SEI/ANATEL - 5497305 - Minuta de Resolução

CONSIDERANDO os comentários recebidos em decorrência da Consulta Pública nº 52, de 24 de dezembro de 2018, publicada no Diário Oficial da União do dia 26 de dezembro de 2018;

CONSIDERANDO deliberação tomada em sua Reunião nº xxx, de y de mmmmmmm de aaaa;

Art. 1º Aprovar o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações, na forma do Anexo I a esta Resolução.

Art. 2º Aprovar o Regulamento sobre o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública, na forma do Anexo II a esta Resolução.

Art. 3º O Título II do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998, passa a vigorar acrescido do seguinte Capítulo IV:

Art. 65-A As prestadoras do Serviço Telefônico Fixo Comutado (STFC), do Serviço Móvel Pessoal (SMP) e do Serviço de Comunicação Multimídia (SCM) devem assegurar o acesso gratuito de todos os seus usuários aos Serviços Públicos de Emergência definidos na regulamentação.

§1º Não será devida, às prestadoras envolvidas, remuneração pelo uso das redes ou por qualquer outro recurso necessário ao correto encaminhamento das chamadas e mensagens destinadas aos Serviços Públicos de Emergência.

§2º A gratuidade a que se refere o caput estende-se aos valores associados à condição de usuário visitante do SMP.

Art. 65-B As prestadoras devem priorizar em suas redes, quando tecnicamente possível, as chamadas e mensagens destinadas aos Serviços Públicos de Emergência.

Art. 65-C Havendo viabilidade técnica, quando marcado o código de acesso 112 ou o código de acesso 911, as prestadoras devem redirecionar as chamadas e encaminhá-las ao respectivo Serviço Público de Emergência brasileiro.

Art. 65-D As prestadoras de SMP devem, após solicitação dos provedores de Serviços Públicos de Emergência e respeitadas as limitações tecnológicas, encaminhar as mensagens de texto de seus usuários destinadas ao respectivo Serviço Público de Emergência.

Art. 65-E As prestadoras devem disponibilizar aos provedores dos Serviços Públicos de Emergência, conforme o caso, o acesso à informação sobre a localização das Estações Móveis originadoras das chamadas ou das mensagens de texto ou a localização dos terminais fixos originadores das chamadas destinadas ao respectivo Serviço Público de Emergência, respeitadas as limitações tecnológicas.

Parágrafo único. A solução técnica adotada para o fornecimento da localização prevista neste artigo deve ser utilizada pelas prestadoras para atendimento de demais demandas de localização feitas por autoridades com poder requisitório na Unidade da Federação, salvo caso de inviabilidade técnica.

Art. 65-F Os aspectos técnicos e operacionais relacionados aos arts. 65-D e 65-E serão definidos e revistos periodicamente pelo Grupo de Trabalho previsto no art. 65-N.

§1º É facultada, aos provedores dos Serviços Públicos de Emergência, a participação como convidados no Grupo de Trabalho previsto no art. 65-N, devendo manifestar o seu interesse junto à Anatel.

§2º A Anatel poderá limitar a participação dos provedores de Serviços Públicos por Unidade da Federação, caso avalie que a quantidade de interessados pode prejudicar o andamento das discussões.

Art. 65-G As obrigações desta Seção são exigíveis das prestadoras que possuam recursos de numeração atribuídos.

Art. 65-H As prestadoras devem adotar as medidas técnicas e administrativas necessárias e disponíveis para prevenir e cessar a ocorrência de fraudes relacionadas à prestação do serviço e ao uso das redes de telecomunicações, bem como para reverter ou mitigar os efeitos destas ocorrências.

Parágrafo único. Na implementação de ações coordenadas de combate à fraude, os custos e os benefícios devem ser compartilhados entres as prestadoras participantes, considerando-se o porte da empresa.

Art. 65-I As prestadoras devem zelar pelo sigilo das comunicações e pela confidencialidade dos dados dos usuários de seus serviços, inclusive registros de conexão, nos termos da legislação em vigor.

Parágrafo único. As prestadoras devem utilizar os recursos tecnológicos necessários e disponíveis para assegurar a inviolabilidade do sigilo das comunicações, em especial, no caso do SMP e outros serviços que utilizem radiofrequências na rede de acesso, nos enlaces radioelétricos entre a Estação Rádio Base e a Estação Móvel.

