI-Anatel, "considerando que o prazo para encaminhamento da presente proposta é 30 de junho de 2018, conforme Agenda Regulatória para o biênio 2017-2018 aprovada pelo Conselho Diretor, e que a temática foi objeto de apresentação em reunião técnica daquele colegiado de 21 de junho de 2018 para coleta de diretrizes com relação a algumas temáticas, justifica-se a não realização de Consulta Interna para que não se descumpra o prazo estabelecido no planejamento regulatório da Anatel".

16. Reputa-se, portanto, devidamente motivada a dispensa do procedimento de Consulta Interna no presente caso, nos termos admitidos pelo art. 60, § 2º, do RI-Anatel."

Atenderam-se, portanto, os requisitos formais para encaminhamento da presente proposta de Consulta Pública para sua apreciação pelo Conselho Diretor da Agência.

Com relação à Minuta de Consulta Pública proposta pela Área Técnica (SEI nº 2843760), este Relator sugere uma nova versão (SEI nº 3510969), na qual se revisam ligeiramente os 2 (dois) últimos parágrafos. O objetivo é garantir que todas as contribuições sejam efetuadas por intermédio do Sistema Interativo de Acompanhamento de Consulta Pública (SACP) ou de carta protocolizada no Sistema Eletrônico de Informações (SEI) da Agência. A opção por meios eletrônicos alinha-se com paradigmas já consagrados na Administração Pública e com o art.37, §1º, do RIA:'

§ 1º A Anatel adotará procedimentos que tornem seus processos eletrônicos, inclusive com sistema de peticionamento eletrônico, dotado da respectiva certificação digital, com o objetivo de aprimorar sua gestão de documentos e facilitar o acesso de servidores e cidadãos às informações da Agência, o que propiciará celeridade, segurança e economicidade em seus procedimentos."

Quanto à Minuta de Resolução proposta (SEI nº 2843580), concorda-se com a parte introdutória, mas se sugere reestruturar o corpo da Resolução e seus Anexos. Tal reestruturação visa a tornar o texto mais linear, abordando-se primeiramente aspectos mais gerais e avançando progressivamente até as disposições mais específicas.

A estrutura da minuta de Resolução proposta compreende os seguintes tópicos e subtópicos:

Anexo I - Regimento Interno do Comitê sobre Infraestrutura Nacional de Informações e Segurança

Anexo II - Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações

Na presente Analise, estruturou-se o texto segundo os tópicos e subtópicos acima, seguindo a ordem numérica dos artigos da Minuta de Resolução (SEI nº 3545065) proposta por este Relator. Nos casos nos quais tal proposta divergir substancialmente da última manifestação da Área Técnica (SEI nº 3298660), transcrever-se-á o texto anterior e o aqui proposto.

Na última proposta da Área Técnica, os arts.1º a 3º possuíam a seguinte redação:

"Art. 1º Manter, com nova composição, o Comitê sobre Infraestrutura Nacional de Informações (C-INI), sob o título de Comitê sobre Infraestrutura Nacional de Informações e Segurança (C-INIS), cujo objetivo principal é subsidiar o Conselho Diretor no exercício de suas competências legais na tomada de decisões que contribuam para o desenvolvimento e o uso da infraestrutura nacional de informações, e ao uso dos serviços de telecomunicações para as atividades de segurança pública e à segurança das redes de telecomunicações, incluindo aspectos de segurança cibernética e segurança das infraestruturas.

Art. 2º Aprovar o Regulamento de Segurança Cibernética aplicada às Prestadoras de Serviços de Telecomunicações, na forma do Anexo I a esta Resolução.

Art. 3º Republicar o Regimento Interno do Comitê instalado pela Resolução nº 53, de 14 de setembro de 1998, na forma do Anexo II a esta Resolução."

Na última década do século passado, a expressão "infraestrutura nacional de informações" era onipresente no setor de telecomunicações. Referia-se a um ambiente integrado de redes, tal que permitisse a todos ter acesso a serviços avançados de informação (bancos de dados, bibliotecas, serviços de saúde, entretenimento, etc.), até então limitados a instituições de ensino e pesquisa. Em 1993, com tais objetivos, o governo dos Estados Unidos da América criou seu plano de National Information Infrastructure (NII)^[2], iniciativa logo adotada por diversos países.

Com o passar do tempo, porém, a expressão "infraestrutura nacional de informações" passou a ser aplicável à Internet e a quaisquer ativos de informação, distanciando-se sua origem associada às telecomunicações. Utiliza-se, por exemplo, para referir-se às próprias informações^[3] ou, alternativamente, a uma plataforma de computação em nuvem^[4]. Artigos acadêmicos reconhecem "infraestrutura de informação" como “meios compartilhados, evolutivos, abertos, padronizados e heterogêneos” (Hanseth, 2002)^[5] ou "pessoas, processos, procedimentos, ferramentas, instalações e tecnologias que dão suporte a criação, uso, transporte, armazenamento e destruição de informação" (Pironti, 2006)^[6].

Dessa forma, este Relator sugere trocar o termo "Informação" por "Telecomunicações" no título do comitê, de maneira a se restaurar o conceito original de "infraestrutura nacional de informações". Além disso, sugerem-se aprimoramentos redacionais no art.1º:

Art. 1º Manter, com nova composição, o Comitê sobre Infraestrutura Nacional de Informações (C-INI), sob o título de Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS), cujo objetivo principal é subsidiar o Conselho Diretor, no exercício de suas competências legais, na tomada de decisões que contribuam para o desenvolvimento e o uso da infraestrutura nacional de telecomunicações, bem como nos seguintes temas relacionados com segurança:

I - uso dos serviços de telecomunicações para atividades de segurança pública;

II - segurança cibernética, aplicada às prestadoras de serviços de telecomunicações;

Seguindo-se a estrutura proposta, sugere-se prosseguir com o regimento interno do comitê, com o artigo e o Anexo correspondentes devidamente renumerados:

Art. 2º Republicar o Regimento Interno do referido Comitê, instalado pela Resolução nº 53, de 14 de setembro de 1998, na forma do Anexo I a esta Resolução.

De maneira similar, recomenda-se apenas renumerar o artigo seguinte e seu Anexo respectivo:

Art. 3º Aprovar o Regulamento de Segurança Cibernética aplicada às Prestadoras de Serviços de Telecomunicações, na forma do Anexo II a esta Resolução.

Propõe-se abordar aqui a revisão e a transposição para o Regulamento dos Serviços de Telecomunicações (RST), aprovado pela Resolução nº 73/1998, das disposições sobre "serviços públicos de emergência, prevenção a fraudes e sigilo" presentes nos Regulamentos do STFC, SMP e SCM. Concorda-se inteiramente com o texto proposto pela Área Técnica, apenas aqui renumerado:

Art. 4º. O Título III do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998, passa a vigorar acrescido do seguinte Capítulo IV:

Art. 65-A As prestadoras do Serviço Telefônico Fixo Comutado (STFC), do Serviço Móvel Pessoal (SMP) e do Serviço de Comunicação Multimídia (SCM) devem assegurar o acesso gratuito de todos os seus usuários aos serviços públicos de emergência previstos em regulamentação editada pela Anatel.

§ 1º As prestadoras referidas no caput deste artigo, em conjunto com as demais envolvidas na chamada, devem encaminhá-la ao respectivo provedor do serviço público de emergência.

