Anatel

Agência Nacional de Telecomunicações - ANATEL

Sistema de Acompanhamento de Consulta Pública - SACP

Relatório de Contribuições Recebidas

 Data: 12/08/2022 00:09:21
 Total de Contribuições:14

CONSULTA PÚBLICA Nº 63


 Item:  Art. 1º
Contribuição N°: 1
ID da Contribuição: 98498
Autor da Contribuição: FERNANDO MAGALHÃES HOLMES
Data da Contribuição: 21/03/2022 18:30:16
Contribuição:

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, observados os prazos e condições estabelecidos nesta Instrução Normativa.
 

Justificativa:

Entendemos e compartilhamos da preocupação desta douta Agência Reguladora quanto à necessidade de mantermos um ambiente tecnológico seguro para nossos clientes. Não divergimos nesse ponto, pois segurança cibernética é questão inegociável contida nos valores da Algar Telecom. Todavia, gostaríamos de oportunamente apresentar alguns apontamentos em relação às dificuldades que serão vivenciadas pelas PPPs no decorrer da implantação dos novos processos e adequações contidos na Resolução nº 740/20.

1. Do impacto econômico para aderência regulatória

Um primeiro ponto que gostaríamos de ressaltar diz respeito ao impacto econômico trazido pela implantação dos processos que envolvem o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020. Assim dispõem os referidos dispositivos:

Art. 6º A empresa deve elaborar, implementar e manter uma Política de Segurança Cibernética, nos termos da Seção II deste Capítulo.

Art. 7º A prestadora deve utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos neste Regulamento e realizam processos de auditoria independente periódicos.

§ 1º Os resultados do processo de auditoria mencionado no caput devem estar disponíveis para a Anatel a qualquer momento, sempre que requisitados.

§ 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 8º A prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários.

Parágrafo único. Cabe ao GT-Ciber estabelecer a relação dos equipamentos abrangidos e dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 9º A prestadora deve notificar à Agência e comunicar às demais prestadoras e aos usuários, conforme o caso e sem prejuízo de outras obrigações legais de comunicação, os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários, nos termos da Seção III deste Capítulo.

Art. 10. A prestadora deve realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética, nos termos da Seção IV deste Capítulo.

Art. 11. A prestadora deve enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações, nos termos da Seção V deste Capítulo.

Por apresentarem grande relevância, trataremos, inicialmente, dos aspectos econômicos atrelados às obrigações previstas nos arts. 6º e 10 que trazem a obrigatoriedade de elaboração de Política de Segurança Cibernética aderente à Resolução nº 740/2020 e a realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. 

Como ponto de partida para elaboração da Política de Segurança Cibernética, a Anatel apresenta nos arts. 12 a 16 da Resolução nº 740/2020 as balizas que direcionam o cumprimento da obrigação:

Art. 12. A Política de Segurança Cibernética dispõe sobre as condutas e procedimentos adotados para a promoção da Segurança Cibernética e mitigação de riscos das Infraestruturas Críticas de Telecomunicações.

Art. 13. A Política de Segurança Cibernética deve ser aderente aos princípios e diretrizes dispostos neste Regulamento, e ainda:

I - ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas;

II - ser disseminada aos profissionais e colaboradores das áreas afetas, em seus diversos níveis, papéis e responsabilidades, resguardando-se o compartilhamento de informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, no que couber;

III - estabelecer estrutura interna responsável pela política, com a identificação de pessoas e áreas competentes, bem como ponto focal para contato em eventuais urgências;

IV - designar diretor responsável pela Política de Segurança Cibernética, o qual pode desempenhar outras funções na empresa, desde que não haja conflito de interesses;

V - ser aprovada pelo conselho de administração ou órgão de deliberação colegiado equivalente da empresa;

VI - ser periodicamente atualizada e revisada, sempre que necessário; e

VII - estar disponível à Anatel sempre que solicitada, juntamente com os documentos complementares e os comprovantes de sua aprovação interna pelo órgão competente.

Parágrafo único. Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a empresa responsável, em níveis e funções, onde aplicável.

Art. 14. A Política de Segurança Cibernética deve contemplar, no mínimo:

I - os objetivos de Segurança Cibernética da empresa;

II - as normas e padrões, nacionais ou internacionais, e as referências de boas práticas em Segurança Cibernética adotados;

III - os procedimentos para a disseminação da cultura de Segurança Cibernética e capacitação dentro da empresa;

IV - o plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de Segurança Cibernética;

V - os procedimentos relativos ao armazenamento seguro dos dados de seus usuários, nos termos da legislação e regulamentação;

VI - os procedimentos e controles adotados para a identificação e a análise das vulnerabilidades, das ameaças e dos riscos associados à Segurança Cibernética, às Infraestruturas Críticas de Telecomunicações e à continuidade dos serviços de telecomunicações;

VII - o mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários;

VIII - a hierarquia das Infraestruturas Críticas de Telecomunicações;

IX - os procedimentos e controles adotados para mitigar as vulnerabilidades identificadas conforme os incisos VI, VII e VIII;

X - a avaliação do grau de dependência de fornecedores e a previsão de possíveis impactos operacionais e financeiros em razão dessa dependência;

XI - o plano de resposta a incidentes, definindo ações, recursos e responsabilidades; e,

XII - os procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes e outras informações relativas à Segurança Cibernética.

Art. 15. A prestadora deve publicar, em sua página na Internet, com linguagem compreensível, extrato da sua Política de Segurança Cibernética contendo as informações não sensíveis.

Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à publicação de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 16. A empresa deve, anualmente ou sempre que solicitado, apresentar à Anatel relatório sobre o acompanhamento de execução da Política de Segurança Cibernética.

Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para o relatório de acompanhamento de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Já faz alguns anos que Algar Telecom adotou uma Política de Segurança da Informação que certamente contempla a maioria dos pontos exigidos pela Anatel, e para a qual entende-se que são eficientes para o que se espera de uma empresa regional. Com a proposta dessa Consulta Pública, a Agência coloca em condições simétricas operadoras de grande porte com algumas empresas regionais (de pequeno porte). Algumas regras impostas pela Resolução nº 740/2020 trazem uma certa complexidade em seu cumprimento e investimentos ainda não estimados. Como não houve uma análise de impacto regulatório sobre  essa proposta, a qual inclui algumas operadoras regionais, esse cálculo e impacto terão que ser realizados com o processo em curso, caso a imposição das novas regras seja confirmada. Daí a importância da realização prévia da análise de impacto regulatório, uma vez que os assuntos ali abordados refletem no provisionamento de recursos que as prestadoras fazem para o atendimento de novas obrigações.

E por falar em novas obrigações, observamos que o Regulamento de Segurança Cibernética traz regras específicas quanto à forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética:

Art. 19. Os ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética devem ser realizados por entidade aferidora ou empresa capacitada e independente.

§ 1º Os resultados da avaliação de que trata caput devem ser submetidos à Anatel, onde serão tratados de forma sigilosa.

§ 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades e apresentação dos resultados mencionados neste artigo, observado o disposto no art. 24 deste Regulamento.

Ressaltamos aqui a presença de determinação que aponta para a obrigatoriedade de contratação de empresas especializadas visando à aderência ao art. 10 da Resolução nº 740/2020. Destacamos, por ter grande relevância, que os contornos da obrigação podem ainda sofrer alterações que escapam ao conhecimento dos entes regulados, pois caberá ao “GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades”. Além da imposição de novos custos, percebemos que há evidente risco relacionado à quantificação dos investimentos que serão demandados para o pleno atendimento dos aspectos que serão determinados pelo referido Grupo de Trabalho, visto que a Resolução nº 740/2020 não é exaustiva quanto ao tema e deixa para o GT-Ciber a missão de delinear os contornos da obrigação. 

Outro ponto que merece atenção é o disposto no art. 8º da Resolução nº 740/2020. Aqui a Anatel novamente traz obrigação de custo elevadíssimo para as empresas regionais ao determinar que “a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários”, sem estabelecer, para tanto, prazo razoável para adequação, ou ainda apresentar análise de impacto regulatório que demonstre alternativas diferenciadas para o cumprimento dessa obrigação por parte das prestadoras. Além da elaboração de um plano consistente para a realização dos ajustes nas configurações dos equipamentos, as empresas terão que direcionar equipes de campo para execução da atividade, pois não são todos os cenários que permitirão realizar intervenção remota para modificar as senhas dos dispositivos fornecidos em regime de comodato. Lembramos ainda que as PPPs possuem corpo técnico enxuto para garantir eficiência e competitividade em suas operações. Medidas assimétricas, portanto, são fundamentais para que as PPPs possam cumprir o art. 8º da Resolução nº 740/2020, estabelecendo prazo mínimo diferenciado de ao menos 18 (dezoito) meses, após a entrada em vigor da novel Instrução Normativa, para que as prestadoras iniciem as tratativas internas e atividades de campo para atender a finalidade do art. 8º da Resolução nº 740/2020.

