A ANATEL alterou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (“R-Ciber”)
A Agência Nacional de Telecomunicações (ANATEL) alterou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (“R-Ciber”) em dois pontos essenciais pela perspectiva de segurança da informação e proteção de dados, que são as ampliações da obrigação de notificação de incidentes de segurança da informação e dos aspectos de segurança cibernética de fornecedores a serem avaliados pelas prestadoras de serviços de telecomunicações.
As novas regras constam da Resolução nº 767 de agosto de 2024 (“Resolução”), que alterou a Resolução nº 740 de 2020, denominada R-Ciber. As alterações entrarão em vigor em 2 de setembro de 2024, quando as políticas internas dos prestadores de serviços de telecomunicações deverão estar modificadas.
1. AMPLIAÇÃO DA OBRIGAÇÃO DE NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO À ANATEL
A R-Ciber prevê a obrigação de notificação à ANATEL de incidentes relevantes e que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários.
A definição de incidente na R-Ciber é específica e inclui evento que permita ou possa permitir alguma violação a confidencialidade, disponibilidade ou integridade de informação protegida, ou também que envolva ativo de informação crítica ou atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.
No caso, a Resolução ampliou essa obrigação, obrigando agora os prestadores de serviço de telecomunicações, independentemente do porte, a notificarem a ANATEL de incidentes que devem também ser notificados à Autoridade Nacional de Proteção de Dados (“ANPD”) – veja-se que basta que seja igualmente exigida a comunicação à ANPD, não sendo necessária que haja efetivamente uma prévia notificação segundo a LGPD.
O gatilho para notificação à ANPD está previsto no art. 48 da LGPD, se relacionando a qualquer incidente que possa acarretar risco ou dano relevante aos titulares.
Para a ANPD, incidente seria qualquer evento adverso confirmado, que possa afetar confidencialidade, integridade, disponibilidade e autenticidade.
Ou seja, os gatilhos da notificação para a ANATEL são mais restritos e específicos. Verifica-se, portanto, que potencialmente incidentes que seriam notificáveis apenas à ANPD terão que ser agora também notificados à ANATEL.
2. AMPLIAÇÃO DOS ASPECTOS DE SEGURANÇA CIBERNÉTICA DE FORNECEDORES A SEREM AVALIADOS PELA PRESTADORAS DE SERVIÇOS DE TELECOMUNICAÇÕES
Quanto ao segundo ponto, a R-Ciber já obrigava em seu art. 7º a avaliação prévia de fornecedores quanto à compatibilidade de suas políticas de segurança cibernética com relação aos princípios e diretrizes da R-Ciber, bem como a realização periódica de processos de auditoria independente.
O processo de avaliação deve ser documentado e apresentado à ANATEL sempre que requisitado.
A Resolução então aprofundou essa obrigação de avaliação prévia com relação a prestadores de serviços de processamento e armazenamento de dados e de computação em nuvem – seguindo, por exemplo, a regulação do Banco Central do Brasil.
No caso, devem ser avaliados aspectos como, por exemplo, os controles adotados por esses terceiros para a mitigação de riscos, abrangendo funções críticas da rede e o tratamento de dados pessoais. Ou seja, necessária a avaliação inclusive da conformidade desses terceiros com o framework da LGPD e da ANPD.
Fonte: Mayer Brown
Sobre Mayer Brown
Mayer Brown é um prestador de serviços global composto por práticas jurídicas associadas que são entidades separadas, incluindo Mayer Brown LLP (Illinois, EUA), Mayer Brown International LLP (Inglaterra e País de Gales), Mayer Brown (uma sociedade de Hong Kong) e Tauil & Chequer Advogados (uma sociedade de advogados brasileira) e prestadores de serviços não jurídicos, que oferecem serviços de consultoria (coletivamente, as “Práticas Mayer Brown”).
As Práticas Mayer Brown estão estabelecidas em várias jurisdições e podem ser uma pessoa jurídica ou uma sociedade. PK Wong & Nair LLC (“PKWN”) é a prática jurídica de Singapura que faz parte da nossa joint venture licenciada em Singapura, Mayer Brown PK Wong & Nair Pte. Ltd. Detalhes das práticas individuais da Mayer Brown e da PKWN podem ser encontrados na seção de Avisos Legais do nosso site.
Algar Telecom anuncia novo presidente
TELCO TRANSFORMATION LATAM 2024: O Evento para Líderes de Telecomunicações na América Latina
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
