Resolução Anatel nº 767, de 7 de agosto de 2024
| Deliberação tomada em sua Reunião nº 934, de 4 de julho de 2024. Vide autos do Processo nº 53500.057799/2021-74. |
Altera o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações. |
Observação: Este texto não substitui o publicado no DOU de 8/8/2024.
O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 22 da Lei nº 9.472, de 16 de julho de 1997, e pelo art. 35 do Regulamento da Agência Nacional de Telecomunicações, aprovado pelo Decreto nº 2.338, de 7 de outubro de 1997,
RESOLVE:
Art. 1º O Anexo da Resolução nº 740, de 21 de dezembro de 2020, do Conselho Diretor da Agência Nacional de Telecomunicações, publicada no Diário Oficial da União do dia 24 de dezembro de 2020, que aprova o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, passa a vigorar com as seguintes alterações:
"Art. 2º-A. Todas as Prestadoras dos Serviços de Telecomunicações de Interesse Coletivo, independentemente do porte, ficam sujeitas ao cumprimento do art. 8º deste Regulamento.
Parágrafo único. O cumprimento da obrigação de que trata o caput se dará no prazo e na forma estabelecidos pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), nos termos do art. 8º, parágrafo único, deste Regulamento." (NR)
"Art. 2º-B. Aplicam-se os arts. 6º, 7º, 9º, 10 e 11 deste Regulamento às:
I - operadoras de cabo submarino com destino internacional;
II - prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e,
III - operadoras de rede que ofertam tráfego em mercado de atacado pertencentes aos grupos econômicos classificados como PMS no Mercado de Transporte de Dados em Alta Capacidade, conforme Plano Geral de Metas de Competição (PGMC).
§ 1º O disposto neste artigo se aplica independentemente do porte das prestadoras e operadoras mencionadas no caput.
§ 2º Após levantamento prévio, a Superintendência responsável expedirá portaria identificando nominalmente o rol das prestadoras e operadoras que se submeterão ao cumprimento das disposições referidas no caput.
§ 3º As prestadoras e operadoras referidas no § 2º terão o prazo de um ano para se adequar às disposições regulamentares mencionadas no caput, contado da data da publicação da portaria ali mencionada.
§ 4º A portaria a que se refere o § 2º poderá ser revista a qualquer tempo para a inclusão ou retirada de prestadoras e operadoras , hipótese na qual terá início a contagem do prazo a que se refere o § 3º para aquelas incluídos no rol.
§ 5º Para os fins do inciso I do caput:
I - considera-se operadora de cabo submarino com destino internacional a prestadora encarregada pela comunicação de dados entre países por meio de cabo submarino, assim como de um conjunto de equipamentos e instalações necessários para o estabelecimento dessa comunicação; e,
II - em caso de exploração conjunta de cabo submarino por agentes distintos, a prestadora encarregada deverá assegurar, em seu relacionamento contratual com os agentes envolvidos, que a operação ocorra de forma a atender ao que dispõe este Regulamento." (NR)
"Art. 2º-C. As prestadoras dos serviços de telecomunicações, independentemente do porte, devem notificar a Anatel nas hipóteses em que for requerida comunicação da ocorrência de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD), nos termos da legislação e regulamentação aplicáveis." (NR)
"Art. 7º .........................................................................
......................................................................................
§ 3º A prestadora poderá dispensar seus fornecedores classificados como startups, nos termos da Lei Complementar nº 182, de 1º de junho de 2021, do cumprimento dos requisitos estabelecidos no caput deste artigo.
§ 4º Na hipótese do § 3º, a prestadora se responsabilizará por observar a segurança cibernética e a adequação da solução contratada às redes de telecomunicações e a seus usuários." (NR)
"Art. 14. .............................................................................
...........................................................................................
VIII-A - os aspectos de segurança cibernética referentes às contratações de serviços de processamento e armazenamento de dados e de computação em nuvem utilizados pela prestadora, o que deve compreender:
a) a capacidade do fornecedor e a compatibilidade das suas práticas com os princípios e diretrizes deste Regulamento;
b) o mapeamento dos riscos;
c) os procedimentos e controles adotados para a mitigação dos riscos, abrangendo as funções críticas da rede e o tratamento de dados pessoais; e,
d) em caso de localização de dados no exterior, a complexidade da gestão de incidentes;
IX - os procedimentos e controles adotados para mitigar as vulnerabilidades identificadas conforme os incisos VI, VII, VIII e VIII-A;
X - a avaliação do grau de dependência de fornecedores, inclusive de serviços de processamento e armazenamento de dados e de computação em nuvem, e a previsão de possíveis impactos operacionais e financeiros em razão dessa dependência;
................................................................................." (NR)
"Art. 24. ................................................................
..............................................................................
§ 3º O GT-Ciber terá a participação das prestadoras e operadoras referidas no art. 2º, caput, e no art. 2º-B deste Regulamento.
................................................................................." (NR)
Art. 2º Esta Resolução entra em vigor em 2 de setembro de 2024.
CARLOS MANUEL BAIGORRI
Presidente