§ 2º A gratuidade a que se refere o caput deste artigo estende-se aos valores associados à condição de usuário visitante do SMP.

§ 3º A prestadora de SMP deve, após solicitação dos provedores de serviços públicos de emergência, respeitadas as limitações tecnológicas, encaminhar as mensagens de texto de seus usuários destinadas ao respectivo serviço público de emergência.

§ 5º A prestadora de STFC deve colocar ao dispor dos provedores dos serviços públicos de emergência o acesso à informação sobre a localização dos terminais fixos originadores das chamadas destinadas ao respectivo serviço público de emergência.

§ 6º Nas Unidades da Federação onde as soluções de localização previstas nos §§ 4º e 5º deste artigo estejam em funcionamento, quaisquer ações de segurança pública que necessitem de mecanismos de localização deverão fazer uso das mesmas soluções, salvo em caso de inviabilidade técnica.

§ 7º Os aspectos técnicos e operacionais relacionados aos §§ 3º, 4º, 5º e 6º deste artigo serão propostos e revistos periodicamente por Grupo de Trabalho, sob a coordenação da Agência, com participação das prestadoras de STFC, de SMP e dos provedores dos serviços públicos de emergência que manifestarem interesse, cabendo à Anatel aprovar tais aspectos por meio de ato do Conselho Diretor.

§ 8º A Anatel dará ampla divulgação à agenda de reuniões e às discussões do Grupo de Trabalho de que trata o § 7º deste artigo. A depender da quantidade de provedores de Serviços Públicos de Emergência interessados em participar dos trabalhos, a Agência poderá solicitar a indicação de representantes daqueles, em nível estadual.

§ 9º Quando marcado o código de acesso 112 ou o código de acesso 911, as chamadas devem ser redirecionadas e encaminhadas ao respectivo serviço público de emergência brasileiro.

§ 10º Não será devido às prestadoras envolvidas qualquer tipo de remuneração pelo uso das redes ou qualquer outro recurso necessário ao correto encaminhamento das chamadas e mensagens destinadas aos serviços públicos de emergência.

§ 11º A Agência poderá determinar ações e prazos para implementação de regras previstas neste artigo.

Art. 65-B As prestadoras de serviços de telecomunicações devem dispor de meios para mitigar a existência de fraudes na prestação do serviço.

§1º Na implementação de ações coordenadas de combate à fraude, os custos e os benefícios devem ser compartilhados entres as prestadoras participantes, considerando-se o porte da empresa.

Art. 65-C As prestadoras de serviços de telecomunicações devem zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados, inclusive registros de conexão, e informações do assinante ou do usuário, empregando todos os meios e tecnologia necessários para tanto.

§1º A responsabilidade da prestadora não abrange os segmentos de rede instalados nas dependências do imóvel indicado pelo usuário.

§2º As prestadoras devem utilizar todos os recursos tecnológicos para assegurar a inviolabilidade do sigilo das comunicações, em especial, no caso do SMP e outros serviços que utilizem radiofrequências na rede de acesso, nos enlaces radioelétricos entre a Estação Rádio Base e a Estação Móvel.

Art. 65-D As prestadoras de serviços de telecomunicações devem tornar disponíveis os recursos tecnológicos, facilidades e dados necessários à suspensão de sigilo de telecomunicações, determinada por autoridade judiciária ou legalmente investida desses poderes, e manter controle permanente de todos os casos, acompanhando a efetivação dessas determinações, e zelando para que elas sejam cumpridas, dentro dos estritos limites autorizados.

§ 1º Os equipamentos e programas necessários à suspensão do sigilo devem integrar a plataforma da prestadora, que deve arcar com os respectivos custos.

§ 2º Os custos operacionais relacionados à cada suspensão de sigilo poderão ter caráter oneroso.

§ 3º A Anatel deve estabelecer as condições técnicas específicas para disponibilidade e uso dos recursos tecnológicos e demais facilidades referidas neste artigo, observadas as disposições constitucionais e legais que regem a matéria.

Art. 65-E Não constitui quebra de sigilo a identificação, pelo usuário chamado, do usuário originador da chamada, quando este não opuser restrição à sua identificação.

§ 1º A restrição prevista no caput deste artigo não atinge as ligações destinadas aos serviços públicos de emergência, aos quais deve ser sempre permitida a identificação do código de acesso do usuário originador da chamada.

§ 2º As prestadoras de STFC e de SMP devem oferecer, observadas as condições técnicas, a facilidade de restrição de identificação do código de acesso do usuário que originar a chamada, quando solicitado.

§ 3º As prestadoras de STFC e de SMP devem oferecer ao usuário, observadas as condições técnicas e quando solicitado, a facilidade de bloqueio da chamada a ele dirigida que não trouxer a identificação do código de acesso do assinante que a originou.

§ 4º É dever das Prestadoras de SCM, uma vez atribuída numeração a esse serviço, ofertar as facilidades previstas nos §§ 2º e 3º deste artigo. (NR)"

Disposições de particular importância, abordadas na Seção III acima, "Do Sigilo das Telecomunicação", tratam da confidencialidade dos dados, dos registros de conexão e de informações pessoais do assinante ou usuário. Nesse particular, ressalta-se a importância da conformidade de tais disposições com a Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPDP), que estabelece regras sobre a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais gerenciados pelas organizações.

Ainda com relação a ações de apoio à segurança pública, concorda-se com as obrigações de colaboração entre a Prestadora Origem e a Autorizada ou o Credenciado de Rede Virtual propostas pela área técnica. Dessa forma, sugere-se a inclusão das seguintes disposições no RRV-SMP:

Art. 5º O art. 17 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso X e parágrafo único:

“Art. 17 ...................................................................

...............................................................................

X - Colaborar com o Credenciado de Rede Virtual para a implementação das ações versando sobre segurança pública, conforme deliberações do Grupo Técnico de Segurança Pública do Comitê de Segurança no setor de telecomunicações.

Parágrafo único. A forma como ocorrerá a colaboração a que se refere o inciso X deverá constar do Contrato de Representação celebrado entre a Prestadora de Origem e o Credenciado de Rede Virtual. (NR)”

Art. 6º O art. 39 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso IV e parágrafo único:

“Art. 39 ....................................................................

..................................................................................

IV - Colaborar com a Autorizada de Rede Virtual para a implementação das ações versando sobre segurança pública, conforme deliberações do Grupo Técnico de Segurança Pública do Comitê de Segurança no setor de telecomunicações.

Parágrafo único. A forma como ocorrerá a colaboração a que se refere o inciso IV deverá constar do Contrato de Compartilhamento de Uso de Rede celebrado entre a Prestadora de Origem e a Autorizada de Rede Virtual.(NR)”

Art. 7º O art. 47 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso XI:

“Art. 47 ....................................................................

..................................................................................

XI - formas de colaboração entre a Prestadora Origem e a Autorizada de Rede Virtual para a implementação das ações versando sobre segurança pública, nos termos do inciso IV do art. 39. (NR)”

Art. 8º O art. 1º do Anexo I do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso XVIII:

“Art. 1º..................................................................................

..................................................................................

