Já está em vigor a Resolução nº 740 da Anatel, complementada pela nº 767, que redefine as regras de segurança cibernética para o setor de telecomunicações. As normas ampliam a abrangência das obrigações, tornando obrigatória a notificação de incidentes de segurança não apenas à agência reguladora, mas também à Autoridade Nacional de Proteção de Dados (ANPD), além de exigir auditorias externas e políticas de segurança aprovadas em conselho.
Mesmo com a nova norma recém-implementada, a Anatel está encerrando consulta pública para atualizar as regras, incluindo obrigações específicas para serviços de inteligência artificial, data centers e cloud computing. O prazo para apresentação de propostas pelo setor terminou nesta segunda-feira, dia 29 de setembro.
Segundo dados da IBM, 80% dos ataques cibernéticos registrados no país têm como alvo pequenas e médias empresas. Em 35% dos casos, o tempo de recuperação supera os 150 dias. Esse cenário reforça a importância da regulação que, até então, recaía majoritariamente sobre grandes operadoras. Agora, todas as prestadoras que atuam em redes de telecomunicações, inclusive provedores regionais e empresas de Serviço de Comunicação Multimídia (SCM), terão obrigações proporcionais ao seu porte.
Conversei com o Advogado e especialista em regulamentação do setor de Telecomunicações, Celso Basílio – da Silveiro Advogados. No bate-papo ele falou da situação das pequenas empresas, que terão responsabilidades reduzidas, mas não estão isentas: precisarão, por exemplo, garantir equipamentos com padrões mínimos de autenticação e ambiente seguro para os usuários.
Basílio avalia que o maior desafio para o setor será o custo de implementação. “Para estar em conformidade, as empresas precisam investir em equipes, conscientização interna e atualizações tecnológicas constantes. Além disso, há escassez de profissionais qualificados em segurança cibernética no Brasil, o que encarece ainda mais a adequação”, disse.
Padrões internacionais
As resoluções colocam o Brasil em linha com práticas internacionais de proteção de redes. A Anatel tem acompanhado os reguladores da União Europeia e também diretrizes do Banco Central em relação à segurança digital. A agência agora exige que os data centers das empresas de telecomunicações notifiquem incidentes relevantes envolvendo dados de usuários.
Ele ressalta ainda que a Anatel dará atenção especial à mitigação de riscos: em caso de ataque, a forma como a empresa responde e notifica será determinante para eventuais sanções.
Para Basílio, a iniciativa demonstra um contraste entre a atuação regulatória e o ritmo do Congresso.
“Enquanto o Legislativo patina em discussões sobre big techs, a Anatel avança em medidas concretas, com diálogo direto com o mercado. A expectativa é chegar a um meio termo entre as demandas dos players e a necessidade de proteger o consumidor”, avalia.
A principal mensagem, segundo o especialista, é que o cumprimento da norma não se restringe ao setor técnico: “É preciso que todos na empresa compreendam a importância da cibersegurança. Mais do que sistemas, trata-se de criar uma cultura de governança e compliance capaz de reduzir impactos em caso de ataques.”
Assistam a entrevista:
