A Anatel considera que, mesmo não estando necessariamente sujeitas aos controles regulatórios das telecomunicações, empresas de datacenters e de cabos submarinos precisam cumprir o regulamento específico da agência sobre segurança cibernética.
“Essa é uma discussão que já vem de algum tempo sobre quais empresas no Brasil de telecomunicações deveriam estar abrangidas com um conjunto maior de obrigações. O que nós fizemos foi que empresas detentoras de infraestruturas críticas devem ter esse conjunto de obrigações, assim como aquelas empresas com poder de mercado significativo”, diz o superintendente executivo da Anatel, Gustavo Borges.
“Além de um possível incidente afetar seu negócio, afeta de uma forma substancial a sociedade. São empresas detentores de infraestrutura crítica, são detentores de poder de mercado significativo. Por isso, além dos cuidados que já adotam, a gente tem uma camada extra de controle, agora da agência reguladora, que determina com eles que eles tenham política de segurança cibernética, aprovada pelo conselho de administração e isso vincula a empresa. Isso vincula a responsabilidade”, explica Borges.
Daí também os detentores de cabos submarinos serem incluídos no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), além de outras. “Empresas que são provedoras de tecnologia telefonia móvel, independente se é de abrangência nacional ou se é regional, e também empresas que são dedicadas a fazer a fruição de tráfego nacional interestadual com poder de mercado significativo nesse mercado”, completa.
“A questão de datacenters é que há uma percepção de que, cada vez mais, se trata de uma infraestrutura de core dos serviços de telecomunicações. Então, é preciso dedicar uma atenção especial. Porque muitas vezes é feito com parceiros também, então é importante se ter uma estratégia de como usar a cloud de uma forma que seja segura, em termos de resiliência, proteção dos dados, etc.”