XVIII - formas de colaboração entre a Prestadora Origem e o Credenciado de Rede Virtual para a implementação das ações versando sobre segurança pública, nos termos do inciso X do art. 17.(NR)”

Apontou-se, no Informe nº 120/2018/SEI/PRRE/SPR (SEI nº 3296749), a necessidade de se enfatizar a separação das atribuições entre os regulamentos técnicos que tratam da segurança física e da segurança lógica das redes de telecomunicações. Explicou-se ainda a opção pela terminologia "Segurança Cibernética", mais abrangente, em detrimento de "Segurança da Informação", mais restrita. Concorda-se, assim, com proposta de revogação do art.4º, XI, do RGR, aprovado pela Resolução nº 656, de 17 de agosto de 2015:

XI - Segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação, podendo contemplar a autenticidade, responsabilidade e não repúdio."

Conforme já explicado, a introdução do novo “Capítulo IV - Das ações de apoio à segurança pública” no RST tornaria supérfluas certas disposições sobre serviços públicos de emergência, prevenção a fraudes e sigilo, que atualmente figuram em diversos regulamentos específicos. É esse o caso dos arts.23, 24 e 25 do Regulamento do STFC, aprovado pela Resolução nº 426, de 9 de dezembro de 2005, justificando-se, em consequência, sua revogação:

"Art. 23. A prestadora é responsável pela inviolabilidade do sigilo das comunicações em toda a sua rede, exceto nos segmentos instalados nas dependências do imóvel indicado pelo assinante.

Parágrafo Único. A prestadora tem o dever de zelar pelo sigilo inerente ao STFC e pela confidencialidade quanto aos dados e informações, empregando meios e tecnologia que assegurem este direito do usuário.

Art. 24. A prestadora deve tornar disponíveis os recursos tecnológicos e facilidades necessários à suspensão de sigilo de telecomunicações, determinada por autoridade judiciária ou legalmente investida desses poderes, e manter controle permanente de todos os casos, acompanhando a efetivação dessas determinações, e zelando para que elas sejam cumpridas, dentro dos estritos limites autorizados.

§ 1º Os recursos tecnológicos e facilidades de telecomunicações destinados a atender à determinação judicial terão caráter oneroso.

§ 2º A Agência deve estabelecer as condições técnicas específicas para disponibilidade e uso dos recursos tecnológicos e demais facilidades referidas neste artigo, observadas as disposições constitucionais e legais que regem a matéria.

Art. 25. Não constitui quebra de sigilo a identificação, pelo assinante chamado, do assinante que origina a chamada, quando este não opõe restrição à sua identificação.

§ 1º A prestadora deve oferecer, observadas as condições técnicas, a facilidade de restrição de identificação do código de acesso do assinante que originar a chamada, quando solicitado.

§ 2º A prestadora deve oferecer ao assinante, observadas as condições técnicas e quando solicitado, a facilidade de bloqueio de chamada a ele dirigida que não trouxer a identificação do código de acesso do assinante que originou a chamada.

§ 3º A restrição prevista no caput não atinge as ligações destinadas aos serviços públicos de emergência, aos quais deve ser permitida a identificação do código de acesso do usuário que originar a chamada."

Por essa mesma razão (acréscimo do Capítulo IV, no RST), recomenda-se revogar, no Regulamento do SMP, aprovado pela Resolução nº 477, de 7 de agosto de 2007, os arts. 19, 77, 89, 90 e 91, transcritos a seguir:

§ 3º A prestadora deve, após solicitação dos responsáveis pelos serviços públicos de emergência, encaminhar, respeitadas as limitações tecnológicas, as mensagens de texto de seus Usuários destinadas ao respectivo serviço público de emergência. (Redação dada pela Resolução nº 627, de 28 de novembro de 2013)

§ 4º A Prestadora de SMP deve disponibilizar, aos responsáveis pelos serviços públicos de emergência, o acesso à informação sobre a localização das Estações Móveis originadoras das chamadas ou das mensagens de texto destinadas ao respectivo serviço público de emergência. (Redação dada pela Resolução nº 627, de 28 de novembro de 2013)

§ 5º Os aspectos técnicos e operacionais relacionados aos §§ 3º e 4º serão propostos e revistos periodicamente por Grupo de Trabalho, sob a coordenação da Agência, com participação dos prestadores de SMP e dos responsáveis pelos serviços públicos de emergência que manifestarem interesse, cabendo à Anatel aprovar tais aspectos por meio de Ato do Superintendente responsável. (Redação dada pela Resolução nº 627, de 28 de novembro de 2013)

§ 6º Entre os aspectos técnicos e operacionais a que se refere o parágrafo anterior, poderão constar, entre outros, cronograma de implementação, topologia de rede, formas de conexão, requisitos mínimos de qualidade, parâmetros de localização da Estação Móvel do Usuário originador da chamada ou da mensagem e granularidade dos locais de entrega. (Redação dada pela Resolução nº 627, de 28 de novembro de 2013)

"Art. 77. As prestadoras devem dispor de meios para identificar a existência de fraudes na prestação do SMP, em especial aquelas consistentes na utilização de Estação Móvel sem a regular Ativação utilizando Código de Acesso associado a outra Estação Móvel.

Parágrafo Único. A prestadora deve participar, juntamente com as demais prestadoras de serviços de telecomunicações de interesse coletivo, de um sistema de prevenção de fraudes, partilhando os custos e benefícios advindos dessa prevenção."

"Art. 89. A prestadora é responsável pela inviolabilidade do sigilo das comunicações em toda a sua rede, bem como pela confidencialidade dos dados e informações, empregando meios e tecnologia que assegurem este direito dos Usuários.

Parágrafo único. As prestadoras devem utilizar todos os recursos tecnológicos para assegurar a inviolabilidade do sigilo das comunicações nos enlaces radioelétricos entre a Estação Rádio Base e a Estação Móvel."

Art. 90. A prestadora deve tornar disponíveis os recursos tecnológicos e facilidades necessários à suspensão de sigilo de telecomunicações determinada por autoridade judiciária ou legalmente investida desses poderes, e deve manter controle permanente de todos os casos, acompanhando a efetivação dessas determinações, e zelando para que elas sejam cumpridas, dentro dos estritos limites autorizados.

§ 1º Os equipamentos e programas necessários à suspensão do sigilo devem integrar a plataforma da Prestadora de SMP, que deve arcar com os respectivos custos.

§ 2º Os custos operacionais relacionados à cada suspensão de sigilo poderão ter caráter oneroso.

Art. 91. Não constitui quebra de sigilo a identificação, pelo Usuário chamado, do Usuário originador da chamada, quando este não opuser restrição à sua identificação.

§ 1º A restrição prevista no caput não atinge as ligações destinadas aos Serviços Públicos de Emergência, aos quais deve ser sempre permitida a identificação do Código de Acesso do Usuário originador da chamada.

§ 2º A prestadora poderá oferecer ao Usuário a facilidade de bloqueio das chamadas a ele dirigidas que não trouxerem a identificação do Código de Acesso chamador."

Em vista das provisões mais abrangentes sobre sigilo em serviços de telecomunicações introduzidas no novo Capítulo IV, do RST, pode-se revogar os arts.52, 59, 60 e 61 do Regulamento do SCM, aprovado pela Resolução nº 614, de 28 de maio de 2013.

"Art. 52. A Prestadora deve zelar pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade dos dados, inclusive registros de conexão, e informações do Assinante, empregando todos os meios e tecnologia necessários para tanto.

