Anatel amplia regras de cibersegurança em telecom e já discute novos limites para IA, cloud e data centers

A partir de 1º de outubro, entra em vigor a Resolução nº 740 da Anatel, que atualiza as normas de segurança digital no setor de telecomunicações. Com impacto direto para operadoras e fornecedores, a medida amplia notificações obrigatórias e reforça a governança digital, apontando para um futuro que já inclui a inteligência artificial, a computação em nuvem e a proteção dos data centers.

Recebemos da Silveiro Advogados um artigo sobre essa resolução. Confira abaixo o artigo na íntegra o conteúdo de autoria dos advogados Celso Basílio e Ana Paula Ávila.

A norma marca uma etapa inédita ao ampliar as obrigações das operadoras e fornecedores, exigindo medidas técnicas e operacionais mais robustas para reforçar a proteção das redes e dos dados dos usuários.

Antes limitada, a regulação passou a abranger também empresas de menor porte, obrigando um número maior de prestadores a implantar medidas estruturadas de proteção. O objetivo central é garantir a integridade das infraestruturas críticas de telecomunicações, a continuidade dos serviços e salvaguardar os dados pessoais de milhões de usuários. Para isso, a Anatel determinou que as operadoras adotem padrões internacionais de segurança, reforcem programas internos de governança e implementem protocolos capazes de prevenir, detectar e responder a incidentes cibernéticos.

Entre as exigências estão: alteração das configurações de fábrica de terminais de rede (como modems e roteadores), realização periódica de testes de vulnerabilidade, desenvolvimento de políticas de cibersegurança aprovadas em nível de conselho de administração, e a obrigação de disponibilizar versões resumidas dessas políticas em seus canais digitais. Tais documentos deverão ainda ser auditados por entidades independentes, gerando relatórios submetidos à Anatel.

Outra frente relevante é a checagem da cadeia de fornecedores. A norma determina que contratos de serviços e de armazenamento de dados, incluindo soluções em nuvem, contemplem cláusulas específicas de segurança. Além disso, as prestadoras terão que monitorar continuamente seus parceiros, reforçando auditorias e processos de due diligence, avaliando todos os integrantes da cadeia produtiva pelo prisma da segurança cibernética.

A notificação de incidentes também é um dos pilares. Qualquer falha que afete de maneira significativa a segurança das redes deve ser comunicada à Anatel, e também à Autoridade Nacional de Proteção de Dados (ANPD) sempre que envolver dados pessoais. A lógica por trás dessa medida é que a preparação e a transparência na resposta aos ataques serão fatores de avaliação pelo regulador em caso de sanções.

Há ainda a previsão de compartilhamento de informações entre as próprias operadoras, medida que busca criar uma inteligência coletiva para identificar padrões de ataques e antecipar novas ameaças.

O grande desafio, no entanto, é operacionalizar essas regras. Muitas empresas ainda estão em fase de adaptação, o que implica custos elevados com tecnologia, auditorias e capacitação de equipes.

Outro ponto sensível é a escassez de profissionais especializados em cibersegurança, um problema global que se reflete no Brasil. A falta de mão de obra qualificada pode dificultar a implementação de controles eficazes, criando um gargalo entre a regulação e a capacidade real de atendimento das empresas.

Do ponto de vista financeiro, há expectativa de que o aumento de custos com conformidade seja repassado, direta ou indiretamente, para o consumidor final. Essa possibilidade acende um debate sobre a necessidade de incentivos ou linhas de crédito específicas que apoiem empresas menores no cumprimento das exigências. De todo modo, a robustez dos sistemas de segurança da infraestrutura e dos dados pessoais é investimento que se reverte na qualidade do serviço em benefício dos usuários.

Agora, com a aplicação prática da norma, o setor entrará no momento de sintonia fina. Logo, será preciso ampliar a cooperação entre Anatel, ANPD e Polícia Federal para lidar com incidentes críticos; desenvolver programas de capacitação setoriais para suprir a falta de profissionais; acompanhar de perto os relatórios de grupos técnicos para detalhar novas diretrizes; e iniciar discussões sobre o uso seguro de tecnologias emergentes, como inteligência artificial aplicada a redes e proteção de data centers.

Nesse sentido, a Anatel, atenta às evoluções do setor, lançou a Consulta Pública nº 32 com o objetivo de aprimorar o Regulamento.

A proposta de alteração prevê, por exemplo, a regulamentação do combate à aplicação maliciosa de inteligência artificial, além de endereçar novas vulnerabilidades nas diversas camadas de transmissão da rede. Outro foco é a segurança de serviços de cloud computing e data centers associados ao setor. A Anatel também pretende discutir a sustentabilidade ambiental dos negócios, incluindo o consumo de energia.

A medida reforça a necessidade de um diálogo contínuo com o mercado, mostrando que a efetividade da Resolução nº 740 dependerá de ajustes e fiscalizações regulares para acompanhar o ambiente digital em constante mudança.

Fonte: Hardware.com.br