Anatel define rol de novas empresas que deverão cumprir obrigações do Regulamento de Segurança Cibernética

A Superintendência de Controle de Obrigações (SCO) da Agência Nacional de Telecomunicações (Anatel) publicou nesta sexta-feira, dia 27/09, a Portaria nº 2899/2024, que estabelece o rol de novas prestadoras e operadoras de telecomunicações que deverão cumprir o conjunto de controles ex ante estabelecido pelo Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740/2020, com as alterações da Resolução nº 767/2024. Foram acrescentadas 11 empresas. Com as alterações, o controle prévio da Agência foi expandido alcançando um total de 24 empresas.

A portaria foi expedida após levantamento realizado pela SCO. A abrangência de novas prestadoras é um passo crucial para a promoção da segurança nas redes e serviços de telecomunicações, salvaguardando infraestruturas críticas de conectividade no país.

As empresas recém abrangidas pelo R-Ciber terão o prazo de um ano para se adequar, contado a partir do dia da publicação no Diário Oficial da União (27), às seguintes obrigações:

• elaboração, implementação e manutenção de Política de Segurança Cibernética, que dispõe sobre as condutas e procedimentos adotados para a promoção da Segurança Cibernética e mitigação de riscos das Infraestruturas Críticas de Telecomunicações;
• utilização de produtos e equipamentos de telecomunicações de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos no R-Ciber e realizem processos de auditoria independente periódicos;
• comunicação à Anatel, às demais prestadoras e aos usuários, sobre os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários;
• realização dos ciclos de avaliação de vulnerabilidades; e
• envio, à Anatel, de informações sobre suas infraestruturas críticas de telecomunicações.

O R-Ciber definiu, no início da sua vigência, obrigações para aquelas prestadoras não consideradas como de pequeno porte, estabelecendo para todas as prestadoras, independentemente do porte, diretrizes e princípios a serem observados.  Após reavaliação, a Agência decidiu expandir a abrangência das obrigações para prestadoras de pequeno porte (PPPs) detentoras de infraestruturas críticas.

Os critérios de infraestruturas críticas definidos, até o momento, são a prestação do serviço móvel pessoal com rede própria, operação de cabos submarinos com destino internacional e operadoras de rede que ofertam tráfego em mercado de atacado pertencentes aos grupos econômicos classificados como Poder de Mercado Significativo.

A Portaria indica nominalmente as seguinte prestadoras que passarão a cumprir as obrigações regulamentares previstas no R-CIiber: operadoras de cabo submarino com destino internacional (Globenet Cabos Submarinos S.A., Angola Cables Brasil LTDA., Cirion Technologies do Brasil LTDA., China Unicom do Brasil Telecomunicações LTDA., Cabo Brasil Europa LTDA. e Seabras 1 Brasil LTDA.); prestadoras de Serviço Móvel Pessoal detentoras de rede própria (Algar Telecom S.A., Sercomtel S.A. Telecomunicações, Brisanet Serviços de Telecomunicações S.A., Unifique Telecomunicações S.A e Ligga Telecomunicações S.A.); e operadoras de rede que ofertam tráfego em mercado de atacado pertencentes aos grupos econômicos classificados como PMS no Mercado de Transporte de Dados em Alta Capacidade, conforme Plano Geral de Metas de Competição – PGMC (Algar Telecom S.A. e Ligga Telecomunicações S.A.).

Por não serem consideradas como Prestadoras de Pequeno Porte (PPPs), empresas dos grupos econômicos Telefônica, Telecom Americas, Telecom Italia e Oi já eram abrangidas pelo R-Ciber.

Todas as prestadoras de serviço de telecomunicações devem atender ao conjunto de princípios e diretrizes constantes do regulamento.

Mais detalhes sobre a regulamentação, decisões da Agência, governança, ações de conscientização, entre outras informações, estão disponíveis na página de Segurança Cibernética do Portal Anatel.