Parágrafo único. A Prestadora deve tornar disponíveis os dados referentes à suspensão de sigilo de telecomunicações às autoridades que, na forma da lei, tenham competência para requisitar essas informações.

Art. 59. As Prestadoras de SCM devem, nos termos do Regulamento dos Serviços de Telecomunicações, atender com prioridade o Presidente da República, seus representantes protocolares, sua comitiva e pessoal de apoio, bem como os Chefes de Estado estrangeiros, quando em visitas ou deslocamentos oficiais pelo território brasileiro, tornando disponíveis os meios necessários para a adequada comunicação dessas autoridades.

Art. 60. É dever das Prestadoras de SCM, após entrada em operação e atribuída numeração, assegurar o acesso gratuito dos seus Assinantes aos serviços de emergência, na forma da regulamentação.

Art. 61. É dever das Prestadoras de SCM colocar à disposição das autoridades e dos agentes da defesa civil, nos casos de calamidade pública, todos os meios, sistemas e disponibilidades que lhe forem solicitados com vista a dar-lhes suporte ou a amparar as populações atingidas, na forma da regulamentação."

Finalmente, as provisões introduzidas nos arts. 65-A, 65-C e 65-D do novo Capítulo IV são mais abrangentes que as disposições dos arts.26 e 32 existentes no RST:

Art. 26. A Prestadora observará o dever de zelar estritamente pelo sigilo inerente aos serviços de telecomunicações e pela confidencialidade quanto aos dados e informações, empregando todos os meios e tecnologia necessárias para assegurar este direito dos usuários.

Parágrafo único. A Prestadora tornará disponíveis os recursos tecnológicos necessários à suspensão de sigilo de telecomunicações determinada por autoridade judiciária ou legalmente investida desses poderes e manterá controle permanente de todos os casos, acompanhando a efetivação destas determinações e zelando para que elas sejam cumpridas dentro dos estritos limites autorizados.

Art. 32. É dever das prestadoras de serviços de telecomunicações assegurar o acesso gratuito dos seus usuários aos serviços de emergência, na forma da regulamentação

Em consequência, propõe-se revogar dispositivos obsoletos do RGR, do RST e dos Regulamentos do STFC, SMP e SCM nos termos do seguinte art. 9º da Minuta de Resolução:

I - o inciso XI do art. 4º do Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública, aprovado pela Resolução nº 656, de 17 de agosto de 2015.

II – o art. 23, art. 24 e art. 25 do Regulamento do Serviço Telefônico Fixo Comutado – STFC, aprovado pela Resolução nº 426, de 9 de dezembro de 2005;

III – o art. 19, art. 77, art. 89, art. 90 e art. 91 do Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477, de 7 de agosto de 2007;

IV – o art. 52, o art. 59, o art. 60 e o art. 61 do Regulamento do Serviço de Comunicação Multimídia, aprovado pela Resolução nº 614, de 28 de maio de 2013; e

V – o art. 26 e o art. 32 do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998."

Em virtude da separação das atribuições entre grupos técnicos que tratam da segurança física e da segurança lógica das redes de telecomunicações, concorda-se em suprimir "e à segurança da informação" no art.5º, §1º, do RGR, em coerência com a revogação do art.4º, XI, desse mesmo Regulamento, conforme já discutido:

Art. 10. O §1º do art. 5º do Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública, aprovado pela Resolução nº 656, de 17 de agosto de 2015, passa a vigorar com a seguinte redação:

§1º Os riscos citados no caput são aqueles relacionados à segurança física das Infraestruturas Críticas de Telecomunicações que possam prejudicar a prestação de um serviço de telecomunicações. (NR)

V - Do Anexo I - Regimento Interno do Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS)

Na AIR relativa a ações de apoio à segurança pública pelo setor de telecomunicações (SEI nº 2843562), em vista da dificuldade em mobilizar as instituições envolvidas, recomendou-se atribuir a um Comitê específico as discussões e deliberações acerca do tema. Considerando-se os Comitês já existentes na Agência e suas atribuições, entendeu-se adequado que tal Comitê fosse o C-INI.

De maneira similar, sugeriu-se, na AIR relativa segurança das redes de telecomunicações (SEI nº 2843567), abordar os temas de governança da segurança cibernética no seio de um Comitê presidido por um Conselheiro da Anatel, no qual estariam inseridos 3 (três) grupos técnicos: um referente à segurança pública, outro referente à segurança cibernética e o terceiro referente ao GGRR (segurança física das redes). Com esse fim, propôs-se atualizar o Regimento Interno do C-INI, ajustando seu nome para explicitar sua competência sobre aspectos de segurança.

O título e o art.1º do atual Regimento Interno do C-INI, anexo à Resolução nº 53, de 14 de setembro de 1998, tem o seguinte teor:

Art. 1º Este Regimento dispõe sobre os objetivos, a forma de atuação e as atividades do Comitê sobre Infra-estrutura Nacional de Informações (C-INI)."

Conforme explicado nos itens 5.16 a 5.18, sugeriu-se alterar o título do C-INI para Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS). Dessa forma, propõe-se a seguinte redação para o título, o Capítulo I e o art. 1º do Regimento Interno:

REGIMENTO INTERNO DO COMITÊ SOBRE INFRAESTRUTURA NACIONAL DE TELECOMUNICAÇÕES E SEGURANÇA

Art. 1º Este Regimento dispõe sobre a organização e o funcionamento do Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS).

"Art. 2º O Comitê sobre Infra-estrutura Nacional de Informações tem como objetivo formular ao Conselho Diretor da Anatel proposições e recomendações relacionadas ao setor de telecomunicações que contribuam para o desenvolvimento e o uso da Infra-estrutura Nacional de Informações."

Art. 2º O C-INIS possui caráter permanente e tem como objetivo subsidiar o Conselho Diretor no exercício de suas competências legais na tomada de decisões que contribuam para o desenvolvimento e o uso da infraestrutura nacional de informações, bem como para o uso dos serviços de telecomunicações para as atividades de segurança pública e de segurança das redes de telecomunicações, incluindo aspectos de segurança cibernética e segurança das infraestruturas."

Considerando a redação já proposta no item 5.18, este Relator sugere revisar apenas a parte final do texto, relativa ao art.2º:

Art. 2º O C-INTS possui caráter permanente e tem como objetivo subsidiar o Conselho Diretor no exercício de suas competências legais na tomada de decisões que contribuam para o desenvolvimento e o uso da infraestrutura nacional de telecomunicações, bem como nos seguintes temas relacionados com segurança:

I - uso dos serviços de telecomunicações para atividades de segurança pública;

II - segurança cibernética, aplicada às prestadoras de serviços de telecomunicações; e

"Art. 3º Prioritariamente o C-INI deve abordar aspectos relativos aos temas de educação, saúde, serviços de governo, comércio eletrônico, novas tecnologias e os construtores da INI."

Concorda-se com a nova redação proposta pela área técnica, trocando-se "informações" por "telecomunicações":

I - abordar aspectos relativos aos temas de educação, saúde, serviços de governo, comércio eletrônico e novas tecnologias na construção da infraestrutura nacional de telecomunicações;

II - interagir com entidades envolvidas na construção da infraestrutura nacional de telecomunicações e com responsáveis por iniciativas relacionadas ao seu desenvolvimento, identificando barreiras que estejam impedindo ou dificultando este processo no País;

III – acompanhar o surgimento de novas tecnologias para avaliar seu impacto nos aspectos de convergência, competição e universalização de serviços de telecomunicações;

IV - gerar contribuições para a participação da Anatel em fóruns nacionais e internacionais relacionados com o desenvolvimento da infraestrutura de telecomunicações;

V - promover e divulgar a infraestrutura nacional de telecomunicações, ampliando o universo de discussão dos temas abordados;

VI - propor à Anatel aprimoramentos à regulamentação e decisões administrativas de âmbito setorial;

VII – acompanhar os trabalhos desempenhados no âmbito dos Grupos Técnicos;

VIII – propor à Anatel ações relativas à segurança cibernética, segurança de redes e suporte à segurança pública;

IX - debater as demandas referentes à segurança cibernética, segurança das redes e suporte à segurança pública oriundas de entidades externas, elaborando propostas e as encaminhando para decisão da Anatel;

X - elaborar estudos e propor medidas de aprimoramento da segurança cibernética, segurança das redes e suporte à segurança pública na prestação de serviços pelas prestadoras, encaminhando-as para decisão da Anatel;

XI – interagir com as Comissões Brasileiras de Comunicações (CBCs) para construção e defesa dos posicionamentos brasileiros nos órgãos regionais e internacionais de telecomunicações nos temas referentes a segurança cibernética, de redes e suporte à segurança pública na prestação de serviços pelas prestadoras; e

XII – recomendar, em matérias de alta especialização e em assuntos que demandem pesquisas, levantamentos e estudos, a contratação de técnicos, empresas especializadas ou consultores independentes.

Concorda-se, igualmente, com a inclusão de um novo art.4º no novo Regimento Interno, tal como proposto pela Área Técnica:

Art. 4º Os estudos e proposições do C-INIS deverão ter como elemento norteador o uso sustentável das redes de telecomunicações, tendo como premissa o fomento a um ambiente atrativo, competitivo, seguro e estável, respeitados os princípios da soberania nacional, da prevalência dos direitos dos consumidores e da livre iniciativa.

A composição e as atribuições no C-INI estão definidas no atual Regimento Interno da seguinte forma:

"Art. 8º O C-INI é estruturado com um Núcleo de Coordenação, formado por representantes da Anatel e por representantes externos, grupos de colaboradores e uma Equipe de Suporte.

I - O Núcleo de Coordenação terá em sua composição os ocupantes das seguintes funções na Anatel:

II - O Núcleo de Coordenação terá também em sua composição especialistas em telecomunicações com trânsito nos vários segmentos da sociedade e reconhecido envolvimento com as questões ligadas ao desenvolvimento da INI.

III - Colaborarão com o C-INI entidades responsáveis por iniciativas relacionadas com o tema, pesquisadores e especialistas em novas tecnologias.

IV - As atividades de apoio ao C-INI serão executadas por uma Equipe de Suporte composta por servidores da Anatel designados pelo Conselheiro Coordenador.

II - designar os membros do Núcleo de Coordenação que serão os mobilizadores para cada tema abordado;

IV - solicitar contribuições de entidades e pessoas nacionais e estrangeiras;

V - encaminhar ao Conselho Diretor da Anatel as propostas elaboradas pelo Comitê;

VI - apresentar, periodicamente, ao Conselho Diretor da Anatel relatórios de progresso dos trabalhos do Comitê;

VIII - definir a realização de palestras, seminários e workshops, visando aprofundar e ampliar as discussões sobre temas ligados à INI;

X - propor ao Conselho Diretor da Anatel a contratação de técnicos ou empresas especializadas, inclusive consultores independentes para realização de trabalhos específicos definidos no âmbito do Comitê;

XI - aprovar a realização de despesas para custeio das atividades do Comitê.

I - contribuir, dentro da sua especialidade ou área de atuação com idéias e propostas para o desenvolvimento da INI no Brasil;

II - identificar colaboradores responsáveis por iniciativas e aplicações ou especialistas que possam contribuir com idéias e propostas para o desenvolvimento da INI nos temas considerados prioritários;

III - compilar e analisar as contribuições apresentadas selecionando para apresentação ao Conselho Diretor aquelas consideradas pertinentes;

IV - colaborar com o Conselheiro Coordenador nas atividades de coordenação do Comitê.

I - compilar dados e realizar pesquisas para subsidiar os trabalhos do Comitê;

II - formatar as propostas definidas pelo Comitê para encaminhamento ao Conselho Diretor pelo Conselheiro Coordenador;

IV - auxiliar na preparação dos relatórios de progresso das atividades do Comitê;

V - assessorar a Coordenação do Comitê no planejamento e realização de reuniões, palestras, seminários, workshops e outros eventos definidos pelo Comitê;

VI - assessorar o Coordenador do Comitê no planejamento e execução das atividades do C-INI.

Com relação à composição do comitê, este Relator reputa adequada a proposta da Área Técnica nos seguintes arts.5º e 6º:

II – Representantes convidados de instituições públicas relacionadas à segurança pública e à segurança cibernética;

III – Representantes convidados das prestadoras de serviços de telecomunicações ou de suas entidades representativas; e

IV - Representantes convidados da sociedade civil e especialistas em segurança pública ou segurança cibernética.

§1º Os papéis de Presidente e Secretário do Comitê serão desempenhados, respectivamente, pelo Conselheiro da Anatel e pelo Chefe da Assessoria Técnica.

§2º A critério do Presidente do C-INTS, poderão ser convidados a participar das discussões outros representantes que contribuam com seu conhecimento e experiência para o desenvolvimento das atividades.

Art. 6º Compõem a estrutura do C-INTS, com a finalidade de assessorá-lo no exercício de suas atividades, os seguintes Grupos Técnicos de apoio:

III – Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações (GGRR), conforme estabelecido no Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública.

§1º Todos os Grupos Técnicos do C-INTS serão coordenados por Superintendentes da Anatel, designados pelo Presidente do C-INTS, e terão participação de membros externos convidados conforme o tema em discussão.

§2º Os Grupos Técnicos não terão caráter decisório, devendo encaminhar suas propostas para decisão da Anatel por intermédio do C-INTS.

§3º Os aspectos técnicos ou operacionais discutidos nos Grupos Técnicos poderão ser decididos pelo Superintendente coordenador do respectivo Grupo.

§4º Os Grupos Técnicos poderão ser organizados em subestruturas, a ser definidas pelo respectivo coordenador, de acordo com a conveniência e temática dos trabalhos.

§5º Outros Grupos Técnicos de apoio poderão ser criados por decisão do Presidente do C-INTS para a realização de atividades complementares ou atendimento de novas demandas, caso se mostrem necessários.

Com relação às competências dos 3 (três) grupos técnicos de apoio ao C-INTS, este Relator entende adequada a redação proposta pela Área Técnica para nos seguintes arts.7º, 8º e 9º:

Art. 7º. Ao Grupo Técnico de Suporte à Segurança Pública (GT-Seg), compete:

II – acompanhar a implantação de políticas relacionadas à segurança pública;

III – discutir, avaliar e recomendar ao C-INTS a internalização de padrões, melhores práticas, ações e iniciativas em matéria de segurança pública e combate a fraude de fóruns regionais e internacionais de telecomunicações, em colaboração com as CBCs;

V – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Agência;

VI – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação na Agência;

VII – acompanhar as ações de combate a fraude nos serviços de telecomunicações afetas à segurança publica; e

II - acompanhar a implantação da política de segurança cibernética pelas prestadoras;

III – discutir, avaliar e recomendar ao C-INTS a internalização de padrões, melhores práticas, ações e iniciativas em matéria de segurança cibernética de fóruns regionais e internacionais de telecomunicações, em colaboração com as CBCs;

V – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Agência;

VI – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação e relações com consumidores na Agência; e

Art. 9º. Ao Grupo de Gestão de Riscos e Acompanhamento do Desempenho das Redes de Telecomunicações (GGRR) compete:

II - exercer as atribuições estabelecidas no Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública e em seu Regimento Interno, respeitadas as disposições constantes nos §§3º e 4º do artigo 6º deste Regimento.

