SEI/ANATEL - 7195641

Em atenção ao Despacho Ordinatório SCD 6357482 e do Acórdão em epígrafe informo a conclusão dos trabalhos e a remessa à Superintendência de Planejamento e Regulamentação (SPR) de contribuições à minuta de Resolução com proposta de incluir a incidência das obrigações em segurança cibernética outros agentes do setor de telecomunicações ainda não abrangidos pelo Regulamento. Também foi avaliada a viabilidade de modelagem complementar à estrutura prevista no Regulamento com vistas à constituição de entidade, ou designação de ente já existente, para creditação de conformidade em boas práticas de segurança cibernética concluindo-se pela desnecessidade.

A proposição do GT-Ciber está consubstanciada no Informe nº 200/2021/COGE/SCO (SEI n.º 7040861) encaminhado, nesta data, para a SPR. Para a execução dos trabalhos foram constituídos dois subgrupos ad hoc formados pelos especialistas da Anatel, das prestadoras membro do GT-Ciber e da Telcomp. A proposta opina pela incidência do art. 8.º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber,) que trata da alteração da configuração padrão de autenticação de equipamentos fornecidos para usuários, para todas as prestadoras independentemente do porte. A medida tem o objetivo de alcançar de maneira abrangente toda a planta de telecomunicações instalada no território nacional, mas mantendo o respeito a questão do porte das prestadoras na medida em que aquelas que possuem menor quantidade de assinantes necessitarão despender menores esforços para atender a obrigação.

A proposta opina, ainda, pela incidência das obrigações do R-Ciber para todas as PPP detentoras de Infraestrutura Crítica de Telecomunicações (ICT). Pela própria natureza destas infraestruturas e a função que exercem na planta de telecomunicações, entendo que o cuidado dispensado às mesmas deve ser revestido de um acompanhamento mais próximo pela Agência. Não obstante, face à diversidade de relevância e criticidade de cada uma das ICT, entendemos por bem modular a incidência de obrigações do R-Ciber. Neste sentido, sugerimos a criação de 03 classes distintas de ICT. Sobre as prestadoras detentoras de ICT da Classe I, a de maior relevância ou criticidade, incidirá todas as obrigações dispostas no R-Ciber. Sobre as prestadoras detentoras de ICT da Classe II, de relevância ou criticidade intermediária, incidirá as obrigação de implementar e manter PSC e de informar a Anatel a sua existência. E sobre as prestadoras detentoras de ICT da Classe III, de menor relevância ou criticidade, ICT física por exemplo, incidirá apenas a obrigação de informar a Anatel a sua existência. Também já identificamos a três ICT mais relevantes quais sejam: os cabo submarino com destino internacional; as prestadores do SMP que detenham rede própria; (3) e detentores de rede de suporte para Transporte de tráfego interestadual em mercado de atacado. Todas estas ICT foram consideradas de Classe I.

No que diz respeito à constituição de uma entidade creditadora acatei a fundamentação apresentada pelo subgrupo que opinou pela desnecessidade, neste momento, de dispor de uma estrutura para esta finalidade. No que diz respeito ao acompanhamento a ser exercido pela Anatel os resultados eventualmente oferecidos por uma entidade creditadora serão supridos, em parte, pela realização dos ciclos de avaliação de vulnerabilidades e, complementarmente, pelos próprios esforços do GT-Ciber, da SCO e suportados por atividades de fiscalização se necessários.

Documento assinado eletronicamente por Gustavo Santana Borges, Superintendente de Controle de Obrigações, em 30/07/2021, às 18:29, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 7195641 e o código CRC 6436BB24.