A Anatel prepara mudanças no regulamento de segurança cibernética, com foco especial na fiscalização de data centers e serviços de computação em nuvem. Uma minuta de resolução, que vai entrar em consulta pública, determina que as operadoras de telecomunicações só poderão utilizar equipamentos e serviços de fornecedores que respeitem os padrões da agência.
A proposta estabelece que as prestadoras deverão garantir que toda a cadeia de infraestrutura – incluindo data centers e cloud computing – utilize apenas produtos e serviços de empresas que atendam a três requisitos fundamentais: possuir políticas de segurança cibernética alinhadas às regras da Anatel; manter processos de auditoria independente realizados regularmente; e transparência total, com relatórios acessíveis à agência sob demanda sempre que solicitados.
Além do foco em nuvem e data centers, a proposta da Anatel estabelece novas exigências para o uso de tecnologias emergentes, determinando que as operadoras deverão: realizar avaliações obrigatórias dos riscos e benefícios da inteligência artificial (IA) e computação quântica; elaborar relatórios detalhados sobre as medidas de segurança aplicadas a essas tecnologias; e implementar uma gestão reforçada de vulnerabilidades, com ciclos regulares de testes de segurança. A minuta também atualiza o conceito de resiliência cibernética, definindo-a como a capacidade de redes e serviços resistirem a ataques e retomarem rapidamente a operação normal.
O Grupo de Trabalho de Segurança Cibernética (GT-Ciber) da Anatel ganhará mais atribuições, incluindo a definição de procedimentos para as novas regras de fiscalização. A participação no grupo também será estendida a empresas de satélites, associações do setor e outras instituições relacionadas a infraestruturas críticas.
A análise da agência lembra que embora o R-Ciber já contemple princípios e diretrizes aplicáveis a todas as prestadoras — inclusive as que utilizam infraestrutura satelital —, ainda não há regras específicas voltadas às detentoras de direito de exploração de satélite. A norma se aplica integralmente às prestadoras de grande porte e às infraestruturas críticas identificadas pela Anatel, como operadoras de cabo submarino, redes móveis próprias e prestadoras de atacado de transporte de dados.
A proposta que vai à consulta inclui no artigo que trata do GT-Ciber o seguinte texto:
“§ 4º O Superintendente Coordenador poderá franquear a participação de outras prestadoras de serviços de telecomunicações além das referidas no parágrafo 3º, de empresas detentoras de direito de exploração de satélite para transporte de sinais de telecomunicações, das demais empresas do ecossistema de telecomunicações envolvidas direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações, das respectivas associações e de outras instituições cujos objetivos e finalidades guardem pertinência com os temas e atribuições de responsabilidade do GT-Ciber.”