"Art. 12. O Núcleo de Coordenação do C-INI realizará reuniões periódicas com objetivo de definir a estratégia de abordagem dos temas prioritários e identificar os colaboradores, entidades ou pessoas que possam contribuir com sugestões e idéias. Estes colaboradores poderão apresentar suas contribuições participando de reuniões do C-INI ou através de remessa de material a ser analisado e compilado pela Equipe de Suporte e pelo Núcleo de Coordenação.

Art. 13. A partir das contribuições apresentadas o Núcleo de Coordenação e a Equipe de Suporte elaborarão propostas de ação e recomendações para encaminhamento ao Conselho Diretor da Anatel.

Art. 14. Visando ampliar a participação da sociedade nos debates sobre o desenvolvimento e o uso da infra-estrutura nacional de informações deverão ser realizadas palestras, seminários, workshops e outros eventos.

Art. 15. Em assuntos que demandem pesquisas, levantamentos e estudos, e em matérias de alta especialização, o Comitê recomendará a contratação de técnicos ou empresas especializadas, inclusive consultores independentes."

Propõe-se adotar as seguintes disposições relativas ao funcionamento do C-INTS:

Art. 10. O C-INTS reunir-se-á semestralmente e, em caráter extraordinário, quando necessário.

Art. 11. As reuniões ordinárias e extraordinárias serão realizadas em Brasília - DF, podendo o Presidente do Comitê, motivadamente, determinar a realização de reuniões em outros locais.

Art. 12. As reuniões poderão contar com a participação de convidados e especialistas para apresentação e discussão de temas específicos, observada a disponibilidade orçamentária da Anatel.

Art. 13. As atas das reuniões do Comitê serão publicadas no sítio da Agência na internet.

Concorda-se com as disposições propostas pela Área Técnica relativas às atribuições dos participantes do C-INTS:

III - convidar outros participantes que contribuam para a condução dos trabalhos;

IV - dirigir os trabalhos, presidindo as reuniões, propondo as matérias a serem debatidas e encaminhando ao Conselho Diretor as propostas a elas relativas;

V - definir a realização de palestras, seminários e workshops, visando a aprofundar e a ampliar as discussões; e

VI - encaminhar, quando necessário, estudos e recomendações para apreciação da Anatel.

II - preparar e fornecer as matérias de sua responsabilidade nos prazos estipulados; e

III - exercer outras atribuições que lhes forem conferidas por decisão do Comitê.

I - organizar a pauta das reuniões, de acordo com as matérias a serem tratadas;

II - dar conhecimento aos membros efetivos das matérias constantes da pauta de cada reunião, com antecedência mínima de 7 (sete) dias úteis, a qual deverá constar no portal da Anatel para conhecimento da sociedade;

III - secretariar os trabalhos, redigir as atas de reunião e providenciar sua distribuição;

V - manter os membros efetivos e participantes permanentes do Comitê informados sobre a situação das diretrizes adotadas no âmbito do Comitê; e

VI - administrar o Portal do C-INTS no sítio da Anatel, executando as atividades necessárias a seu pleno funcionamento.

VI - Anexo II - Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações

O combate a ameaças cibernéticas implica o trabalho conjunto de múltiplos atores públicos e privados, tanto em âmbito nacional quanto global. Ainda que o papel do regulador de telecomunicações possa ser distinto em cada país, observa-se sua crescente importância, tal como ilustram os exemplos a seguir.

Na União Europeia, o art.8º, 3, "f" da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de Março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrônicas (Diretiva-Quadro)^[7], atribui aos reguladores a responsabilidade pela integridade e a segurança:

3. As autoridades reguladoras nacionais devem contribuir para o desenvolvimento do mercado interno, nomeadamente:

f) Assegurando que seja mantida a integridade e a segurança das redes de comunicações públicas."

Com o pacote de telecomunicações de 2009, acresceu-se^[8] a Diretiva-Quadro novo "Capítulo III-A: Segurança e Integridade de Redes e Serviços", integrado pelos arts.13º-A e 13º-B:

1. Os Estados-Membros devem assegurar que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrônicas acessíveis ao público tomem medidas técnicas e organizacionais apropriadas para gerir adequadamente os riscos para a segurança das redes e serviços. Tendo em conta o estado da técnica, essas medidas devem assegurar um nível de segurança adequado ao risco existente. Em particular, devem ser tomadas medidas para impedir e minimizar o impacto dos incidentes de segurança nos utilizadores e nas redes interconectadas.

2. Os Estados-Membros devem assegurar que as empresas que oferecem redes de comunicações públicas tomem todas as medidas adequadas para garantir a integridade das suas redes, assegurando assim a continuidade do fornecimento dos serviços que utilizam essas redes.

3. Os Estados-Membros devem assegurar que as empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrônicas acessíveis ao público notifiquem a autoridade reguladora nacional competente de qualquer violação da segurança ou perda da integridade que tenha tido um impacto significativo no funcionamento das redes ou serviços. Sempre que adequado, a autoridade nacional competente em questão deve informar as autoridades reguladoras nacionais competentes dos outros Estados-Membros e a Agência Europeia para a Segurança das Redes e da Informação (ENISA). A autoridade reguladora nacional em questão pode informar o público ou exigir que as empresas o façam, sempre que determine que a revelação da violação é do interesse público. Uma vez por ano, a autoridade reguladora nacional em questão deve apresentar à Comissão e à ENISA um relatório resumido sobre as comunicações recebidas e as medidas tomadas nos termos do presente número.

1. Os Estados-Membros devem assegurar que, tendo em vista a aplicação do artigo 13º-A, as autoridades reguladoras nacionais competentes tenham poderes para emitir instruções vinculativas, incluindo a respeito de prazos de execução, destinadas às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrônicas acessíveis ao público.

2. Os Estados-Membros devem assegurar que as autoridades reguladoras nacionais competentes tenham poderes para exigir às empresas que oferecem redes de comunicações públicas ou serviços de comunicações eletrônicas acessíveis ao público que: a) Prestem as informações necessárias para avaliar a segurança e/ou integridade dos seus serviços e redes, incluindo documentação em matéria de política de segurança; e b) Se submetam a uma auditoria à segurança efetuada por um organismo qualificado independente ou por uma autoridade nacional competente e disponibilizem os seus resultados à autoridade reguladora nacional. O custo da auditoria é suportado pela empresa.

3. Os Estados-Membros devem assegurar que as autoridades reguladoras nacionais tenham todas as competências necessárias para investigar os casos de incumprimento e os seus efeitos sobre a segurança e a integridade das redes.