Art. 65-J As prestadoras devem reter a menor quantidade possível de dados de usuários , mantendo-os sob sigilo, em ambiente controlado e de segurança, e excluindo-os:

II - quando encerrado o prazo de guarda determinado por obrigação legal ou regulatória.

Art. 65-K A fim de assegurar a permanente fiscalização e o acompanhamento de obrigações regulatórias e legais, as prestadoras devem manter à disposição da Anatel os dados relativos à prestação do serviço, incluindo, conforme o caso e observada a regulamentação pertinente:

I - documentos de natureza fiscal, dados cadastrais dos assinantes e dados de bilhetagem e das ligações efetuadas e recebidas, bem como data, horário, duração e valor da chamada pelo prazo mínimo de 5 (cinco) anos, nos serviços que permitam a realização de tráfego telefônico;

II - registros de conexão à Internet pelo prazo mínimo de 1 (um) ano nos serviços que permitam a conexão à Internet.

Parágrafo único. Para fins do disposto neste artigo, considera-se registro de conexão à Internet o conjunto de informações referentes à data e hora de início e término de uma conexão à Internet, sua duração e o endereço IP utilizado pelo terminal, assim como as portas lógicas utilizadas quando do compartilhamento de IP público, para o envio e recebimento de pacotes de dados.

Art. 65-L As prestadoras devem tornar disponíveis os recursos tecnológicos, facilidades e dados necessários à suspensão de sigilo de telecomunicações, determinada por autoridade judiciária ou legalmente investida desses poderes, e manter controle permanente de todos os casos, acompanhando a efetivação dessas determinações, e zelando para que elas sejam cumpridas, dentro dos estritos limites autorizados.

§ 1º Os equipamentos e programas necessários à suspensão do sigilo devem integrar a plataforma da prestadora, que deve arcar com os respectivos custos.

§ 2º Os demais custos operacionais relacionados a cada suspensão de sigilo poderão ter caráter oneroso para a autoridade demandante.

§ 3º A Anatel deve estabelecer as condições técnicas específicas para disponibilidade e uso dos recursos tecnológicos e demais facilidades referidas neste artigo, observadas as disposições constitucionais e legais que regem a matéria.

Art. 65-M Não constitui quebra de sigilo a identificação, pelo usuário chamado, do usuário originador da chamada, quando este não opuser restrição à identificação de seu código de acesso.

§ 1º As prestadoras devem oferecer ao usuário, observadas as condições técnicas, a facilidade de restrição de identificação prevista no caput, quando solicitado.

§ 2º A restrição de identificação prevista no caput não atinge as ligações e mensagens destinadas aos Serviços Públicos de Emergência, aos quais deve ser sempre permitida a identificação do código de acesso do usuário originador da chamada ou da mensagem.

§ 3º As prestadoras devem oferecer ao usuário, observadas as condições técnicas e quando solicitado, a facilidade de bloqueio da chamada a ele dirigida que não trouxer a identificação do código de acesso do assinante que a originou.

§ 4º As obrigações deste artigo são exigíveis das prestadoras que possuam recursos de numeração atribuídos.

Art. 65-N. Fica constituído o Grupo Técnico de Suporte à Segurança Pública (GT-Seg), com as seguintes atribuições:

I – auxiliar a Anatel no acompanhamento da implantação de políticas relacionadas à segurança pública;

II - determinar ações e prazos para implementação de regras relativas aos temas de sua competência;

III – discutir, avaliar e recomendar à Anatel a internalização de padrões, melhores práticas, ações e iniciativas em matéria de segurança pública e de combate à fraude oriundas de fóruns regionais e internacionais de telecomunicações, em colaboração com as CBCs;

IV – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Agência;

V – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação na Agência;

VI – auxiliar a Anatel no acompanhamento das ações de combate à fraude nos serviços de telecomunicações afetas à segurança pública; e

VII – desempenhar outras atividades atribuídas pelo Conselho Diretor da Anatel.

§ 1º O GT-Seg será coordenado por Superintendente designado por Portaria do Conselho Diretor da Anatel, e terá participação das prestadoras ou de suas associações.