Entendemos, assim, que a Agência, ao incluir as PPPs nesses dispositivos, impôs às empresas novos esforços econômicos que impactam sensivelmente em seus fluxos de caixa e programação orçamentária dentro do mesmo exercício financeiro em que será aprovada a nova Instrução Normativa. Cabe-nos lembrar que estamos tratando de empresas de pequeno porte que estão constantemente buscando formas de inovar e competir com as detentoras de Poder de Mercado Significativo (PMS), sem dispor dos mesmos recursos financeiros que as grandes prestadoras.

Ademais, percebe-se ainda, do ponto de vista legal, que a Agência inovou na sua interpretação que constava da Análise de Impacto Regulatório realizada previamente à elaboração da Resolução nº 740/2020, visto que naquela oportunidade entendeu como justo e coerente com a perspectiva regulatória excluir as PPPs da incidência dessas obrigações, justificando “o estabelecimento de requisitos substancialmente menores para aquelas de pequeno porte, nos termos da regulamentação, também em razão do menor potencial de influência dos ataques originados em suas redes”.

De lá para cá, sabemos que nada ou muito pouco mudou em relação ao risco potencial de eventuais ataques originados nas redes das PPPs. Temos o dever de destacar que sequer foram identificados nesse período incidentes relevantes que justificassem a mudança de entendimento da Anatel. A Agência já havia firmado posição quanto à necessidade de assimetria regulatória diante do porte e da inexpressividade de incidentes relacionados à Segurança Cibernética das PPPs. E agora, sem apresentar nova análise de impacto regulatório para sustentar a mudança de entendimento, propõe a imposição de regras que incrementam custos operacionais sem que haja tempo hábil para acomodá-los no orçamento das empresas regionais. A conclusão que chegamos é que estão presentes indícios de falta de razoabilidade e possível descumprimento dos arts. 4º e 6º da Lei das Agências Reguladoras, Lei nº 13.848/2019, que assim determina:

Art. 4º A agência reguladora deverá observar, em suas atividades, a devida adequação entre meios e fins, vedada a imposição de obrigações, restrições e sanções em medida superior àquela necessária ao atendimento do interesse público.

(...)

Art. 6º A adoção e as propostas de alteração de atos normativos de interesse geral dos agentes econômicos, consumidores ou usuários dos serviços prestados serão, nos termos de regulamento, precedidas da realização de Análise de Impacto Regulatório (AIR), que conterá informações e dados sobre os possíveis efeitos do ato normativo.

Trazemos também à consideração desta r. Agência Reguladora a inafastável observação quanto ao previsto no art. 23 da Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942:

Art. 23.  A decisão administrativa, controladora ou judicial que estabelecer interpretação ou orientação nova sobre norma de conteúdo indeterminado, impondo novo dever ou novo condicionamento de direito, deverá prever regime de transição quando indispensável para que o novo dever ou condicionamento de direito seja cumprido de modo proporcional, equânime e eficiente e sem prejuízo aos interesses gerais.

Diante disso, não obstante o que a pouco apresentamos como medidas imprescindíveis para minimizar o impacto da nova regulamentação, também há que se levar em conta a importância da análise de impacto regulatório sobre a matéria em consulta, e consequente adequação do processo normativo à legislação..

2. Da necessidade de adequação dos prazos

Como ressaltado no tópico anterior, a absorção interna das novas obrigações contidas na Resolução nº 740/2020 implicará a realização de gastos significativos para as PPPs que não estavam diretamente previstos no orçamento de 2022. Além do tempo requerido para acomodar esses gastos dentro do orçamento, haverá necessidade de realizar contratação de consultoria especializada para adequação de regras, identificação de vulnerabilidades e realização de ciclos de avaliação, sem falar do tempo e dos gastos que serão aplicados para ajustes dos equipamentos fornecidos em regime de comodato.

Também é sabido pela Anatel que as PPPs não tiveram participação relevante no GT-Ciber. A ausência de voz ativa nesse grupo de trabalho colocou as PPPs em condição de desvantagem em razão da deficiência de participação na elaboração    dos instrumentos normativos. Apesar de pegarmos o processo já em andamento, não estamos nos furtando da responsabilidade de adotar as medidas que contribuam com a melhoria da Segurança Cibernética. O que pedimos, com base na razoabilidade e na legislação aplicável, é tão-somente a adoção de prazos diferenciados. É medida que visa, inclusive, a respeitar um dos princípios mais caros para a regulação e para a construção de um Estado Democrárico de Direito: estamos falando do Princípio da Isonomia e de sua eficácia irradiante no âmbito das normas derivadas que buscam estabelecer condições de assimetria regulatória. 

“a regra da igualdade não consiste senão em tratar desigualmente os desiguais na medida em que se desigualam. Nesta desigualdade social, proporcional e desigualdade natural, é que se acha a verdadeira lei da igualdade. Os mais são desvarios da inveja, do orgulho ou da loucura. Tratar com desigualdade os iguais, ou os desiguais com igualdade, seria desigualdade flagrante, e não igualdade real. Os apetites humanos conceberam inverter a norma universal da criação, pretendendo, não dar a cada um, na razão do que vale, mas atribuir os mesmos a todos, como se todos se equivalessem”. (Citação de Ruy Barbosa por BULOS, Uadi Lammêgo. Curso de Direito Constitucional. 3 ed. Saraiva: São Paulo, 2009, p. 420)

Essa é a leitura que temos que fazer do art. 5º, caput, da Constituição Federal de 1988. E os reflexos desse princípio - denominado pela doutrina como Eficácia Irradiante dos Direitos Fundamentais - podem ser encontrados no art. 2º, inciso III, da Lei nº 9.472/97 - Lei Geral de Telecomunicações (LGT) - (Art. 2°. O Poder Público tem o dever de: (...) III - adotar medidas que promovam a competição e a diversidade dos serviços, incrementem sua oferta e propiciem padrões de qualidade compatíveis com a exigência dos usuários), o qual norteia a elaboração de resoluções, informes, pareceres e decisões adotadas pela Anatel. O regulador, portanto, deve estar atento à inclusão das assimetrias regulatórias no processo de construção normativa para garantir condições isonômicas sob a perspectiva material e tornar o produto do seu trabalho algo completo e mais refinado do ponto de vista da boa técnica legislativa. 

Entendida a importância de seguirmos nessa direção, informamos que em um estudo preliminar, elaborado por consultoria especializada contactada pela Algar especificamente para implantação dos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020, consta indicação quanto à necessidade da realização de um complexo conjunto de atividades que, contemplando tão-somente a análise de gap com coleta de dados sob a ótica da Resolução para posterior planejamento, desenho e especificação da solução e implantação de processos, demandaria alguns meses para a conclusão. Temos ainda que acrescentar a esse prazo todo trâmite necessário para alocação de recursos, contratação de equipe técnica dedicada, identificação de ativos de rede, análise de vulnerabilidades, capacitação interna, desenvolvimento e aprimoramento de sistemas de Tecnologia da Informação, correção de falhas e implantação das mudanças introduzidas pela Resolução nº 740/2020 em campo. É fácil perceber, portanto, que se trata de um projeto de altíssima complexidade e que deve ser conduzido com extrema responsabilidade pela Algar.

Assim, trazendo o assunto para termos mais concretos, caso a Agência ainda entenda pela aplicação da Resolução nº 740/2020 às PPPs, podemos observar que todo o processo exigirá ao menos 18 (dezoito) meses para ser concluído. Entende-se que não há fato novo que justifique a extensão das obrigações às PPPs, mas se ainda assim a Agência entender pela necessidade de ampliar a aplicação do Regulamento, faz-se necessária a inclusão de mecanismos de assimetria regulatória dentro da nova Instrução Normativa para autorizar às PPPs a adoção de prazo diferenciado, o qual sugerimos como sendo de 18 (dezoito) meses a partir da entrada em vigor da Instrução Normativa.

3. Das contribuições ao texto da Instrução Normativa

Agora que já foram apresentadas as justificativas das nossas contribuições, gostaríamos de pontuar especificamente os ajustes que entendemos indispensáveis na Instrução Normativa ora proposta que viabilizarão a implementação das obrigações pertinentes à Resolução nº 740/2020. Em breve síntese, estamos recomendando pequenas adequações ao texto e a inclusão de um artigo específico para tratar de prazos diferenciados às PPPs.

Os arts. 1º e 2º da proposta da Instrução Normativa apresentam o seguinte texto:

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

I - Detentoras de cabo submarino com destino internacional;
II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

 
Nossa contribuição consiste em pequenos acréscimos nesse texto - porém significativos sob a perspectiva isonômica - com o objetivo de trazer a assimetria regulatória para dentro do regulamento e torná-lo mais equilibrado e completo:

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, observados os prazos e condições estabelecidos nesta Instrução Normativa.

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo, observados os prazos e condições estabelecidos nesta Instrução Normativa:

I - Detentoras de cabo submarino com destino internacional;
II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

Sugerimos que o detalhamento dos “prazos e condições” seja incluído em artigo específico para dar o destaque e a amplitude necessária dentro da Instrução Normativa. Recomendamos, assim, a inclusão do presente artigo 5º e a renumeração, consequentemente, do atual artigo 5º para o artigo 6º, conforme segue:

Art. 5º. Fica assegurado às Prestadoras de Pequeno Porte prazo não inferior a 18 (dezoito) meses para o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, contados a partir da entrada em vigor da presente Instrução Normativa, sendo ainda facultado ao GT-Ciber estabelecer outros critérios mais favoráveis conforme particularidades apresentadas por cada Prestadora de Pequeno Porte.

Além da renumeração do atual artigo 5º, entendemos primordial a adoção de um maior período de transição para o início da vigência da Instrução Normativa. Segue a nossa proposta:

Art. 6º Esta Instrução Normativa entra em vigor 180 (cento e oitenta) dias após a sua publicação.

Com esses ajustes pontuais, tornamos a Instrução Normativa mais aderente ao Princípio da Isonomia e homenageamos a assimetria regulatória que é tanto celebrada pela doutrina e jurisprudência dos setores regulados. Teremos um regulamento que se coaduna com as boas práticas legislativas e, não menos importante, factível de ser implementado pelas PPPs sem que haja comprometimento desarrazoado da regularidade orçamentária. 

4. Dos Pedidos

Feitas essas considerações, a Algar Telecom respeitosamente apresenta à Superintendência de Controle de Obrigações (SCO) da Anatel os seguintes pedidos para que sejam considerados(as) procedentes:

os argumentos sustentados quanto aos impactos econômico-financeiros trazidos pela incidência da nova Instrução Normativa às Prestadoras de Pequeno Porte;

a) as justificativas e preocupações colacionadas no texto em relação à impossibilidade de cumprimento pelas PPPs das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020 em prazo inferior a 18 (dezoito) meses;

b) a sugestão para realização de Análise Impacto Regulatório (AIR) específica para tratar da inclusão das PPPs no escopo das obrigações estabelecidas nos arts.  6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020;

c) a inclusão de um período de transição de 180 (cento e oitenta) dias, na forma de vacatio legis, para fins de cumprimento do art. 23 da  Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942, com vistas a permitir a adaptação das PPPs aos novos condicionamentos;

d) as contribuições de alteração de texto sugeridas para os arts. 1º e 2º, assim como para os novos arts. 5º e 6º que recomendamos incluir ao texto original da presente Instrução Normativa, garantindo a concretização do Princípio da Isonomia por meio da aplicação de instrumentos de assimetria regulatória que garantirão os meios necessários para cumprimento das obrigações por parte das PPPs.

A Algar Telecom segue à disposição de Vossa Senhoria para eventuais esclarecimentos que se façam necessários.
 

Contribuição N°: 2
ID da Contribuição: 98501
Autor da Contribuição: Sergio Mauro da Silva Maia
Data da Contribuição: 21/03/2022 18:50:25
Contribuição:

Entendemos a importância conceitual do artigo mencionado acima e que sem dúvida tem relevância. Entretanto a forma como esta proposta aborda a sua aplicação não nos parece razoável, visto que impõe alguma obrigação que talvez seja de difícil aplicação para muitas prestadoras de pequeno porte (PPP).

O artigo 8º do Resolução nº 740/2021 traz a obrigação de alteração de configuração de padrão de autenticação de equipamentos instalados em regime de comodato, onde tal configuração ainda será definida pelo grupo de trabalho (GT-Ciber) da Anatel.  Vejamos:

“Art. 8º A prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários.

Parágrafo único. Cabe ao GT-Ciber estabelecer a relação dos equipamentos abrangidos e dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.”

 

Contribuição:  Propomos a exclusão deste artigo.

 

Justificativa:

Nota-se neste exemplo a ausência de considerações importantes como a de que milhares de equipamentos em regime de comodato já podem estar instalados em locais remotos do país e que podem corresponder a um parque tecnológico que ainda não contemplava os avanços cibernéticos assumidos nesta proposta na época de sua instalação em campo, de que permitam uma reconfiguração remota. Neste caso as PPP´s seriam forçadas a arcar com um alto custo de visitas a campo para uma reconfiguração “in locco”, custo esse que pode trazer impacto negativo ao negócio e à oferta dos serviços.

Contribuição N°: 3
ID da Contribuição: 98509
Autor da Contribuição: Rhian Simões Monteiro Duarte
Data da Contribuição: 21/03/2022 20:03:32
Contribuição:

Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, alterando-se o prazo de adequação previsto no art. 27 da Resolução para 18 meses a contar da publicação desta minuta e admitindo-se o não cumprimento da obrigação desde que devidamente comprovada risco de vulnerabilidade ou impossibilidade técnica decorrente da tecnologia ou dos protocolos de autenticação empregados pela Prestadora de Pequeno Porte.

Justificativa:

Conforme parágrafo único do art. 8° da Resolução 740/202, embora o GT-Ciber ainda deva pormenorizar quais equipamentos estão abrangidos pela obrigação do art. 8°, nos termos do seu parágrafo único, alguns pontos podem e devem ser endereçados de maneira mais conceitual pela Agência, ainda mais em função da extensão da aplicação do art. 8° às PPPs.

A ABRINT não vê prejuízos da aplicação do artigo 8° à totalidade das prestadoras, mas reitera sua preocupação tanto com o prazo exíguo de adequação, quanto com à ausência de garantias de excepcionalidades de risco de acréscimo de vulnerabilidade ou impedimento de ordem técnica, conforme o protocolo de autenticação e o uso de tecnologia específica. Apenas à título de exemplo: i) se não há um sistema de gerenciamento de rede (NMS) na prestadora, a mudança de autenticação deve ser feita por CPE, inviabilizando o prazo previsto pela Anatel e o compliance imediato da empresa; 2) se o protocolo usado for Telnet, a empresa corre o risco de sniffer de rede malicioso no momento do tráfego do comando; 3) nos casos em que a ONU é em bridge, o PPPoE é aprovisionado direto no Roteador que fica no cliente e sua forma de autenticação recai no acesso via web, um a um; 4) sempre que o acesso/autenticação não permita scrip, há um problema de se pensar em resolver autenticação em massa de CPEs;

Em vista da diversidade de cenários, sugere-se que a aplicação da obrigação prevista no artigo 8° deva endereçar, já nesse momento, que se observarão as particularidades da tecnologia e dos protocolos de autenticação empregados pela prestadora, de modo a que o cumprimento do dispositivo regulatório não impacte a operação, não resulte em vulnerabilidade mesmo que momentânea e que seja possível de ser realizada pela prestadora observadas as particularidades do serviço. Nesse último caso, também se sugere a modulação do artigo conferindo-se prazo bem mais extenso (até 18 meses) para a adoção de solução de autenticação que viabilize a pretensão de segurança exposta pelo regulador.

 Item:  Art. 2º

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

I - Detentoras de cabo submarino com destino internacional;

II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e

III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

Contribuição N°: 4
ID da Contribuição: 98495
Autor da Contribuição: jose carlos picolo
Data da Contribuição: 21/03/2022 15:01:00
Contribuição:

Esta contribuição é em nome da Oi S.A. CNPJ 76.535.764/0001-43

Alterar a redação do artigo 2° para:

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas Prestadoras de Pequeno Porte, nos termos da regulamentação de competição.

Justificativa:

Esta contribuição é em nome da Oi S.A. CNPJ 76.535.764/0001-43

Na redação original do Art.2º desta Instrução Normativa, a Anatel ampliou a incidência das obrigações do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações para as empresas Prestadoras de Pequeno Porte, porém limitou esta incidência de obrigações às empresas PPPs classificadas como de Infraestruturas Críticas de Classes I, a saber:

 I - Detentoras de cabo submarino com destino internacional;

II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e

III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

No entanto, a Oi entende que as obrigações devem ser extensíveis e exigíveis para todas as PPPs, independentemente da classificação e do porte, diante da inegável necessidade de realização de ciclos de avaliação de vulnerabilidades por todos os agentes do ecossistema que prestam serviços de telecomunicações. Isso porque, conforme amplamente veiculado em mídias especializadas e também no Relatório Técnico: Nota Técnica sobre Infraestrutura Crítica em ISPs, do CPQD, em anexo, as empresas de pequeno e médio porte são as mais vulneráveis a ataques digitais, pois não possuem uma infraestrutura de cibersegurança estruturada – às vezes sequer possuem tal estrutura - e não estão obrigadas pela Regulamentação a seguir processos de mitigação de riscos.

Portanto, todas as Operadoras e Provedores de TIC devem ter um processo de análise de vulnerabilidades e de risco implantados, independente do porte (Resolução nº 740/2020 - Acórdão nº 692), uma vez que o cliente do serviço de telecomunicações de qualquer operadora deve ter garantido os seus direitos de qualidade, continuidade e privacidade.

Também, é entendimento da Oi que para que se tenha êxito na prevenção contra incidentes cibernéticos, esta precisa ser uniforme, e englobar todos os players, a fim de permitir a efetiva proteção de dados e informações virtuais, haja vista que as redes de telecomunicações são todas encadeadas, interligadas.

