Anatel vai reavaliar lista de produtos com exigências de cibersegurança
A Agência Nacional de Telecomunicações (Anatel) vai discutir uma reavaliação da lista de produtos e equipamentos que possuem exigências de cibersegurança definidas no Regulamento de Segurança Cibernética aplicado ao setor (o R-Ciber).
Os próximos passos da reguladora no tema foram apresentados nesta quinta-feira, 28, pela superintendente de controle de obrigações da Anatel, Suzana Silva Rodrigues. Ela participou do 29º Fórum de Certificação de Produtos para Telecomunicações, promovido pela agência.
Entre os itens na agenda executiva do GT-Ciber (grupo da Anatel que discute o tema ao lado de empresas), Suzana listou a reavaliação das famílias de produtos abrangidos pelo art. 7º do R-Ciber. A regra exige políticas de segurança compatíveis para fornecedores de determinados produtos e equipamentos usados em redes.
Na mesma linha, um segundo item da agenda envolve uma possível expansão dos requisitos mandatórios de cibersegurança hoje já exigidos em CPEs (equipamentos instalados junto aos clientes), como roteadores.
Por último, o grupo técnico da Anatel também vai acompanhar a revisão em curso do R-Ciber para incluir serviços como data center e nuvem (tema que tem recebido atenção no Conselho Diretor da agência). Neste caso, análises técnicas já foram concluídas e o a discussão se encontra na Procuradoria da Anatel.
Agenda executiva do GT-Ciber. Fonte: Anatel
“Em contexto onde tudo está conectado, dos dispositivos finais aos grandes data centers, a segurança precisa ser pensada de forma integrada”, defendeu Suzana, durante painel ao lado de fornecedores.
Anatel vê cenário dinâmico
“Não se assustem porque tudo será feito com conversa e diálogo. Os atos [do GT-Ciber] que foram feitos sempre tiveram prazo relativamente longo para adequação. Estamos nos voltando para isso com um olhar responsável”, afirmou a superintendente de controle de obrigações da Anatel, se adiantando a eventuais queixas de intervenção excessiva.
A Anatel tem fortalecido gradualmente sua regulação de cibersegurança desde a aprovação do R-Ciber. Entre fornecedores, foram introduzidos processos mandatórios de testes e auditoria para famílias de produtos considerados críticos.
“A homologação passa a dialogar com riscos dinâmicos, nos quais novas vulnerabilidades surgem continuamente após a entrada do produto no mercado”, afirmou Suzana Silva Rodrigues. “Não se trata apenas de garantir que o equipamento funcione bem: trata-se de garantir que ele não introduza vulnerabilidade nas redes”.