§ 2º As decisões sobre os assuntos pautados no GT-Seg serão tomadas por consenso entre os representantes ou, não havendo consenso, pelo Superintendente coordenador.

§ 3º Caberá recurso de decisão proferida pelo Superintendente coordenador do GT-Seg ao Conselho Diretor da Anatel, nos termos do Regimento Interno da Agência.

§ 4º O GT-Seg poderá ser organizado em subestruturas, a serem definidas pelo respectivo Superintendente coordenador, de acordo com a conveniência e temática dos trabalhos.

§ 5º Será possível a participação de membros externos convidados, conforme o tema em discussão, sem poderes para deliberação.

§ 6º A Anatel dará ampla divulgação da agenda de reuniões e das discussões do GT-Seg. (NR)"

Art. 4º O art. 17 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso XII:

XII - Colaborar com o Credenciado de Rede Virtual para a implementação das ações versando sobre segurança pública, conforme deliberações do Grupo Técnico de Suporte à Segurança Pública. (NR)”

Art. 5º O art. 39 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso IV:

..................................................................................

IV - Colaborar com a Autorizada de Rede Virtual para a implementação das ações versando sobre segurança pública, conforme deliberações do Grupo Técnico de Suporte à Segurança Pública. (NR)”

Art. 6º O art. 47 do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso XI:

..................................................................................

XI - formas de colaboração entre a Prestadora Origem e a Autorizada de Rede Virtual para a implementação das ações versando sobre segurança pública, nos termos do inciso IV do art. 39. (NR)”

Art. 7º O art. 1º do Anexo I do Regulamento sobre Exploração de Serviço Móvel Pessoal – SMP por meio de Rede Virtual (RRV-SMP), aprovado por meio da Resolução nº 550, de 22 de novembro de 2010, passa a vigorar acrescido do seguinte inciso XVIII:

“Art. 1º .....................................................................

..................................................................................

XVIII - formas de colaboração entre a Prestadora Origem e o Credenciado de Rede Virtual para a implementação das ações versando sobre segurança pública, nos termos do inciso XII do art. 17. (NR)”

I - a Resolução nº 656, de 17 de agosto de 2015 que aprova o Regulamento sobre Gestão de Risco das Redes de Telecomunicações e Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Calamidade Pública;

II - o art. 22, o art. 23, o art. 24 e o art. 25 do Regulamento do Serviço Telefônico Fixo Comutado – STFC, aprovado pela Resolução nº 426, de 9 de dezembro de 2005;

III - o inciso XXII do art. 10, o art. 19, o art. 77, o art. 89, art. 90 e o art. 91 do Regulamento do Serviço Móvel Pessoal – SMP, aprovado pela Resolução nº 477, de 7 de agosto de 2007;

IV - o inciso XVII do art. 4º, o art. 52, o art. 53, o art. 59, o art.60 e o art. 61 do Regulamento do Serviço de Comunicação Multimídia, aprovado pela Resolução nº 614, de 28 de maio de 2013;

V - o art. 26 e o art. 32 do Regulamento dos Serviços de Telecomunicações, aprovado pela Resolução nº 73, de 25 de novembro de 1998; e

VI - o inciso XX do art. 4º e o art. 47 do Regulamento do Serviço Limitado Privado, aprovado pela Resolução nº 617, de 19 de junho de 2013.

Parágrafo único. O prazo para adaptação dos contratos entre a Prestadora Origem e a Autorizada de Rede Virtual ou o Credenciado de Rede Virtual será de 120 (cento e vinte) dias a contar da entrada em vigor desta Resolução.

Documento assinado eletronicamente por Moisés Queiroz Moreira, Conselheiro, em 14/12/2020, às 18:01, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 5497305 e o código CRC 9DDDCFFC.

REGULAMENTO DE SEGURANÇA CIBERNÉTICA APLICADA AO SETOR DE TELECOMUNICAÇÕES

Art. 1º Este Regulamento tem por objetivo estabelecer procedimentos e condutas para a promoção da Segurança Cibernética nas redes e serviços de telecomunicações.

Art. 2º As disposições deste regulamento aplicam-se a todas as prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, conforme conceito definido na regulamentação, observado o disposto neste artigo.

