A Agência Nacional de Telecomunicações informa que, em cerca de dois meses, passará a exigir a comprovação do Procedimento Operacional com diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos e equipamentos de telecomunicações para Prestadoras de Serviços de Telecomunicações, de acordo com Ato nº 16417, de 22 de novembro de 2024, publicado pela Superintendência de Outorga e Recursos à Prestação.
Assim, a partir de 26 de novembro, para que seja autorizada a utilização dos equipamentos abrangidos pelo Ato, será necessário o cumprimento dos requisitos do procedimento operacional. Caso contrário, a prestadora não poderá utilizar estes equipamentos em sua rede.
As auditorias devem ser conduzidas por entidades habilitadas, como Organismos de Certificação Designados (OCD) reconhecidos pela Anatel, ou por instituições acreditadas por organismos internacionais de certificação. Os fornecedores são responsáveis por apresentar às prestadoras os atestados de conformidade emitidos por essas entidades, comprovando a aderência aos requisitos da Política de Segurança Cibernética publicada pela Anatel.
As diretrizes de auditoria a serem seguidas foram desenvolvidas dentro do Subgrupo Técnico de Equipamentos, Fornecedores e Requisitos do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT- Ciber), em cumprimento ao § 2º do art. 7º do R-Ciber (Res. nº 740/2019). O Subgrupo Técnico conta com cerca de 160 integrantes, representando prestadoras de serviços, indústria, academia, centros de pesquisa, laboratórios de ensaio, Organismos de Certificação Designados, além de servidores da Anatel.
As diretrizes de auditoria têm aplicação conjunta com a Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras. Política aprovada pelo Despacho Decisório nº 16/2023/COQL/SCO, que também foi elaborada pelo referido Subgrupo Técnico.
A avaliação de auditoria se refere ao processo de manufatura do Fabricante e seus controles internos, devendo ser realizada sobre documentação ou evidências emitidas pelo Fabricante e deve garantir a adoção dos seguintes princípios, dentre outros:
a) Security by design: uso de ferramentas automatizadas para análise de códigos, adoção de metodologias empregadas para tratamento de erros e vulnerabilidades identificados;
b) Security by default: proteção de senhas, documentação de todas as formas de comunicação e possibilidade de se desabilitar funcionalidades de comunicação não essencial;
c) Privacy by design: possibilitam a utilização de métodos adequados de criptografia para a transmissão de dados sensíveis
d) Adoção de política clara de suporte, realização de atualizações de segurança e disponibilização canal para notificações de vulnerabilidades;
e) divulgação coordenada de vulnerabilidades (CVD), provendo informações detalhadas aos clientes, usuários finais e terceiros.
Todas as informações estão disponíveis no portal da Anatel, no seguinte link:
