Aprovada alterações no R-Ciber

1. Conselho Diretor da Anatel aprova alterações no R-Ciber
Foi aprovada, pela reunião do Conselho Diretor da Anatel realizada em 04/07/24, alterações no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (Resolução nº 740/20, conhecido como R-Ciber), com impacto significativo para as Prestadoras de Pequeno Porte (PPPs). De acordo com o texto aprovado, todas as prestadoras dos serviços de telecomunicações de interesse coletivo, independentemente do porte (ou seja, incluindo as PPPs) devem cumprir o disposto no art. 8º do R-Ciber.
Consta em tal artigo que é obrigação das prestadoras realizar a alteração da configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários1 . Ocorre que no Regulamento vigente até então, tal obrigação não incluía as PPPs, uma vez que tais prestadoras deveriam cumprir apenas com o disposto nos artigos 4º e 5º de tal regulamento - que previam, essencialmente, obrigações gerais e principiológicas. Com a mudança aprovada na reunião do Conselho Diretor da Anatel realizada em 04/07/2024, as PPPs serão obrigadas a realizar tal alteração, mitigando, assim, as vulnerabilidades dos usuários das redes de telecomunicações.
Importante destacar que, em 05/01/2021, a Anatel publicou o Ato nº 77/2021, que trata justamente dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações2 . Neste Ato, a Agência determina os critérios de avaliação para a homologação de equipamentos, bem como os requisitos para equipamentos terminais que se conectam à Internet e para os equipamentos de infraestrutura de redes de telecomunicações, em suas versões finais destinadas à comercialização. Ou seja, em relação à instalação e à operação, os requisitos devem conter a implementação de rotinas simplificadas adequadas para sua instalação e configuração. Além disso, os equipamentos devem ser configurados, por padrão de fábrica, de forma restritiva ao invés de forma permissiva. E a seleção de parâmetros para as configurações iniciais deve primar por opções nativamente seguras, alinhadas aos princípios de segurança e privacidade. Com a recente alteração do art. 8º do R-Ciber, é salutar que as Prestadoras de Pequeno Porte, bem como os fornecedores de equipamentos de telecomunicações, verifiquem se os equipamentos fornecidos aos seus respectivos clientes estão em conformidade com esta determinação regulatória.
Ainda sob os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), importante ressaltar a publicação do Ato nº 2.436/23 que, a partir de 10 de março de 2024, passou a ter aplicação mandatória. Com isto, a Agência estabeleceu requisitos mínimos de segurança cibernética para os equipamentos CPE de uso do público em geral empregados para conectar assinantes à rede do provedor de serviços de Internet, tais como: a) Cable modem; b) Modem xDSL; c) ONU, ONT; d) Roteador ou modem destinados ao acesso fixo sem fio (FWA - Fixed Wireless Access); e) Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e f) Roteador ou ponto de acesso sem fio3 .
Outra alteração no R-Ciber aprovada na reunião do Conselho Diretor realizada em 04/07/2024, foi a introdução do artigo 2º-B, que ampliou o escopo das operadoras sujeitas ao controle ex ante, incluindo, dentre as quais, as operadoras de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal (SMP) com rede própria e operadoras de rede que oferecem tráfego em mercado de atacado. A justificativa da Anatel para tal inclusão é o fato de estas operadoras prestarem serviços de alto grau de criticidade e relevância (as chamadas infraestruturas de redes críticas).
Importante destacar que, de acordo com as alterações promovidas pelo Conselho Diretor da Anatel, TODAS as prestadoras devem notificar a Agência sobre incidentes de segurança cibernética, quando tal medida for obrigatória perante a Autoridade Nacional de Proteção de Dados (ANPD). Esta previsão foi inserida na redação do artigo 2º-C, do R-Ciber.
Outra alteração foi a inclusão de dispositivos que incentivam a inovação no setor, permitindo que as prestadoras possam contratar startups sem a necessidade de cumprir determinados requisitos de segurança cibernética, desde que garantam a conformidade com as disposições do regulamento, conforme proposto no art. 7º, §§ 3º e 4º .
É de suma importância que as PPPs analisem os impactos e a necessidade de se adequarem à esta nova realidade regulatória determinada pelas alterações no R-Ciber (Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações).
Entre em contato com nossa equipe regulatória para maiores informações!
1Art. 8º A prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários.
Parágrafo único. Cabe ao GT-Ciber estabelecer a relação dos equipamentos abrangidos e dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.
2Anatel - Ato nº 77, de 05 de janeiro de 2021. Acesso em 04/07/2021
3Anatel - Ato nº 2436, de 7 de março de 2023. Acesso em 04/07/2024