Importante destacar que a segurança cibernética pode ser descrita como “ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”[1]. O Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, complementado pela Instrução Normativa ora em Consulta Pública objetiva atender essas ações em sua plenitude.

Além disso, é necessário que todos os agentes, inclusive as PPPs, tenham a obrigação de comunicar a ocorrência dos incidentes de cibersegurança relevantes de forma transparente, com objetivo de compartilhar com a Anatel informações técnicas que venham a mitigar, minimizar e auxiliar na solução de proteção, reduzindo assim a reincidência ou propagação dos ataques cibernéticos.

Maior detalhamento sobre as razões da necessidade do R-CIBER incidir sobre todos os prestadores de serviços de telecomunicações, inclusive as PPPs, são apresentados em anexo, no Relatório Técnico: Nota Técnica sobre Infraestrutura Crítica em ISPs, do CPQD, onde se recomenda especial atenção ao item 3.1. Obrigações de Segurança Cibernética que consiste numa análise individual de cada artigo do R-CIBER e sobre sua obrigatoriedade e aplicabilidade também em todas as Prestadoras de Pequeno Porte (PPPs), tomando como base, as melhores práticas de mercado, de outros setores, ou ainda de outros países.

OBS: O Anexo citado nesta justificativa, Relatório Técnico: Nota Técnica sobre Infraestrutura Crítica em ISPs, do CPQD, está na CT/Oi/GEIR/5397/2021, de 21/03/2022, apensada ao processo nº 53500.057799/2021-74.


[1] Nos termos do Glossário de Segurança da Informação elaborado pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (GSI/PR)

Contribuição N°: 5
ID da Contribuição: 98499
Autor da Contribuição: FERNANDO MAGALHÃES HOLMES
Data da Contribuição: 21/03/2022 18:31:38
Contribuição:

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo, observados os prazos e condições estabelecidos nesta Instrução Normativa:

I - Detentoras de cabo submarino com destino internacional;
II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.
 

Justificativa:

Entendemos e compartilhamos da preocupação desta douta Agência Reguladora quanto à necessidade de mantermos um ambiente tecnológico seguro para nossos clientes. Não divergimos nesse ponto, pois segurança cibernética é questão inegociável contida nos valores da Algar Telecom. Todavia, gostaríamos de oportunamente apresentar alguns apontamentos em relação às dificuldades que serão vivenciadas pelas PPPs no decorrer da implantação dos novos processos e adequações contidos na Resolução nº 740/20.

1. Do impacto econômico para aderência regulatória

Um primeiro ponto que gostaríamos de ressaltar diz respeito ao impacto econômico trazido pela implantação dos processos que envolvem o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020. Assim dispõem os referidos dispositivos:

Art. 6º A empresa deve elaborar, implementar e manter uma Política de Segurança Cibernética, nos termos da Seção II deste Capítulo.

Art. 7º A prestadora deve utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos neste Regulamento e realizam processos de auditoria independente periódicos.

§ 1º Os resultados do processo de auditoria mencionado no caput devem estar disponíveis para a Anatel a qualquer momento, sempre que requisitados.

§ 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 8º A prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários.

Parágrafo único. Cabe ao GT-Ciber estabelecer a relação dos equipamentos abrangidos e dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 9º A prestadora deve notificar à Agência e comunicar às demais prestadoras e aos usuários, conforme o caso e sem prejuízo de outras obrigações legais de comunicação, os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários, nos termos da Seção III deste Capítulo.

Art. 10. A prestadora deve realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética, nos termos da Seção IV deste Capítulo.

Art. 11. A prestadora deve enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações, nos termos da Seção V deste Capítulo.

Por apresentarem grande relevância, trataremos, inicialmente, dos aspectos econômicos atrelados às obrigações previstas nos arts. 6º e 10 que trazem a obrigatoriedade de elaboração de Política de Segurança Cibernética aderente à Resolução nº 740/2020 e a realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. 

Como ponto de partida para elaboração da Política de Segurança Cibernética, a Anatel apresenta nos arts. 12 a 16 da Resolução nº 740/2020 as balizas que direcionam o cumprimento da obrigação:

Art. 12. A Política de Segurança Cibernética dispõe sobre as condutas e procedimentos adotados para a promoção da Segurança Cibernética e mitigação de riscos das Infraestruturas Críticas de Telecomunicações.

Art. 13. A Política de Segurança Cibernética deve ser aderente aos princípios e diretrizes dispostos neste Regulamento, e ainda:

I - ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas;

II - ser disseminada aos profissionais e colaboradores das áreas afetas, em seus diversos níveis, papéis e responsabilidades, resguardando-se o compartilhamento de informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, no que couber;

III - estabelecer estrutura interna responsável pela política, com a identificação de pessoas e áreas competentes, bem como ponto focal para contato em eventuais urgências;

IV - designar diretor responsável pela Política de Segurança Cibernética, o qual pode desempenhar outras funções na empresa, desde que não haja conflito de interesses;

V - ser aprovada pelo conselho de administração ou órgão de deliberação colegiado equivalente da empresa;

VI - ser periodicamente atualizada e revisada, sempre que necessário; e

VII - estar disponível à Anatel sempre que solicitada, juntamente com os documentos complementares e os comprovantes de sua aprovação interna pelo órgão competente.

Parágrafo único. Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a empresa responsável, em níveis e funções, onde aplicável.

Art. 14. A Política de Segurança Cibernética deve contemplar, no mínimo:

I - os objetivos de Segurança Cibernética da empresa;

II - as normas e padrões, nacionais ou internacionais, e as referências de boas práticas em Segurança Cibernética adotados;

III - os procedimentos para a disseminação da cultura de Segurança Cibernética e capacitação dentro da empresa;

IV - o plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de Segurança Cibernética;

V - os procedimentos relativos ao armazenamento seguro dos dados de seus usuários, nos termos da legislação e regulamentação;

VI - os procedimentos e controles adotados para a identificação e a análise das vulnerabilidades, das ameaças e dos riscos associados à Segurança Cibernética, às Infraestruturas Críticas de Telecomunicações e à continuidade dos serviços de telecomunicações;

VII - o mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários;

VIII - a hierarquia das Infraestruturas Críticas de Telecomunicações;

IX - os procedimentos e controles adotados para mitigar as vulnerabilidades identificadas conforme os incisos VI, VII e VIII;

X - a avaliação do grau de dependência de fornecedores e a previsão de possíveis impactos operacionais e financeiros em razão dessa dependência;

XI - o plano de resposta a incidentes, definindo ações, recursos e responsabilidades; e,

XII - os procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes e outras informações relativas à Segurança Cibernética.

Art. 15. A prestadora deve publicar, em sua página na Internet, com linguagem compreensível, extrato da sua Política de Segurança Cibernética contendo as informações não sensíveis.

Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à publicação de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Art. 16. A empresa deve, anualmente ou sempre que solicitado, apresentar à Anatel relatório sobre o acompanhamento de execução da Política de Segurança Cibernética.

Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para o relatório de acompanhamento de que trata o caput, observado o disposto no art. 24 deste Regulamento.

Já faz alguns anos que Algar Telecom adotou uma Política de Segurança da Informação que certamente contempla a maioria dos pontos exigidos pela Anatel, e para a qual entende-se que são eficientes para o que se espera de uma empresa regional. Com a proposta dessa Consulta Pública, a Agência coloca em condições simétricas operadoras de grande porte com algumas empresas regionais (de pequeno porte). Algumas regras impostas pela Resolução nº 740/2020 trazem uma certa complexidade em seu cumprimento e investimentos ainda não estimados. Como não houve uma análise de impacto regulatório sobre  essa proposta, a qual inclui algumas operadoras regionais, esse cálculo e impacto terão que ser realizados com o processo em curso, caso a imposição das novas regras seja confirmada. Daí a importância da realização prévia da análise de impacto regulatório, uma vez que os assuntos ali abordados refletem no provisionamento de recursos que as prestadoras fazem para o atendimento de novas obrigações.

E por falar em novas obrigações, observamos que o Regulamento de Segurança Cibernética traz regras específicas quanto à forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética:

Art. 19. Os ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética devem ser realizados por entidade aferidora ou empresa capacitada e independente.

§ 1º Os resultados da avaliação de que trata caput devem ser submetidos à Anatel, onde serão tratados de forma sigilosa.

§ 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades e apresentação dos resultados mencionados neste artigo, observado o disposto no art. 24 deste Regulamento.

Ressaltamos aqui a presença de determinação que aponta para a obrigatoriedade de contratação de empresas especializadas visando à aderência ao art. 10 da Resolução nº 740/2020. Destacamos, por ter grande relevância, que os contornos da obrigação podem ainda sofrer alterações que escapam ao conhecimento dos entes regulados, pois caberá ao “GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades”. Além da imposição de novos custos, percebemos que há evidente risco relacionado à quantificação dos investimentos que serão demandados para o pleno atendimento dos aspectos que serão determinados pelo referido Grupo de Trabalho, visto que a Resolução nº 740/2020 não é exaustiva quanto ao tema e deixa para o GT-Ciber a missão de delinear os contornos da obrigação. 

Outro ponto que merece atenção é o disposto no art. 8º da Resolução nº 740/2020. Aqui a Anatel novamente traz obrigação de custo elevadíssimo para as empresas regionais ao determinar que “a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários”, sem estabelecer, para tanto, prazo razoável para adequação, ou ainda apresentar análise de impacto regulatório que demonstre alternativas diferenciadas para o cumprimento dessa obrigação por parte das prestadoras. Além da elaboração de um plano consistente para a realização dos ajustes nas configurações dos equipamentos, as empresas terão que direcionar equipes de campo para execução da atividade, pois não são todos os cenários que permitirão realizar intervenção remota para modificar as senhas dos dispositivos fornecidos em regime de comodato. Lembramos ainda que as PPPs possuem corpo técnico enxuto para garantir eficiência e competitividade em suas operações. Medidas assimétricas, portanto, são fundamentais para que as PPPs possam cumprir o art. 8º da Resolução nº 740/2020, estabelecendo prazo mínimo diferenciado de ao menos 18 (dezoito) meses, após a entrada em vigor da novel Instrução Normativa, para que as prestadoras iniciem as tratativas internas e atividades de campo para atender a finalidade do art. 8º da Resolução nº 740/2020.

Entendemos, assim, que a Agência, ao incluir as PPPs nesses dispositivos, impôs às empresas novos esforços econômicos que impactam sensivelmente em seus fluxos de caixa e programação orçamentária dentro do mesmo exercício financeiro em que será aprovada a nova Instrução Normativa. Cabe-nos lembrar que estamos tratando de empresas de pequeno porte que estão constantemente buscando formas de inovar e competir com as detentoras de Poder de Mercado Significativo (PMS), sem dispor dos mesmos recursos financeiros que as grandes prestadoras.

Ademais, percebe-se ainda, do ponto de vista legal, que a Agência inovou na sua interpretação que constava da Análise de Impacto Regulatório realizada previamente à elaboração da Resolução nº 740/2020, visto que naquela oportunidade entendeu como justo e coerente com a perspectiva regulatória excluir as PPPs da incidência dessas obrigações, justificando “o estabelecimento de requisitos substancialmente menores para aquelas de pequeno porte, nos termos da regulamentação, também em razão do menor potencial de influência dos ataques originados em suas redes”.

De lá para cá, sabemos que nada ou muito pouco mudou em relação ao risco potencial de eventuais ataques originados nas redes das PPPs. Temos o dever de destacar que sequer foram identificados nesse período incidentes relevantes que justificassem a mudança de entendimento da Anatel. A Agência já havia firmado posição quanto à necessidade de assimetria regulatória diante do porte e da inexpressividade de incidentes relacionados à Segurança Cibernética das PPPs. E agora, sem apresentar nova análise de impacto regulatório para sustentar a mudança de entendimento, propõe a imposição de regras que incrementam custos operacionais sem que haja tempo hábil para acomodá-los no orçamento das empresas regionais. A conclusão que chegamos é que estão presentes indícios de falta de razoabilidade e possível descumprimento dos arts. 4º e 6º da Lei das Agências Reguladoras, Lei nº 13.848/2019, que assim determina:

Art. 4º A agência reguladora deverá observar, em suas atividades, a devida adequação entre meios e fins, vedada a imposição de obrigações, restrições e sanções em medida superior àquela necessária ao atendimento do interesse público.

(...)

Art. 6º A adoção e as propostas de alteração de atos normativos de interesse geral dos agentes econômicos, consumidores ou usuários dos serviços prestados serão, nos termos de regulamento, precedidas da realização de Análise de Impacto Regulatório (AIR), que conterá informações e dados sobre os possíveis efeitos do ato normativo.

Trazemos também à consideração desta r. Agência Reguladora a inafastável observação quanto ao previsto no art. 23 da Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942:

Art. 23.  A decisão administrativa, controladora ou judicial que estabelecer interpretação ou orientação nova sobre norma de conteúdo indeterminado, impondo novo dever ou novo condicionamento de direito, deverá prever regime de transição quando indispensável para que o novo dever ou condicionamento de direito seja cumprido de modo proporcional, equânime e eficiente e sem prejuízo aos interesses gerais.

Diante disso, não obstante o que a pouco apresentamos como medidas imprescindíveis para minimizar o impacto da nova regulamentação, também há que se levar em conta a importância da análise de impacto regulatório sobre a matéria em consulta, e consequente adequação do processo normativo à legislação..

2. Da necessidade de adequação dos prazos

Como ressaltado no tópico anterior, a absorção interna das novas obrigações contidas na Resolução nº 740/2020 implicará a realização de gastos significativos para as PPPs que não estavam diretamente previstos no orçamento de 2022. Além do tempo requerido para acomodar esses gastos dentro do orçamento, haverá necessidade de realizar contratação de consultoria especializada para adequação de regras, identificação de vulnerabilidades e realização de ciclos de avaliação, sem falar do tempo e dos gastos que serão aplicados para ajustes dos equipamentos fornecidos em regime de comodato.

Também é sabido pela Anatel que as PPPs não tiveram participação relevante no GT-Ciber. A ausência de voz ativa nesse grupo de trabalho colocou as PPPs em condição de desvantagem em razão da deficiência de participação na elaboração    dos instrumentos normativos. Apesar de pegarmos o processo já em andamento, não estamos nos furtando da responsabilidade de adotar as medidas que contribuam com a melhoria da Segurança Cibernética. O que pedimos, com base na razoabilidade e na legislação aplicável, é tão-somente a adoção de prazos diferenciados. É medida que visa, inclusive, a respeitar um dos princípios mais caros para a regulação e para a construção de um Estado Democrárico de Direito: estamos falando do Princípio da Isonomia e de sua eficácia irradiante no âmbito das normas derivadas que buscam estabelecer condições de assimetria regulatória. 

“a regra da igualdade não consiste senão em tratar desigualmente os desiguais na medida em que se desigualam. Nesta desigualdade social, proporcional e desigualdade natural, é que se acha a verdadeira lei da igualdade. Os mais são desvarios da inveja, do orgulho ou da loucura. Tratar com desigualdade os iguais, ou os desiguais com igualdade, seria desigualdade flagrante, e não igualdade real. Os apetites humanos conceberam inverter a norma universal da criação, pretendendo, não dar a cada um, na razão do que vale, mas atribuir os mesmos a todos, como se todos se equivalessem”. (Citação de Ruy Barbosa por BULOS, Uadi Lammêgo. Curso de Direito Constitucional. 3 ed. Saraiva: São Paulo, 2009, p. 420)

Essa é a leitura que temos que fazer do art. 5º, caput, da Constituição Federal de 1988. E os reflexos desse princípio - denominado pela doutrina como Eficácia Irradiante dos Direitos Fundamentais - podem ser encontrados no art. 2º, inciso III, da Lei nº 9.472/97 - Lei Geral de Telecomunicações (LGT) - (Art. 2°. O Poder Público tem o dever de: (...) III - adotar medidas que promovam a competição e a diversidade dos serviços, incrementem sua oferta e propiciem padrões de qualidade compatíveis com a exigência dos usuários), o qual norteia a elaboração de resoluções, informes, pareceres e decisões adotadas pela Anatel. O regulador, portanto, deve estar atento à inclusão das assimetrias regulatórias no processo de construção normativa para garantir condições isonômicas sob a perspectiva material e tornar o produto do seu trabalho algo completo e mais refinado do ponto de vista da boa técnica legislativa. 

Entendida a importância de seguirmos nessa direção, informamos que em um estudo preliminar, elaborado por consultoria especializada contactada pela Algar especificamente para implantação dos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020, consta indicação quanto à necessidade da realização de um complexo conjunto de atividades que, contemplando tão-somente a análise de gap com coleta de dados sob a ótica da Resolução para posterior planejamento, desenho e especificação da solução e implantação de processos, demandaria alguns meses para a conclusão. Temos ainda que acrescentar a esse prazo todo trâmite necessário para alocação de recursos, contratação de equipe técnica dedicada, identificação de ativos de rede, análise de vulnerabilidades, capacitação interna, desenvolvimento e aprimoramento de sistemas de Tecnologia da Informação, correção de falhas e implantação das mudanças introduzidas pela Resolução nº 740/2020 em campo. É fácil perceber, portanto, que se trata de um projeto de altíssima complexidade e que deve ser conduzido com extrema responsabilidade pela Algar.

Assim, trazendo o assunto para termos mais concretos, caso a Agência ainda entenda pela aplicação da Resolução nº 740/2020 às PPPs, podemos observar que todo o processo exigirá ao menos 18 (dezoito) meses para ser concluído. Entende-se que não há fato novo que justifique a extensão das obrigações às PPPs, mas se ainda assim a Agência entender pela necessidade de ampliar a aplicação do Regulamento, faz-se necessária a inclusão de mecanismos de assimetria regulatória dentro da nova Instrução Normativa para autorizar às PPPs a adoção de prazo diferenciado, o qual sugerimos como sendo de 18 (dezoito) meses a partir da entrada em vigor da Instrução Normativa.

3. Das contribuições ao texto da Instrução Normativa

Agora que já foram apresentadas as justificativas das nossas contribuições, gostaríamos de pontuar especificamente os ajustes que entendemos indispensáveis na Instrução Normativa ora proposta que viabilizarão a implementação das obrigações pertinentes à Resolução nº 740/2020. Em breve síntese, estamos recomendando pequenas adequações ao texto e a inclusão de um artigo específico para tratar de prazos diferenciados às PPPs.

Os arts. 1º e 2º da proposta da Instrução Normativa apresentam o seguinte texto:

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

I - Detentoras de cabo submarino com destino internacional;
II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

 
Nossa contribuição consiste em pequenos acréscimos nesse texto - porém significativos sob a perspectiva isonômica - com o objetivo de trazer a assimetria regulatória para dentro do regulamento e torná-lo mais equilibrado e completo:

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, observados os prazos e condições estabelecidos nesta Instrução Normativa.

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo, observados os prazos e condições estabelecidos nesta Instrução Normativa:

I - Detentoras de cabo submarino com destino internacional;
II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

Sugerimos que o detalhamento dos “prazos e condições” seja incluído em artigo específico para dar o destaque e a amplitude necessária dentro da Instrução Normativa. Recomendamos, assim, a inclusão do presente artigo 5º e a renumeração, consequentemente, do atual artigo 5º para o artigo 6º, conforme segue:

Art. 5º. Fica assegurado às Prestadoras de Pequeno Porte prazo não inferior a 18 (dezoito) meses para o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, contados a partir da entrada em vigor da presente Instrução Normativa, sendo ainda facultado ao GT-Ciber estabelecer outros critérios mais favoráveis conforme particularidades apresentadas por cada Prestadora de Pequeno Porte.

Além da renumeração do atual artigo 5º, entendemos primordial a adoção de um maior período de transição para o início da vigência da Instrução Normativa. Segue a nossa proposta:

Art. 6º Esta Instrução Normativa entra em vigor 180 (cento e oitenta) dias após a sua publicação.

Com esses ajustes pontuais, tornamos a Instrução Normativa mais aderente ao Princípio da Isonomia e homenageamos a assimetria regulatória que é tanto celebrada pela doutrina e jurisprudência dos setores regulados. Teremos um regulamento que se coaduna com as boas práticas legislativas e, não menos importante, factível de ser implementado pelas PPPs sem que haja comprometimento desarrazoado da regularidade orçamentária. 

4. Dos Pedidos

Feitas essas considerações, a Algar Telecom respeitosamente apresenta à Superintendência de Controle de Obrigações (SCO) da Anatel os seguintes pedidos para que sejam considerados(as) procedentes:

os argumentos sustentados quanto aos impactos econômico-financeiros trazidos pela incidência da nova Instrução Normativa às Prestadoras de Pequeno Porte;

a) as justificativas e preocupações colacionadas no texto em relação à impossibilidade de cumprimento pelas PPPs das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020 em prazo inferior a 18 (dezoito) meses;

b) a sugestão para realização de Análise Impacto Regulatório (AIR) específica para tratar da inclusão das PPPs no escopo das obrigações estabelecidas nos arts.  6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020;

c) a inclusão de um período de transição de 180 (cento e oitenta) dias, na forma de vacatio legis, para fins de cumprimento do art. 23 da  Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942, com vistas a permitir a adaptação das PPPs aos novos condicionamentos;

d) as contribuições de alteração de texto sugeridas para os arts. 1º e 2º, assim como para os novos arts. 5º e 6º que recomendamos incluir ao texto original da presente Instrução Normativa, garantindo a concretização do Princípio da Isonomia por meio da aplicação de instrumentos de assimetria regulatória que garantirão os meios necessários para cumprimento das obrigações por parte das PPPs.

A Algar Telecom segue à disposição de Vossa Senhoria para eventuais esclarecimentos que se façam necessários.

Contribuição N°: 6
ID da Contribuição: 98502
Autor da Contribuição: Sergio Mauro da Silva Maia
Data da Contribuição: 21/03/2022 18:53:41
Contribuição:

Contribuição: Propomos a alteração do texto do Caput, para o texto abaixo:

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º,7º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

Justificativa:

Quanto à justificativa para a exclusão da obrigação do art.8, ratificamos que a mesma já foi citada no comentário anterior.

No que se refere à obrigatoriedade de cumprimento do Art. 9º da Resolução nº 740/2021, entendemos que ocorre um conflito de competências entre a Anatel e a ANPD (Autoridade Nacional de proteção de dados), visto que esta última é o órgão que possui a atribuição de exigir das empresas que prestem a devida comunicação aos titulares de dados em caso de incidentes que possam incorrer em dano relevante a estes.

 

Contribuição N°: 7
ID da Contribuição: 98506
Autor da Contribuição: BERNADETE LOURDES FERREIRA
Data da Contribuição: 21/03/2022 19:02:54
Contribuição:

A TelComp – Associação Brasileira das Prestadoras de Serviços de Telecomunicações Competitivas, pessoa jurídica de direito privado, com escritório na  Rua Funchal, 538, Cj. 142, Vila Olímpia, São Paulo/SP CEP: 04551-060, inscrita no CNPJ sob o n° 03.611.622/0001-44, representando suas mais de 70 associadas, todas operadoras de telecomunicações, outorgadas pela Anatel, com atuação em todos os segmentos  de mercado e em todo o país, apresenta suas contribuições à Consulta Pública n° 63, reiterando, publicamente, suas manifestações sobre a matéria realizadas nos autos do Processo nº 53500.022587/2021-76.

 

 A discussão dos referidos autos teve como origem a determinação pelo Conselho Diretor da Agência, por meio do Acórdão 692/2020-CD, para que o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), no prazo de 150 (cento e cinquenta) dias contados da sua instauração, remetesse à Superintendência de Planejamento e Regulamentação (SPR) contribuições ao R-Ciber (aprovado pela Resolução nº 740/2020), contribuições essas que contariam com a colaboração das prestadoras tanto detentoras de Poder de Mercado Significativo (PMS ou NPPPs – não PPPs), como as Prestadoras de Pequeno Porte (PPPs), representadas legitimamente pela TelComp, visando incluir ou dispensar, total ou parcialmente, a incidência das obrigações em segurança cibernética  impostas a outros agentes do setor de telecomunicações, não abrangidos pelo Regulamento. Foram criados subgrupos, sendo o Subgrupo Ad Hoc 01 Agentes, responsável pela avaliação da aplicação dos artigos 6º a 11º do R-Ciber.

 

O processo de discussão do GT-Ciber Subgrupo Ad Hoc 01 Agentes teve como desfecho o Despacho Decisório nº 229/2021/COGE/SCO (SEI nº 7191384) que levou, ao final, à proposta ora submetida à Consulta Pública.

 

i - A INJUSTIFICÁVEL AMPLIAÇÃO INCONDICIONAL DE OBRIGAÇÕES:

 

 

Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.


Art. 2º

CONTRIBUIR:

Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

I - Detentoras de cabo submarino com destino internacional;

II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e

III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

 

A ampliação das obrigações não pode se assentar na premissa de que o conceito de “segurança cibernética” é “abrangente em significados, alcance e interpretações”, e portanto, deve abranger todos indistintamente, como diversas vezes trazido à discussão pelas operadoras PMS.

 

O conceito de segurança cibernética (que será tratado em capítulo específico abaixo) é sim amplo, porque, simplesmente, o processo de digitalização e o uso de recursos informatizados que vivencia a sociedade (usualmente chamado de transformação digital) é intenso e abrange pessoas em todos os aspectos da vida pessoal e social, coisas, equipamentos, ferramentas em diversos níveis. Nesse sentido, a segurança cibernética se estende a todas essas dimensões e camadas e exatamente esse fator torna a segurança cibernética complexa e abrangente. Mas esse fato de per si não implica uma derivada lógica e direta de que todos tenham que se submeter às mesmas regras. Nem mesmo os que estão no mesmo setor. A abrangência conceitual não é vivenciada na abrangência concreta das redes, daqueles que não são PMS e que são PPPs e nos âmbitos e efeitos que cada agente pode atuar ou causar.

 

Ademais, falar em segurança cibernética envolve questões de segurança material, física, lógica, sistêmica, social e educacional e não somente lógica. Cada elemento, pessoa, sistema, recurso (físico ou lógico) ou equipamento que está interconectado é relevante no processo de abordagem e não por isso todos devem ter tratamento igual. Por isso, o processo de segurança tem que que ser tratado em todos esses níveis e de forma a aferir a real contribuição atribuível e o potencial provável de dano efetivo.

 

Ao se depurar o efeito concreto que uma PPP pode causar como agente de disseminação de risco cibernético na rede, considerando sua participação no mercado inferior a 5% e sua reduzida infraestrutura perto daquelas que possuem em torno de 35% ou mais do mercado e a maciça infraestrutura é por si só autoexplicativo.

 

A segurança cibernética afeta todo o ecossistema. Os ataques cibernéticos podem ser propagados de entidades de todos os tamanhos e porte, e as empresas de telecomunicações de quaisquer tamanhos tem um potencial de causar danos.  Ademais os ataques podem vir também de pessoas ou pessoas podem disseminar ataques. Uma única pessoa que tenha sofrido alguma intrusão de software malicioso que tenha 5 mil contatos em seus registros pode ser vetor para contaminar essas 5000 pessoas que contaminam outras tantas mais. Isso é mais do que uma operadora PPP que às vezes possui 500, 1000 clientes. E tal fato por si só não constitui uma necessidade de regular o indivíduo com inúmeras obrigações.

 

Portanto, qualquer agente (pessoa física ou jurídica) do ecossistema tem o poder de iniciar um ataque ou ser usado em um ataque e certamente isso inclui o próprio usuário de qualquer recurso informático ou de telecomunicações. A vulnerabilidade é de fato comum a todos os elementos envolvidos, mas não na mesma medida já que o potencial ofensor para causar dano, não é idêntico e em muitos casos pode ser cessado por entes intermediários com maior conhecimento e abrangência de atuação que não as pequenas operadoras.

 

A vulnerabilidade por si só não indica a necessidade de cada pessoa, cada entidade pública ou privada de forma indistinta, ter uma política de privacidade, notificar incidentes, fiscalizar cadeias produtivas, desenvolver controles sofisticados, enfim, assumir obrigações que não são proporcionais ao dano que podem causar, ao conhecimento de que dispõe, aos custos que pode suportar, apenas para citar alguns pontos.

 

Não há dúvidas de que a maturidade sobre o tema ainda é incipiente no Brasil e no mundo e é exatamente esse fator que define também a aplicação modular das regras, num processo crescente de responsabilidade conforme o tamanho e complexidade das operações.

 

Não é pelo fato de se mencionar que empresas de pequeno e médio porte são as mais vulneráveis a ataques digitais (apesar de inverdade já que a realidade mostra que os alvos são sempre grandes corporações e governos), que essas empresas devam ter mais obrigações do que o tamanho e a complexidade em que se contextualizam, já que os potenciais danos efetivos são de fato menores.

 

Outro aspecto que não pode ser ignorado é que as operadoras PPPs estão interconectadas com as redes das PMSs e isso gera risco a estas últimas. O nível de interconexão é primeiramente caracterizado por ser limitado territorialmente e em termos de volumetria, é portanto, restrito. Até podem gerar risco, como qualquer usuário da rede fixa ou móvel, mas o potencial de dano é igualmente restrito. Veja que exatamente as operações que atendem de forma massiva a população é que têm poder de identificar, bloquear ou mesmo impedir a propagação do risco. Portanto, esse argumento não sobrevive ao efetivo poder de ação que possuem as PMSs em processos de interconexão.

 

Por fim, o reiterado argumento apresentado como justificativa para ampliar o escopo da norma sobre as PPPs, de que as PPPs detém 40% do mercado para justificar a aplicação de mais obrigações às PPPs, igualmente não se sustenta. Parece mesmo um argumento sedutor, mas não o é. Esse é um número genérico que não está contextualizado e representam uma visão bastante míope. Cada uma das operadoras PMSs detém mais de 50% do mercado local quando tomadas INDIVIVUALMENTE e as PPPs que são 12.004 em 02/02/2022, conforme lista de autorizadas da Anatel (https://sistemas.anatel.gov.br/stel/consultas/ListaPrestadorasLocalidade/tela.asp?pNumServico=045) detém CONJUNTAMENTE E EM TODO O TERRITÓRIO NACIONAL 40%. Nesse raciocínio raso apresentado, considerando as PPPs e os 40% de mercado, cada uma dessas 12.004 provedoras do SCM deteriam individualmente 0,0033% de mercado, o que também não justifica a imposição de obrigações dada a amplitude da rede.

 

Mas o fator prioritário não é o cálculo míope e sim que as redes das operadoras competitivas PPPs estão espalhadas em territórios que na sua maioria não estão nos grandes centros, não atendem a maioria da população e não geram, via de consequência, tráfego significativo. Essas redes estão em áreas de ausência de interesse das PMSs, em áreas mal atendidas por tais PMSs, com baixa concentração populacional e menor interesse econômico.

 

Portanto é uma falácia dizer que as redes são significativas dada a participação no mercado.

 

Por fim, há que se considerar que a LGPD já traz obrigações sobre segurança cibernética impositivas para todas as PPPs o que coloca sob a Anatel o dever de adcatar tal assertiva. Portanto, adotar obrigações adicionais só porque os agentes estão interligados a redes de telecomunicações, independente de porte, tipo de serviço prestado, quantidade de clientes, número de colaboradores ou infraestrutura física e digital, não faz sentido. Ademais a LGPD impõe a adoção de mecanismos de segurança e política cibernética proporcionais para aqueles que tratam dados pessoais.

 

Há ainda que se considerar que nem todas as PPPs tratam de dados pessoais de forma ampla. Muitas atendem ao mercado corporativo (não abrangido pela LGPD) e têm acesso a um limitado conjunto de dados pessoais de contatos comerciais de seus clientes, dados esses considerados em muitas situações, dados públicos.

 

Afirmar que a LGPD traz embutida uma obrigação de segurança cibernética de forma horizontal e uniforme para todos os agentes é no mínimo falacioso.

 

As obrigações previstas no art. 46 da referida lei (LGPD), aplicam-se somente a dados pessoais e ainda traz em seu parágrafo a possibilidade de regulamentação pela ANPD:

 

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

 

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

 

Do mesmo modo os arts. 40, 49 e 55-J da LGPD dispõem sobre o poder da ANPD de regulamentar a questão da segurança para os dados pessoais e em especial da possibilidade de tratamento diferenciado para empresas de pequeno porte:

 

Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

...        

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

...

Art. 55-J. Compete à ANPD:   

...

XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;                 (Incluído pela Lei nº 13.853, de 2019)

 

Portanto, no âmbito de suas atribuições, a ANPD aprovou a Resolução nº 02 de 27.01.2022 do Conselho Diretor da Autoridade Nacional de Proteção de Dados - ANPD, publicada no DOU de 28.01.2022, que aprova o Regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) para agentes de tratamento de pequeno porte.

 

Diante desse fato, fica evidente a modulação das questões relacionadas à LGPD para empresas de pequeno porte, muito diferente da abordagem pretendida pelas PMSs.

 

ELEMENTOS ADICIONAIS QUE FUNDAMENTAM A MODULAÇÃO PROPORCIONAL

 

Há, ainda, que se considerar outros relevantes para a fundamentação da posição da TelComp.

 

(i) A DIGITALIZAÇÃO DAS REDES E CONTROLE POR SOFTWARE

 

A realidade das redes há tempos vem sendo alterada para um controle cada vez mais intenso, complexo e abrangente por software. As redes ficam cada vez mais inteligentes na medida em que na camada de software é que existe o seu controle cada vez mais apurado e multidimensional. Esse processo intensifica-se ainda mais com o uso da nuvem (cloud), a computação de borda e as diversas camadas, não telecomunicações envolvidas. Com isso, independentemente de estarem interconectadas, as redes menores (limitação geográfica, populacional e de volumetria) desaguam como afluentes em grandes redes, estas sim estruturais. Como as grandes redes são controladas pelas empresas de grande porte (exceto as redes de cabos submarinos) e que possuem uma infraestrutura de cibersegurança mais estruturada - já que dispõem de: (i) mais recursos para investimentos em ferramentas; (ii) acesso a profissionais especializados; (iii) políticas de cibersegurança; (iv) mecanismos de tratamento mais preciso de incidentes; (v) redundância de redes - acaba-se, com isso, tendo um controle indireto e mitigando eventuais efeitos adversos de redes menores.

 

(ii) BENCHMARK INTERNACIONAL

 

O tratamento igualitário não é um padrão no mundo, ou mesmo regra do National Institute of Standards and Technology (NIST) ou da Federal Communications Comission (FCC) dos EUA. Ao contrário sabe-se que o tratamento igualitário não é factível ou desejado por impor custos sociais desproporcionais e adicionais a todos os entes envolvidos.

 

A FCC, por exemplo, reconhece que a tecnologia da informação e a internet de alta velocidade são grandes facilitadores do sucesso das pequenas empresas e com os benefícios vem a necessidade de se proteger contra ameaças cibernéticas crescentes. Mas ao invés de impor medidas, em outubro de 2012, a FCC lançou o “Small Biz Cyber Planner 2.0”[1], um recurso online para ajudar pequenas empresas a criar planos personalizados de cibersegurança. Trata-se de uma ferramenta para criar um plano de segurança cibernética personalizado para a empresa que pode escolher a partir de um menu de conselhos especializados itens para atender às necessidades e preocupações específicas. Ademais o FCC também lançou uma página de dicas sobre segurança cibernética e dispõe de instruções precisas e específicas para operadoras pequenas ou rurais[2]:

 

Enfim, adotou uma abordagem de proporcionar meios e instrumentos para fomentar e capacitar os agentes menores em cibersegurança.  Certamente uma estratégia mais eficaz e educativa. Não impôs às menores obrigações similares aos detentores de infraestrutura crítica, que também é a base da incidência legal nos EUA.