§ 1º O Conselho Diretor da Anatel poderá, motivadamente, incluir ou dispensar as prestadoras de serviços de telecomunicações de interesse restrito ou coletivo, independentemente do porte, bem como empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações da incidência das disposições deste regulamento.

§ 2º As diretrizes estabelecidas no art. 4º e os princípios previstos no art. 6º devem ser observados por todas as prestadoras de serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte, ainda que dispensadas do cumprimento das demais disposições deste regulamento, bem como pelas demais pessoas naturais ou jurídicas envolvidas na mitigação de riscos cibernéticos nas redes de telecomunicações.

§ 3º A dispensa da incidência das disposições deste regulamento não isenta, em qualquer caso, as prestadoras de serviços de telecomunicações do cumprimento de outras disposições legais e regulamentares em vigor.

Art. 3º Para efeito deste regulamento, além das definições constantes na regulamentação aplicável aos serviços de telecomunicações, são adotadas as seguintes definições:

I - Infraestruturas Críticas de Telecomunicações: instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;

II - Risco: combinação das consequências de um evento e da probabilidade de ocorrência associada;

III - Segurança Cibernética: conjunto de ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gestão de riscos, ações de treinamento, melhores práticas, garantias e tecnologias que podem ser usados para proteger o ambiente cibernético e ativos de usuários e de organizações;

IV - Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

I – adoção de boas práticas e normas internacionais referentes à Segurança Cibernética;

III – utilização segura e sustentável das redes e serviços de telecomunicações;

IV – identificação, proteção, diagnóstico, resposta e recuperação de incidentes de Segurança Cibernética;

V – cooperação entre os diversos agentes envolvidos com fins de mitigação dos Riscos cibernéticos;

VI – respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e

VII – incentivo à adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.

DO GRUPO TÉCNICO DE SEGURANÇA CIBERNÉTICA E GESTÃO DE RISCOS DE INFRAESTRUTURA CRÍTICA

Art. 5º Fica constituído o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), com as seguintes atribuições, entre outras estabelecidas neste regulamento:

I – auxiliar a Anatel no acompanhamento da implantação da Política de Segurança Cibernética e da gestão das Infraestruturas Críticas pelas prestadoras;

II – acompanhar o procedimento de compartilhamento de informações sobre incidentes relevantes adotado pelas prestadoras de serviços de telecomunicações;

III – avaliar e recomendar à Anatel a internalização de padrões, melhores práticas, ações e iniciativas em matéria de Segurança Cibernética de fóruns regionais e internacionais de telecomunicações, em colaboração com as Comissões Brasileiras de Comunicações (CBCs);

IV – interagir com as CBCs para construção e defesa dos posicionamentos brasileiros nos órgãos regionais e internacionais de telecomunicações nos temas referentes à Segurança Cibernética;

V - elaborar estudos e propor aprimoramentos na regulamentação e nas decisões administrativas de âmbito setorial em matéria de Segurança Cibernética, inclusive nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações;

VI – acompanhar o surgimento de novas tecnologias e ameaças para avaliar seu impacto na utilização segura e sustentável das redes e serviços de telecomunicações;

VII – incentivar ações de capacitação na matéria de Segurança Cibernética;

VIII – interagir com outros órgãos e entidades no cumprimento das suas atividades, observada a competência de governança de atuação institucional da Anatel;

IX – propor ações de conscientização em colaboração com as áreas responsáveis pela comunicação e relações com consumidores na Anatel;

X – sugerir a promoção de ações e iniciativas para o fomento do cumprimento das obrigações impostas por este regulamento pelas prestadoras dispensadas do cumprimento de suas disposições;

XI – definir os termos “incidente relevante” e de “prazo razoável” previstos no §9º do art. 7º deste regulamento;

XII - elaborar os procedimentos a serem adotados para a proteção do sigilo e para a segurança das informações sensíveis, em posse da Anatel, relativas à Política de Segurança Cibernética; e

XIII – desempenhar outras atividades atribuídas pelo Conselho Diretor da Anatel.

§ 1º O GT-Ciber será coordenado por Superintendente designado por Portaria do Conselho Diretor da Anatel, e terá participação das prestadoras ou de suas associações.

