SEI/ANATEL - 7363351 - Despacho Decisório

O SUPERINTENDENTE DE CONTROLE DE OBRIGAÇÕES, no uso de suas atribuições legais e regulamentares, em especial a designação constante da Portaria Anatel nº 1.878, de 30 de dezembro de 2020, e a disposta no art. 24, § 5º, do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740, de 21 de dezembro de 2020, considerando as discussões realizadas no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber) DECIDE que a obrigação das prestadoras relacionada à notificação da Agência e comunicação às demais prestadoras e aos usuários sobre os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuário, prevista no art. 9° do R-Ciber, será cumprida conforme determinações a seguir:

Definição de incidentes relevantes para fins de notificação à Agência, a partir de lista exemplificativa de casos de reporte à Agência, sem prejuízo de demais casos que a prestadora julgue pertinente notificar (casos que envolvam mais de uma categoria da lista devem ser notificados apenas uma vez). A lista abrange:

Comprometimentos decorrentes de Ameaças Persistentes Avançadas (Advanced Persistent Threat - APT);

Ataques de Negação de Serviço, considerando os seguintes parâmetros de tráfego e de quantidade de pacotes por segundo: igual ou superior a 50Gbps ou a 20Mpps;

Problemas de roteamento (sequestro de prefixos, vazamento de rotas e/ou erros de configuração) que venham a ocasionar impacto na entrega de serviços aos clientes das prestadoras, órgãos ou entidades que operam na Internet; e

Considerar-se-á atendida a obrigação de comunicação aos usuários, prevista no art. 9° do R-Ciber, com a notificação ao titular de dados para cumprimento da Lei Geral de Proteção de Dados (LGPD). Essa notificação suprirá a necessidade de notificação adicional para fins de cumprimento do R-Ciber;

A notificação à Autoridade Nacional de Proteção de Dados (ANPD) não supre a necessidade de notificação da Anatel; e

Sempre que houver notificação de consumidor como titular de dados para fins de atendimento à LGPD, deve haver a notificação à Anatel.

Utilização do SEI, com a criação de uma área específica para tratamento dos processos. Processos individuais de acompanhamento e notificação mediante peticionamento eletrônico;

Prazo razoável: prazo de 2 dias úteis para notificação preliminar, contados da data do conhecimento do incidente; e

Prazo adicional de 60 (sessenta) dias para atendimento do art. 17, § 1º, o qual determina que a notificação à Agência deve incluir análise da causa e do impacto, bem como ações de mitigação adotadas, conforme o caso.

Definição de incidentes relevantes para fins de compartilhamento entre prestadoras, a partir de lista exemplificativa, sem prejuízo de outras informações relativas à segurança cibernética que a prestadora julgue pertinente compartilhar. A lista abrange:

Compartilhamento de Indicadores de Comprometimentos (IoCs) - Relevantes (ameaças telecomunicações);

Utilização do MISP - Open Source Threat Intelligence Platform, com a criação de um sharing group das prestadoras. Dessa forma eventos compartilhados por qualquer instância do grupo é enviada a todas instâncias;

Atendimento do art. 18 do R-Ciber (incentivo à participação de todas as prestadoras no procedimento de compartilhamento) com a criação de instâncias MISP para associações representativas das Prestadoras de Pequeno Porte (PPPs). Criação de sharing group para cada uma dessas associações. Associações teriam suas instâncias participando do sharing group das prestadoras não PPPs e poderiam compartilhar os eventos recebidos nesse grupo com o seu. Eventualmente, casos compartilhados pelas PPPs poderiam ser anonimizados pela Associação, caso necessário, e vice-versa, e também compartilhados no grupo; e

Compartilhamento do CERT.br para prestadoras, atualmente vigente, permanece inalterado.

As prestadoras devem se adequar ao disposto nesta Decisão no prazo de 90 (noventa) dias, contados a partir da decisão na 7° Reunião Plenária do GT-Ciber, ocorrida em 27 de agosto de 2021.

Documento assinado eletronicamente por Gustavo Santana Borges, Superintendente de Controle de Obrigações, em 10/09/2021, às 14:45, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 7363351 e o código CRC E0F2541F.