Os artigos reproduzidos acima reforçam o papel das Autoridades Reguladoras Nacionais (ARN) e da Agência Europeia para a Segurança das Redes e da Informação (ENISA) em aspectos relacionados com a segurança cibernética. Por exemplo, determina-se às operadoras reguladas notificar quaisquer violações da segurança ou perdas da integridade, bem como adotar medidas para impedir e minimizar o impacto dos incidentes de segurança nos usuários e nas redes interconectadas.

Nos Estados Unidos da América (EUA), é parte da estrutura do regulador Federal Communications Commission (FCC) a Cybersecurity and Communications Reliability Division (CCR)^[9]. Essa divisão trabalha com a indústria de telecomunicações e outros atores para promover a segurança cibernética e a confiabilidade das infraestruturas de telecomunicações. Teve atuação relevante na elaboração do Plano Nacional de Banda Larga (PNBL) dos EUA, em aspectos de segurança cibernética e proteção da infraestrutura crítica daquelas redes.

Em 2014, o NIST Cybersecurity Framework forneceu uma estrutura de políticas de orientação de segurança de computadores sobre como as organizações do setor privado nos Estados Unidos podem avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos

Em 2013, por meio da Ordem Executiva 13636^[10], o governo dos EUA tomou medidas para aprimorar a segurança cibernética das infraestruturas críticas do país. Entre tais medidas, encarregou-se ao National Institute for Standards and Technology (NIST) desenvolver o Cybersecurity Framework, um arcabouço com diretrizes, de adoção voluntária por organizações do setor privado, para avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. Com base em tal arcabouço genérico, a FCC liderou a adaptação da gestão de riscos e melhores práticas de segurança cibernética à indústria das telecomunicações, nos segmentos de: (i) radiodifusão; (ii) TV a cabo; (iii) satélite; (iv) serviços móveis; e (v) serviços fixos.

Uma preocupação particular da FCC é com o número crescente de dispositivos do usuário conectados às redes de telecomunicações^[11], os quais criam desafios particulares à segurança cibernética. As regras da FCC incluem obrigações aos provedores de acesso à Internet (ISP) de tomar medidas para proteger suas redes de dispositivos interconectados potencialmente perigosos. Essas regras deixam claro que as operadoras não têm apenas autonomia, mas também a responsabilidade de proteger seus usuários de danos. Recomenda-se um "gerenciamento de redes razoável", que deve incluir práticas que assegurem a segurança e a integridade das redes, evitando-se, por exemplo, transportar tráfego danoso, tal como ocorre em ataques de negação de serviço (DoS).

Na República da Coreia, o regulador Korea Communication Commission (KCC) trata da segurança cibernética no setor privado das telecomunicações^[12], o qual está particularmente sujeito a ataques provenientes de seu vizinho do norte. Para os provedores de acesso à Internet (ISP) em particular, em colaboração com a Korea Internet and Security Agency (KISA), a KCC impõe obrigações muito rígidas. Entre tais obrigações está monitorar o nível de segurança dos computadores e outros dispositivos utilizados por seus clientes, residenciais ou corporativos^[13]. O acesso à Internet pode ser limitado ou suspenso, caso um nível mínimo de segurança não possa ser alcançado. Os clientes são orientados corrigir, a atualizar ou a substituir o software de seus dispositivos. A KCC, em colaboração com outras autoridades, pode igualmente forçar empresas de software a corrigir vulnerabilidades identificadas em seus aplicativos.

No Brasil, o Decreto nº 9.319, de 21 de março de 2018, instituiu o Sistema Nacional para a Transformação Digital e estabeleceu a estrutura de governança para a implantação da Estratégia Brasileira para a Transformação Digital (E-Digital):

c) confiança no ambiente digital: objetiva assegurar que o ambiente digital seja seguro, confiável, propício aos serviços e ao consumo, com respeito aos direitos dos cidadãos;"

No Anexo I desse mesmo decreto, no eixo "Confiança no ambiente digital", destaca-se o objetivo de "fortalecer a segurança cibernética no País, com estabelecimento de mecanismos de cooperação entre entes governamentais, entes federados e setor privado, com vistas à adoção de melhores práticas, coordenação de resposta a incidentes e proteção da infraestrutura crítica". (grifou-se)

Dessa forma, é conveniente e oportuna a edição de um Regulamento de segurança cibernética aplicada ao setor de telecomunicações. Além do volume crescente de dados transportados, as próprias redes de telecomunicações tendem a ser, cada vez mais, baseadas em software. Generaliza-se a chamada "network softwarization", com o uso de tecnologias de virtualização de funções (Network Functional Virtualization - NFV), as redes definidas por software (Software Defined Networking - SDN), a segmentação de redes (network slicing) e os paradigmas de computação em nuvem estendidos às camadas de agregação e acesso (Multi Access Edge Computing - MEC). A isso se somam os riscos oriundos das redes domésticas e dos dispositivos dos usuários, cada vez mais sofisticados.

Concorda-se com a parte introdutória do Anexo II proposto pela Área Técnica, trocando-se apenas "redes" por "redes e serviços", considerando que o Regulamento, uma vez publicado, será aplicável a todo o setor de telecomunicações:

REGULAMENTO DE SEGURANÇA CIBERNÉTICA APLICADA AO SETOR DE TELECOMUNICAÇÕES

Art. 1º Este Regulamento tem por objetivo estabelecer procedimentos e condutas para a promoção da Segurança Cibernética nas redes e serviços de telecomunicações.

São múltiplas as definições de segurança cibernética adotadas no Brasil e no mundo. Para fins do presente Regulamento, no entanto, parece adequada a definição proposta no art.2º, extraída da Recomendação X.1205 da UIT-T^[14]:

Art. 2º Para fins deste Regulamento, Segurança Cibernética é o conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos, ações de treinamento, melhores práticas, garantias e tecnologias que podem ser usados para proteger o ambiente cibernético e ativos de usuários e de organizações.

Nos princípios propostos pela Área Técnica, sugere-se apenas adicionar: (i) "e serviços", no inciso III; e "a resposta", no inciso IV":

I – a adoção de boas práticas e normas internacionais referentes à segurança cibernética;

II – a disseminação da cultura de segurança cibernética na sociedade e nos entes regulados;

III – a utilização segura e sustentável das redes e serviços de telecomunicações;

IV – a prevenção, a resposta e o tratamento de incidentes de segurança cibernética;

V – a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;

VI – o direito à privacidade do usuário dos serviços de telecomunicações em relação aos seus dados pessoais; e

VII – incentivo à adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

Na AIR relativa à segurança das redes telecomunicações (SEI nº 2843567), recomendou-se a edição de regulamento específico pela Agência, no qual se delegaria às operadoras de telecomunicações a instituição da política de segurança cibernética especificada. Dessa forma, concorda-se com a proposta de art.4º abaixo transcrita:

Art. 4º As prestadoras de serviços de telecomunicações devem elaborar, implementar e manter política de segurança cibernética com base nos princípios estabelecidos no art. 3º e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados em suas redes.

§ 1º As prestadoras devem publicar em sua página na Internet, com linguagem compreensível, as diretrizes e princípios de sua política de segurança cibernética.

§ 2º A Política de Segurança Cibernética de que trata o caput deve ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da prestadora.

É razoável exigir que os princípios aqui apresentados sejam observados por todas as prestadoras de serviços de telecomunicações. Considerando-se, porém, as dificuldades técnicas e os custos envolvidos na instituição de tal política de segurança, é adequado limitar sua exigência a prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de pequeno porte. Naturalmente, cabe a ressalva de que, com a devida motivação, este Conselho Diretor poderá incluir ou dispensar da incidência das disposições deste Regulamento:

Art. 5º Os princípios estabelecidos no art. 3º devem ser observados por todas as prestadoras de serviços de telecomunicações de interesse coletivo ou restrito, independentemente do porte.

§ 1º As demais disposições deste Regulamento aplicam-se às prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, nos termos da regulamentação.

§ 2º O Conselho Diretor, por meio de Ato devidamente motivado, poderá incluir ou dispensar da incidência das disposições deste Regulamento as prestadoras de serviços de telecomunicações de interesse restrito ou coletivo, independentemente do porte, bem como empresas detentoras de outorga de direito de exploração de satélite para transporte de sinais de telecomunicações.

Ao delegar às operadoras de telecomunicações a instituição da política de segurança cibernética, é natural responsabilizá-las igualmente pelos custos associados:

Art. 6º As prestadoras são integralmente responsáveis pelos ônus decorrentes da adoção e execução da Política de Segurança Cibernética.

Concorda-se com a lista de requisitos mínimos proposta pela Área Técnica, sugerindo-se alguns aprimoramentos:

II – os procedimentos e controles adotados para reduzir as vulnerabilidades em suas redes de telecomunicações;

III – o registro, a análise da causa e do impacto, bem como a mitigação dos efeitos de incidentes relevantes, conforme definição da Anatel;

IV – procedimentos para a disseminação da cultura de segurança cibernética e capacitação dentro da empresa;

V – procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes;

VI – o plano de resposta a incidentes, definindo ações, recursos e responsabilidades;

VII – procedimentos relativos ao armazenamento seguro dos dados pessoais de seus clientes, nos termos da legislação vigente;

VIII – plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de segurança cibernética;

IX - a estrutura da equipe responsável pela política, contendo a identificação dos responsáveis ou área competente, destacando o ponto focal de contato na empresa para situações de urgência;

X - a identificação e análise das vulnerabilidades, das ameaças e dos riscos associados à Segurança Cibernética;

XI - a identificação e, quando for o caso, a adoção de padrões e normas nacionais ou internacionais pertinentes; e

XII - o mapeamento de possíveis riscos de incidentes cibernéticos e de eventos que possam afetar a segurança do armazenamento dos dados pessoais dos usuários.

§ 1º A Política de Segurança Cibernética deve ser aprovada pelo conselho de administração ou o órgão de deliberação colegiado equivalente das prestadoras e atualizada ou revisada com a periodicidade adequada.

§ 2º As prestadoras deverão designar diretor responsável pela política de segurança cibernética, o qual poderá desempenhar outras funções na empresa, desde que não haja conflito de interesses.

§ 3º A Política de Segurança Cibernética deve ser disseminada aos profissionais afetos da prestadora e aos colaboradores terceirizados, em seus diversos níveis, estabelecendo papéis e responsabilidades, resguardando-se o compartilhamento das informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, no que couber.

§ 4º Os documentos relacionados à Política de Segurança Cibernética, bem como os documentos que comprovem sua aprovação, deverão estar disponíveis para a Anatel sempre que solicitados.

§ 5º Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a prestadora responsável por cada função.

§6º As prestadoras devem promover, dentre as ações decorrentes dos procedimentos e controles previstos no inciso II, a alteração da configuração padrão de equipamentos fornecidos, em regime de comodato, a seus clientes.

§7º Devem ser comunicados aos usuários e à Agência, em prazo razoável, quaisquer incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações, incluindo todos aqueles que atinjam a confidencialidade dos dados pessoais dos usuários dos serviços de telecomunicações sob a guarda das prestadoras.

§8º Os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações a que se refere o parágrafo anterior serão definidos pela Anatel, ouvido o Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS).

Conforme o §7º do art.7º, deve-se comunicar aos usuários e à Agência quaisquer incidentes relevantes. As informações sensíveis ao negócio das operadoras e à própria segurança das redes, no entanto, podem ser compartilhadas de forma sigilosa entre os interessados:

Art. 8º O compartilhamento de informações sensíveis sobre incidentes relevantes deve ser realizado de forma sigilosa e não discriminatória, incentivando a participação de todas as prestadoras de serviços de telecomunicações e buscando a coordenação com as demais entidades relevantes.

Conforme recomendações da AIR relativa à segurança das redes telecomunicações (SEI nº 2843567), compete à Agência acompanhar a execução da política de segurança cibernética delegada às operadoras de telecomunicações:

Art. 9º A Anatel promoverá o acompanhamento da política de segurança cibernética, observando as disposições do art. 5º deste Regulamento.

Parágrafo único. Os responsáveis pela política de segurança cibernética junto às prestadoras devem, anualmente ou sempre que solicitados, apresentar à Agência, por meio do Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS), relatório sobre o acompanhamento de execução da política, nos termos do art 7º deste Regulamento.

As ressalvas propostas no art.10 são razoáveis, considerando-se a natureza dinâmica dos riscos à segurança cibernética:

Art. 10. Sem prejuízo da adoção de outras medidas necessárias para o cumprimento do disposto neste Regulamento, a Anatel poderá estabelecer a exigência de requisitos técnicos e ações na operação e manutenção das redes de telecomunicações quanto à segurança cibernética, ouvido o Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança (C-INTS).

A certificação de produtos em aspectos de segurança cibernética tem-se desenvolvido nos últimos anos, com metodologias que permitem alcançar resultados reproduzíveis e comparáveis. Cita-se como exemplo a certificação Common Criteria (CC)^[15], que segue um conjunto de diretrizes e especificações internacionais para a avaliação de produtos de informática com relação a critérios de segurança cibernética:

Art. 11. Aspectos de segurança cibernética poderão ser levados em consideração nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações, nos termos da regulamentação específica.

Finalmente, embora a maioria das operadoras já tenham políticas de segurança cibernética em execução, parece razoável um prazo de 180 (cento e oitenta dias) para que todas possam se preparar para seguir as novas exigências do presente Regulamento:

Art. 12 As prestadoras devem se adequar ao disposto neste Regulamento em até 180 (cento e oitenta) dias de sua entrada em vigor.

Considerando-se o exposto nesta Análise, sugiro a submissão à Consulta Pública, pelo prazo de 30 (trinta) dias, da Resolução que aprova o Regimento Interno do Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança, aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações e dá outras providências, na forma das minutas respectivas (SEI nº 3174317 e nº 3545065).

Voto pela submissão à Consulta Pública, pelo prazo de 30 (trinta) dias, da Resolução que aprova o Regimento Interno do Comitê sobre Infraestrutura Nacional de Telecomunicações e Segurança, aprova o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações e dá outras providências, na forma das minutas respectivas (SEI nº 3174317 e nº 3545065).

ANEXO C - Marcas de revisão relativas à última manifestação da área técnica (SEI nº 3594960).

ANEXO C - Marcas de revisão relativas ao Anexo à Resolução nº 53, de 14 de setembro de 1998 (SEI nº 3594969).

Documento assinado eletronicamente por Otavio Luiz Rodrigues Junior, Conselheiro, em 21/12/2018, às 12:40, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 3470863 e o código CRC 91583B6C.