§ 2º As decisões sobre os assuntos pautados no GT-Ciber serão tomadas por consenso entre os representantes ou, não havendo consenso, pelo Superintendente coordenador do GT-Ciber.

§ 3º Caberá recurso de decisão proferida pelo Superintendente coordenador ao Conselho Diretor da Anatel, nos termos do Regimento Interno da Agência.

§ 4º O Superintendente coordenador dará encaminhamento adequado às proposições do GT-Ciber em conformidade com as competências previstas no Regimento Interno da Anatel.

§ 5º O GT-Ciber poderá ser organizado em subestruturas, a serem definidas pelo Superintendente coordenador, de acordo com a conveniência e temática dos trabalhos.

§ 6º Será possível a participação de membros externos convidados, conforme o tema em discussão.

Art. 6º As prestadoras devem elaborar, implementar e manter Política de Segurança Cibernética com base nas diretrizes estabelecidas no art. 4º e nos seguintes princípios:

II – os procedimentos e controles adotados para reduzir as vulnerabilidades nas redes de telecomunicações;

III – compromisso com a aquisição de equipamentos de redes de fornecedores que possuam política de segurança cibernética e realizem processos de auditoria independente periódicos;

IV – compromisso com o registro, a análise da causa e do impacto, bem como a mitigação dos efeitos de incidentes relevantes, nos termos estabelecidos pelo GT-Ciber;

V – os procedimentos para a disseminação da cultura de Segurança Cibernética e capacitação dentro da empresa;

VI – os procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes e outras informações relativas à Segurança Cibernética;

VII – plano de resposta a incidentes, definindo ações, recursos e responsabilidades;

VIII – os procedimentos relativos ao armazenamento seguro dos dados de seus usuários, nos termos da legislação vigente;

IX – plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de Segurança Cibernética;

X - a estrutura da equipe responsável pela Política de Segurança Cibernética, contendo a identificação dos responsáveis ou área competente, destacando o ponto focal de contato na empresa para situações de urgência;

XI - a identificação e a análise das Vulnerabilidades, das ameaças e dos Riscos associados à Segurança Cibernética;

XII - a identificação das Vulnerabilidades das Infraestruturas Críticas de Telecomunicações e dos Riscos associados à continuidade dos serviços de telecomunicações;

XIV - a identificação e, quando for o caso, a adoção de padrões e normas nacionais ou internacionais pertinentes; e

XV - o mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários.

§ 1º As prestadoras devem publicar, em sua página na Internet, com linguagem compreensível, sua Política de Segurança Cibernética.

§ 2º A Política de Segurança Cibernética de que trata o caput deve ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da prestadora.

§ 3º A Política de Segurança Cibernética deve ser aprovada pelo conselho de administração ou o órgão de deliberação colegiado equivalente das prestadoras e atualizada ou revisada com a periodicidade adequada.

§ 4º As prestadoras deverão designar diretor responsável pela Política de Segurança Cibernética, o qual poderá desempenhar outras funções na empresa, desde que não haja conflito de interesses.

§ 5º A Política de Segurança Cibernética deve ser disseminada aos profissionais afetos da prestadora e aos colaboradores terceirizados, em seus diversos níveis, estabelecendo papéis e responsabilidades, resguardando-se o compartilhamento das informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da Política, no que couber.

§ 6º Os documentos relacionados à Política de Segurança Cibernética, bem como os documentos que comprovem sua aprovação, deverão estar disponíveis para a Anatel sempre que solicitados.

§ 7º Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a prestadora responsável por cada função, quando aplicável.

§ 8º As prestadoras devem promover, entre as ações decorrentes dos procedimentos e controles previstos no inciso II, a alteração da configuração padrão de autenticação em equipamentos fornecidos, em regime de comodato, a seus usuários.

§ 9º Devem ser comunicados aos usuários atingidos e à Anatel, sem prejuízo de outras obrigações de comunicação, em prazo razoável, quaisquer incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações, incluindo todos aqueles que atinjam a confidencialidade dos dados dos usuários dos serviços de telecomunicações sob a guarda das prestadoras.

§ 10 Os responsáveis pela Política de Segurança Cibernética junto às prestadoras devem, anualmente ou sempre que solicitados, apresentar à Anatel relatório sobre o acompanhamento de execução da Política.

