A Agência Nacional de Telecomunicações (Anatel) vai começar a exigir, a partir de 26 de novembro de 2025, que fornecedores de produtos e equipamentos utilizados em redes de telecomunicações comprovem a conformidade com a Política de Segurança Cibernética da agência.
A regra foi estabelecida pelo Ato nº 16.417, de novembro de 2024, e determina que somente equipamentos que tenham passado por auditoria poderão ser utilizados por operadoras e provedores de internet. O objetivo é garantir que os dispositivos sigam práticas de proteção contra vulnerabilidades e ataques.
Quem fará as auditorias
As auditorias deverão ser conduzidas por Organismos de Certificação Designados (OCDs) reconhecidos pela Anatel ou por instituições acreditadas internacionalmente. Os fornecedores terão de entregar às prestadoras de serviços os atestados de conformidade emitidos. Esses documentos devem comprovar que a fabricação e os controles internos seguem os princípios da Política de Segurança Cibernética.
Essa política foi definida no Despacho Decisório nº 16/2023/COQL/SCO e elaborada no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber). O subgrupo responsável contou com cerca de 160 representantes de operadoras, indústria, academia, centros de pesquisa, laboratórios, OCDs e servidores da agência.
Práticas exigidas
O processo de avaliação deve garantir que os equipamentos adotem princípios como:
- Security by design: análise automatizada de códigos e correção de vulnerabilidades;
- Security by default: proteção de senhas e bloqueio de comunicações não essenciais;
- Privacy by design: criptografia em dados sensíveis;
- Política de suporte e atualização contínua, com canal para notificação de falhas;
- Divulgação coordenada de vulnerabilidades, garantindo informações claras a clientes e usuários.
A partir da data de vigência, qualquer equipamento que não tenha sido certificado não poderá ser utilizado em redes de telecomunicações no Brasil, impactando diretamente operadoras e provedores que dependem de fornecedores homologados.