SEI/ANATEL - 8304781 - Despacho Decisório

O SUPERINTENDENTE DE CONTROLE DE OBRIGAÇÕES, no uso de suas atribuições legais e regulamentares, em especial a designação constante da Portaria Anatel nº 1.878, de 30 de dezembro de 2020, e a disposta no art. 24, § 5º, do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, considerando as discussões realizadas no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber), DECIDE que a obrigação das prestadoras de apresentar relatório sobre o acompanhamento de execução da Política de Segurança Cibernética será atendida nos seguintes termos:

Data de aprovação da versão atual da Política de Segurança Cibernética (PSC) pelo Conselho de Administração ou, caso inexistente, órgão colegiado equivalente. Quando houver, descrever as principais alterações advindas da versão anterior da PSC;

As ações de disseminação e capacitação interna da PSC, incluindo o número de colaboradores que participaram das atividades;

A estrutura interna responsável pela PSC, inclusive em caso de compartilhamento com outras empresas do mesmo grupo econômico, indicando o diretor responsável e o número de colaboradores diretamente envolvidos. Caso o diretor responsável desempenhar outras funções dentro da organização, indicar quais;

As normas, padrões e boas práticas implementados pela empresa. Elencar as certificações obtidas pela empresa relacionadas às normas e padrões mencionados acima (processos);

Relação das certificações associadas à segurança cibernética detidas pelos colaboradores;

As ações adotadas para conscientização e educação de seus usuários, incluindo aspectos como abrangência, estimativa de público atingido, ações em mídias sociais, página web da prestadora sobre o assunto, e-mail marketing e eventuais alinhamentos com outras campanhas em curso (por exemplo #FiqueEsperto);

O impacto da PSC nas práticas adotadas para o armazenamento seguro dos dados dos usuários;

Existência de ações para redução do grau de dependência de fornecedores e/ou mitigação dos riscos associados;

Relatório quantitativo de incidentes relevantes, conforme art. 17 da Resolução nº 740, de 21 de dezembro de 2020; e

Relatório quantitativo de eventos compartilhados via MISP, conforme art. 18 da Resolução nº 740, de 21 de dezembro de 2020.

Utilização do Sistema Eletrônico de Informações (SEI), com processos individuais de acompanhamento para cada prestadora;

Entrega anual do Relatório no mês de julho, sendo este referente aos 12 (doze) meses anteriores (julho do ano anterior a junho do ano corrente); e

A primeira entrega (ano de 2022) será acompanhada do envio da Política de Segurança Cibernética da prestadora e eventuais documentos listados na PSC.

Documento assinado eletronicamente por Gustavo Santana Borges, Superintendente de Controle de Obrigações, em 12/04/2022, às 10:28, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 8304781 e o código CRC 65B15180.