A implantação do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020 (R-Ciber), vai depender da intervenção do Conselho Diretor da Anatel. Isto porque, o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), formado por dois subgrupos, não chagou a um consenso em nenhum dos itens analisados e a proposta apresentada pelo superintendente de Controle de Obrigações, Gustavo Borges, é motivo de recursos apresentados pelas operadoras.
A principal polêmica é a amplitude das exigências propostas no regulamento que, a princípio, ressalvava as prestadoras de pequeno porte. A proposta de Borges prevê a aplicação gradativa das regras às PPPs que possuem infraestruturas críticas e redes estaduais, cabos submarinos e redes móveis próprias.
No entanto, as teles entendem que as obrigações sejam extensíveis e exigíveis para todas as PPPs, independentemente da classificação e do porte, diante da inegável necessidade de realização de ciclos de avaliação de vulnerabilidades por todos os agentes do ecossistema. “Isso porque, conforme amplamente veiculado em mídias especializadas, as empresas de pequeno e médio porte são as mais vulneráveis a ataques digitais, pois não possuem uma infraestrutura de cibersegurança estruturada – às vezes até inexistente”, destaca a TIM.
A Claro, por sua vez, quer a obrigação das PPPs em comunicar a ocorrência dos incidentes relevantes de forma transparente, com objetivo de compartilhar com a Anatel informações técnicas que venham a mitigar, minimizar e auxiliar na solução de proteção, reduzindo assim a reincidência ou propagação dos ataques cibernéticos. A Algar pede que a proposta passe por consulta pública.
Enquanto as entidades que representam as PPPs – TelComp, Abrint e Neo – exigem uma modulação mais compatível com o tamanho das prestadoras menores. No caso da aplicação da obrigação prevista no artigo 8° da Resolução (a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários) para os ISPs, seja endereçado, imediatamente, a observarão das particularidades da tecnologia e dos protocolos de autenticação empregados pelas prestadoras, de modo a que o cumprimento do dispositivo regulatório não impacte a operação. E que seja conferindo prazo mais extenso (até 18 meses) para a adoção de solução de autenticação prevista neste artigo.
Caberá ao Conselho Diretor a palavra final sobre esse imbróglio.
No Comment