Art. 8º As prestadoras são integralmente responsáveis pelos ônus decorrentes da adoção e execução da Política de Segurança Cibernética.

Art. 9º As prestadoras devem adotar procedimento de compartilhamento de informações sobre incidentes relevantes e outras informações relativas à segurança cibernética de forma sigilosa e não discriminatória, sendo facultado o anonimato, colaborando com a promoção de ambiente participativo entre todas as prestadoras de serviços de telecomunicações e buscando a coordenação com as demais entidades relevantes.

Art. 10 As prestadoras deverão realizar avaliação periódica de Vulnerabilidades relacionadas à Segurança Cibernética.

§ 1º A avaliação de que trata o caput deverá ser realizada por empresa especializada e independente e os resultados deverão ser compartilhados com a Anatel;

§ 2º A periodicidade e os aspectos a serem considerados na avaliação de que trata o caput serão definidos pelo Superintendente coordenador do GT-Ciber.

Art. 11 As prestadoras deverão enviar, nos prazos e no formato definidos pelo Superintendente coordenador do GT-Ciber, informações de sua Infraestrutura Crítica de Telecomunicações, abrangendo, no mínimo, dados de rede e mapeamento geográfico das estruturas físicas e rotas.

Parágrafo único. A identificação das Infraestruturas Críticas de Telecomunicações depende do contexto de gestão de riscos que será definido pelo Superintendente coordenador do GT-Ciber, observadas as diretrizes governamentais sobre a temática.

Art. 12 A Anatel promoverá o acompanhamento da Política de Segurança Cibernética, observando os princípios e as diretrizes dispostos neste Regulamento.

Art. 13. Sem prejuízo da adoção de outras medidas necessárias para o cumprimento do disposto neste Regulamento, a Anatel poderá estabelecer a exigência de requisitos técnicos e ações na operação e manutenção das redes de telecomunicações quanto à Segurança Cibernética.

Art. 14. Aspectos de Segurança Cibernética poderão ser levados em consideração nos procedimentos relativos à avaliação da conformidade e homologação de produtos para telecomunicações, nos termos da regulamentação específica.

Art. 15. A infração a este Regulamento sujeita os infratores às sanções administrativas previstas na Lei nº 9.472, de 16 de julho de 1997, bem como no Regulamento de Aplicação de Sanções Administrativas da Anatel.

Parágrafo único. Considera-se infração a este Regulamento a inobservância de comandos normativos quando não regularizadas em prazo razoável estabelecido pela Agência.

Art. 16 As prestadoras devem se adequar ao disposto neste Regulamento em até 180 (cento e oitenta) dias de sua entrada em vigor.

REGULAMENTO SOBRE O USO DE SERVIÇOS DE TELECOMUNICAÇÕES EM DESASTRES, SITUAÇÕES DE EMERGÊNCIA E ESTADO DE CALAMIDADE PÚBLICA

Art. 1º O presente Regulamento tem por objetivo estabelecer definições, procedimentos e condutas para o Uso de Serviços de Telecomunicações em Desastres, Situações de Emergência e Estado de Calamidade Pública mediante o estabelecimento de medidas de preparação e de resposta.

Art. 2º Aplicam-se as disposições deste Regulamento às prestadoras de serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, nos termos da regulamentação, observando-se o disposto no art. 8º deste Regulamento.

§ 1º Ato do Conselho Diretor poderá incluir ou dispensar, total ou parcialmente, definitiva ou temporariamente, da incidência das disposições deste Regulamento prestadoras de serviços de telecomunicações, ainda que de Pequeno Porte ou exploradora de serviço de interesse restrito, e empresas detentoras de outorga do direito de exploração de satélite para transporte de sinais de telecomunicações.

§ 2º A inclusão ou dispensa prevista no § 1º deverá ser motivada pela relevância da empresa na infraestrutura dos serviços de telecomunicações brasileiros.

Art. 3º As prestadoras são integralmente responsáveis pelos ônus decorrentes da adoção e execução das medidas de preparação e de resposta para desastre, Situação de Emergência ou Estado de Calamidade Pública.

Art. 4º Para fins deste Regulamento, além das definições constantes da legislação e da regulamentação, aplicam-se as seguintes definições:

I - Abrigo: é o local ou instalação que proporciona hospedagem a pessoas necessitadas;

II - Desastre: resultado de eventos adversos, naturais ou provocados pelo homem sobre um cenário vulnerável, causando danos humanos, materiais e/ou ambientais e consequentes prejuízos econômicos e sociais;

III - Estado de Calamidade Pública: situação de alteração intensa e grave das condições de normalidade em um determinado município, estado ou região, decretada em razão de desastre, comprometendo substancialmente sua capacidade de resposta;

IV - Plano de Contingência: planejamento realizado para controlar e minimizar os efeitos previsíveis de um desastre específico, de modo que as prestadoras possam responder, recuperar, retomar e restaurar a operação do serviço;

V - Plano de Restabelecimento de Serviço: procedimentos documentados das ações a serem realizadas em situações de interrupção de elementos que compõem a Infraestrutura crítica, especificando os recursos de telecomunicações necessários para responder a essas situações, bem como as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas;

VI - Situação de Emergência: situação de alteração intensa e grave das condições de normalidade em um determinado município, estado ou região, decretada em razão de desastre, comprometendo parcialmente sua capacidade de resposta.

DAS MEDIDAS DE PREPARAÇÃO E RESPOSTA PARA DESASTRES, SITUAÇÕES DE EMERGÊNCIA OU ESTADO DE CALAMIDADE PÚBLICA

Art. 5º As prestadoras abrangidas por este Regulamento deverão elaborar e manter Plano de Contingência para as áreas de risco de desastres mapeadas, devendo colocá-lo em prática na ocorrência do desastre.

Parágrafo único. O Plano de Contingência mencionado no caput é parte integrante do Plano de Restabelecimento de Serviços.

Art. 6º. O Plano de Restabelecimento de Serviços deve conter a identificação de responsável pela execução do plano em cada Unidade Federativa da Área de Prestação de Serviço;

Parágrafo único. O Plano deve ser submetido a testes ou simulações para avaliação dos sistemas de controle de riscos, cujos resultados devem constar em relatórios.

Art. 7º. Declarada a Situação de Emergência ou o Estado de Calamidade Pública, nos termos da Lei nº 12.608, de 10 de abril de 2012, e observado o disposto no art. 19 deste Regulamento, as prestadoras abrangidas por este Regulamento deverão adotar, nas áreas afetadas e enquanto perdurar o evento, as seguintes medidas:

I - tomar as ações necessárias para garantir a contínua disponibilidade de comunicação entre suas redes e os órgãos de Defesa Civil, Corpo de Bombeiros, Polícias Militar e Civil, serviço público de remoção de doentes (ambulância) e serviço público de resgates a vítimas de sinistros;

II - tomar as ações necessárias para o pronto restabelecimento, em caso de interrupção, e a continuidade dos serviços nas áreas afetadas, inclusive por meio da otimização e reforço da rede com sistemas temporários e móveis, se necessário; e,

III - compartilhar infraestruturas e viabilizar o acesso de usuários de outras prestadoras em sua rede na localidade afetada pelo evento.

Parágrafo único. Quando necessário, a Anatel poderá definir, aspectos operacionais relacionados às ações de que trata o inciso II.

Art. 8º. Qualquer prestadora de serviços de telecomunicações de interesse coletivo com presença de infraestrutura no local afetado por desastres poderá ser acionada pelos órgãos competentes a instalar estações terminais em abrigos e/ou locais estratégicos.

Parágrafo único. As estações terminais deverão ser instaladas no prazo negociado com os órgãos de defesa civil e de segurança competentes, levando em consideração a urgência do caso concreto.

Art. 9º. As prestadoras do Serviço Móvel Pessoal (SMP), do Serviço de Acesso Condicionado (SeAC), do Serviço de TV a Cabo (TVC), do Serviço de Distribuição de Sinais Multiponto Multicanais (MMDS) e do Serviço de Distribuição de Sinais de Televisão e de Áudio por Assinatura via Satélite (DTH) abrangidas por este Regulamento deverão, de forma gratuita, quando acionadas pelo órgão governamental competente sobre a iminência de desastres que constem da Classificação e Codificação Brasileira de Desastres (COBRADE), disseminar notificação de alertas, alarmes e de orientação aos usuários localizados nos municípios em situação de risco.

