A Anatel (Agência Nacional de Telecomunicações), a partir da consulta pública n.º 08/2024, disponibilizada no dia 19/02/2024, através da plataforma Participa Anatel, abre proposta para estabelecimento de procedimento operacional para habilitação de entidades especializadas em avaliação de segurança cibernética em produtos para telecomunicações.

A documentação completa referente a esta consulta pública está disponível no processo SEI Anatel nº 53500.081824/2023-01. A minuta que está em consulta trata de questões como: tipo de entidade que poderá solicitar a habilitação; quais hipóteses podem ser desconsideradas; como proceder com o pedido de credenciamento junto à Anatel, incluindo a documentação mínima exigida e detalhes do Termo de Compromisso a ser firmado.

Segundo consta, a ideia central se consubstancia em estabelecer uma metodologia para habilitar entidades com elevado grau de especialização para realização de testes de maior complexidade em produtos de telecomunicações em atividades de supervisão de mercado, como: testes de intrusão, avaliação e simulação de novos ataques identificados (zero day exploit), avaliação de código fonte dos softwares/firmwares dos equipamentos, avaliação da estrutura de arquivos armazenados, monitoramento das conexões de dados estabelecidas pelos equipamentos e avaliações do comportamento de suas funcionalidades.

No entender da Anatel, este tipo de avaliação é importante para garantir que os produtos homologados disponibilizados no mercado deverão possuir grau satisfatório de segurança cibernética e para avaliar os riscos de produtos não homologados apreendidos pela fiscalização da Agência.

A parceria com entidades tem como ponto de partida a previsão regulamentar de que a Anatel pode atuar tanto na certificação da segurança cibernética de produtos para telecomunicações (pré-venda) como na avaliação destes em atividades de supervisão de mercado (pós-venda).

Desta forma, as entidades em questão terão o papel de auxiliar na detecção de novas técnicas de ataque cibernético, em colaboração ao desenvolvimento de medidas mitigatórias (proativas) e reativas por parte da indústria e dos órgãos reguladores.

Segundo consta da já mencionada consulta pública (n.º 08/2024), a entidade interessada deverá comprovar capacidade técnica e administrativa para elaboração do trabalho, com expertise de pelo menos 5 (cinco) anos no mercado de segurança cibernética e equipe técnica de ao menos 20 (vinte) profissionais de segurança cibernética.

Outro aspecto importante paira no fato de que, caso seja concedida a habilitação, tal terá prazo de validade de 2 (dois) anos a partir de sua publicação, bem como poderá ser renovada desde que haja manifestação do interessado 3 (três) meses antes do vencimento do prazo da habilitação então vigente.

Por fim, constam as hipóteses de extinção da habilitação caso incidentes quaisquer das seguintes situações abaixo:

1. a pedido da entidade habilitada;


2. extinção, falência, fusão, cisão ou aquisição da entidade habilitada;


3. quebra de segurança nas informações sigilosas manipuladas pela entidade habilitada; ou


4. se a entidade habilitada deixar de cumprir qualquer dos requisitos estabelecidos na regulamentação da Anatel.

Na hipótese de haver situações omissas que não contempladas no documento convocatório (consulta pública 08/2024), tais questões poderão ser resolvidas administrativamente pela Gerência competente da ANATEL.

Os interessados em participar poderão enviar sugestões pelo sistema Participa Anatel até o dia 29 de abril.

Acesse a íntegra da Consulta Pública n° 8, de 2024.

Fonte: AGF Advice Consultoria Legislativa e Relações Governamentais - Assessoria Legislativa do SEPRORGS