§ 1º A disseminação da notificação de alertas, alarmes e de orientação pelas prestadoras do SMP conterá mensagem pré-estabelecida pelo órgão governamental competente.

§ 2º A disseminação da notificação de alertas, alarmes e de orientação pelas prestadoras do SeAC, TVC, MMDS e DTH, contendo mensagem pré-estabelecida pelo órgão governamental competente, deverá ser realizada através de avisos ou mensagens superpostas à programação normal (pop-ups).

§ 3º O conteúdo da mensagem, sua abrangência e o momento em que o(s) alerta(s) e alarme(s) deve(m) ser disseminado(s) serão definidos pelo órgão governamental competente, ressalvadas as limitações técnicas inerentes à tecnologia empregada na prestação do serviço e a infraestrutura de telecomunicações disponível no momento.

Art. 10. Somente ensejam as ações previstas neste Capítulo os desastres que constem da Classificação e Codificação Brasileira de Desastres (COBRADE).

Art. 11. As prestadoras abrangidas por este Regulamento deverão compor a Rede Nacional de Emergência de Prestadoras de Telecomunicações (RENET), cuja instalação e operação será acompanhada pela Anatel.

I - coordenar ações entre as prestadoras de serviços de telecomunicações no que se refere aos Planos de Contingência e aos demais requisitos previstos nos Capítulos I e II deste Título; e,

II - acompanhar as ações relevantes e decidir sobre as medidas necessárias para o pronto restabelecimento dos serviços de telecomunicações durante o evento.

§ 2º A RENET será ativada total ou parcialmente quando da ocorrência de Situação de Emergência ou Estado de Calamidade Pública nacional, estadual ou municipal.

§ 3º A RENET será composta por representantes das prestadoras abrangidas por este Regulamento, devendo interagir com os órgãos nacionais de Segurança Pública e Defesa Civil, quando necessário.

§ 4º A RENET avaliará as ações tomadas durante a Situação de Emergência ou Estado de Calamidade Pública, encaminhando sugestões e eventuais problemas a Anatel.

§ 5º As prestadoras deverão indicar à Anatel 1 (um) representante titular e 1 (um) suplente por Unidade Federativa na qual atuem para compor a RENET, bem como 1 (um) representante titular e 1 (um) suplente em nível nacional.

§ 6º Para cada Unidade Federativa, um dos membros da RENET daquela Unidade Federativa será designado como coordenador.

§ 7º Quando necessário para o desempenho das atividades, a Anatel poderá integrar a RENET.

§ 8º Quando necessário, a Anatel poderá definir, aspectos operacionais relacionados à RENET.

Art. 12. A infração às disposições deste Regulamento, bem como o envio de informações inverídicas ou que possam levar a uma interpretação equivocada dos dados, sujeita os infratores às sanções cabíveis, conforme definidas no Livro III, Título VI “Das Sanções”, da Lei nº 9.472, de 16 de julho de 1997, em consonância com o disposto em regulamentação específica.

Parágrafo único. Considera-se infração a este Regulamento a inobservância de comandos normativos quando não regularizadas em prazo razoável estabelecido pela Agência.

Art. 13. É dever das prestadoras de serviços de telecomunicações se colocar à disposição das autoridades e dos agentes da defesa civil para dar suporte às atividades de sua competência que envolvam preparação, prevenção, resposta e amparo às populações atingidas por desastres.

Art. 14. As estações e os equipamentos utilizados exclusivamente para prover redes de telecomunicações em Situação de Emergência ou Estado de Calamidade Pública poderão ser excepcionalmente dispensados de licenciamento e da necessidade de prévia certificação e homologação de produtos e equipamentos, enquanto perdurar o evento, desde que respeitem a atribuição da faixa, não causem interferência prejudicial ou degradem os demais serviços prestados.

§ 1º Na excepcionalidade prevista no caput, não será necessária a obtenção de autorização de uso de radiofrequências.

§ 2º Encerrada a Situação de Emergência ou Estado de Calamidade Pública e havendo a necessidade de continuidade da operação, a autorização de uso de radiofrequências, os produtos, os equipamentos e as estações deverão ser regularizados, nos termos da regulamentação aplicável em até 60 (sessenta) dias.