 

Com a mesma abordagem o Cyber Essentials da CISA (Cybersecurity Infrastructure Security Agency), que é um guia voltado para as pequenas empresas de infraestrutura e agências governamentais locais, para iniciar sua jornada e implementar práticas organizacionais de cibersegurança. No site específico é possível baixar o “Cyber Essentials Starter Kit”, um kit básico para promover “uma cultura de prontidão cibernética”[3].

 

O Cyber Essentials Toolkits é um conjunto de módulos projetados com uma c-suite para auxiliar na implementação completa de cada “Cyber Essentials”.

 

Consistente com o NIST Cybersecurity Framework e outros padrões, o Cyber Essentials  traz informações importantes e serve de ponto de partida.

 

Ainda é possível identificar uma abordagem não impositiva no universo europeu. Na área se cibersegurança, a União Europeia deixou o processo com maior autonomia para os Estados-membros. Além disso, dentro da União Europeia, existem incentivos fiscais e isenções de VAT ou em português IVA (imposto sobre valor agregado - similar ao ISS e ICMS) para incentivar a melhoria da segurança cibernética (como descrito no Guia Nacional de Boas Práticas de Estratégia de Segurança Cibernética 2016 da ENISA[4]).

 

Na Europa tanto o ETSI (Telecommunications Standards Institute) como a ENISA (European Union Agency for Cybersecurity) tratam do tema no sentido de abordagem proporcional aos riscos. A reforma de 2009 do quadro legislativo da UE para as comunicações eletrônicas introduziu (artigo 13.º-A e artigo 13.º-B) como parte da Diretiva-Quadro (Diretiva 2009/140 / CE). Essa reforma foi transposta para a legislação nacional pelos Estados-Membros da UE em 2011. E determina que os provedores de comunicações eletrônicas gerenciem os riscos de segurança e adotem medidas de segurança adequadas. Ou seja, proporcionais e não uniformes.

 

O documento recente da ENISA intitulado “Guideline On Security Measures Under The EECC - 4th Edition”, de julho de 2021[5], menciona expressamente:

 

“In most countries the electronic communications sector is large (hundreds of providers) and contains both large providers (>10% of market share) and very small ones (<1% of market share). Competent authorities should also take into account the differences between the providers in their country. What might work for large providers may well be overwhelming for smaller providers, and vice versa, what might work for one provider might be inappropriate for another provider.”

 

….

 

For large providers basic security measures may be insufficient, while for small providers they could be more than enough. It would be better to take differences across the sector into account and define different baselines for providers of different size. [6]

 

Por fim, até mesmo a China adota uma abordagem focada em infraestrutura crítica. Em 17 de agosto de 2021, o Conselho de Estado da China anunciou a aprovação do Regulamento sobre a Proteção de Segurança sobre infraestruturas da informação críticas (o "Regulamento CII" - Regulation on the Security Protection of Critical Information Infrastructure - the “CII Regulation”), que foi formulado sob a Lei de Segurança Cibernética (Cybersecurity Law “CSL”) e destinado a garantir a segurança do CII, bem como manter a segurança cibernética da nação.

 

Portanto apenas os operadores de infraestruturas da informação críticas, ou CIIO, (como comunicações públicas e serviços de informação, energia, transporte, conservação de água, finanças, serviços públicos e assuntos governamentais) em que a interrupção, destruição ou vazamento de dados, podem resultar em danos catastróficos e de longo alcance à segurança nacional, bem-estar econômico e social e interesses públicos, é que estariam sujeitos a obrigações de segurança cibernética.  De acordo com o artigo 31 da CSL e do artigo 2º do Regulamento CII, cabe à própria empresa avaliar preliminarmente se seu sistema de rede constitui um CII, ou seja, infraestruturas de informação crítica.

 

Portanto, entre as nações citadas igualmente sujeitas a ataques e que também dispõe de regulação, ela é sempre modular e não igualitária.

 

(iii) ABORDAGEM LEGISLATIVA BRASILEIRA

 

No quadro legal e regulatório brasileiro é possível encontrar de forma clara os conceitos tratados e o ponto fulcral de onde se deve partir para avançar no processo de segurança cibernética: infraestruturas críticas.

 

A compreensão plena do que representa infraestrutura crítica deve levar em conta todo o desenvolvimento e histórico da temática de ciber segurança, envolvendo arranjos institucionais distintos, bem como experiências anteriores na avaliação da criticidade dessas infraestruturas, incluindo, naturalmente, o Decreto nº 10.222/2020 - instituiu a Estratégia Nacional de Segurança Cibernética para o período de 2020-2023, em adição à Política Nacional de Segurança da Informação (PNSI), estabelecida pelo Decreto nº 9.637/2018.

 

Nesse sentido, ao buscar essa coerência, retoma-se o Glossário de Segurança da Informação, aprovado pela Portaria nº 93, de 26 de setembro de 2019, do GSI-PR, em linha com a Portaria nº. 02, de 8 de fevereiro de 2008, que especificou Telecomunicações como área prioritária e também o texto quase idêntico do inciso VI do art. 3° da Resolução nº 740/2020, abaixo transcritos:

 

Glossário: “INFRAESTRUTURA CRÍTICA - instalações, serviços, bens e sistemas, virtuais ou físicos, que se forem incapacitados, destruídos ou tiverem desempenho extremamente degradado, provocarão sério impacto social, econômico, político, internacional ou à segurança”

 

Resolução nº 740, de 21 de dezembro de 2020: Art.3 - VI - Infraestruturas Críticas de Telecomunicações: instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade;

 

Adicionalmente, traz-se os conceitos relevantes abaixo:

 

Segurança Cibernética: Arte de assegurar a existência e a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas (Portaria 45 SE-CDN, 2009; BRASIL. GSI/PR, 2010).

 

Infraestruturas Críticas da Informação: Subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade (Portaria 34 SE-CDN, 2009; NC 10/IN01/DSIC/GSI/PR, 2012).

 

Infraestruturas Críticas: Instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade (Portaria 45 GSI/PR, 2009).

 

No documento “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética na Administração Pública Federal” resta claro que:

 

“O GSI/PR define como infraestruturas críticas as instalações, os serviços, os bens e os sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. No tocante às infraestruturas críticas nacionais, tais como energia, telecomunicações, transportes, água, finanças, informação, dentre outras, é cada vez mais elevada a interdependência, o que impacta as redes e sistemas de informação para a sua gerência e controle. Por sua vez, a segurança das infraestruturas críticas da informação refere-se à proteção do subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da sociedade”.

 

Conforme constante no “Guia de Referência para a Segurança das Infraestruturas Críticas da Informação” publicado pelo GSI/PR[7], as instituições responsáveis pelas infraestruturas críticas nacionais são orientadas a realizar, no mínimo: (i) mapeamento de seus ativos de informação para a identificação daqueles que são críticos; (ii) gestão de risco, com identificação de potenciais ameaças e vulnerabilidades; e (iii) estabelecimento de método de geração de alerta de segurança das infraestruturas críticas da informação”

 

Note-se que o elemento central que fundamenta a delimitação do conceito de criticidade é o “sério impacto social, político internacional ou à segurança do Estado ou da sociedade”, o que implica do ponto de vista prático em se buscar uma hierarquia das infraestruturas críticas capaz de englobar tal aspecto. Por conta disso, a natureza ou o tipo do serviço de telecomunicações prestado não são por si só suficientes para assegurar essa criticidade, tal como descrita no texto da norma.

 

Considerando tal análise, pode-se concluir que impactos que afetem poucos e em áreas delimitadas e que não tenham o condão de desestabilizar a região ou o país, não integram o sentido de crítico e assim não deveriam ser denominados, exatamente esse o caso das PPPs, excetuados os casos de cabos submarinos.

 

Nesse sentido, inegável que a Anatel em sua proposta deve manter a limitação de aplicação dos dispositivos e não sua ampliação como requerem as demais operadoras PMSs apenas com o fim de impor aos rivais custos adicionais.

 

(II) - A PROPOSTA DE MODULAÇÃO

 

No que concerne especificamente à proposta e partindo-se da premissa de uma regulação modular e não igualitária, segue a posição da TelComp.

 

A proposta da Agência é de ampliar as obrigações baseada no conceito de infraestruturas críticas e abranger:

 

(1)       Cabo submarino com destino internacional -  ou seja: aqueles cabos de fibra óptica que interligam qualquer parte do território nacional com uma parte de um território estrangeiro.

 

(2)       Prestadores do SMP que detenham rede própria - ou seja: todas as prestadoras do SMP e as Autorizadas no RV-SMP que possuam qualquer elemento de rede utilizado na prestação do seu próprio serviço.

 

(3)       Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado – ou seja: considerada a rede interurbana para encaminhamento de tráfego, entre Áreas Locais distintas, desde que essas áreas estejam em unidades federativas estaduais distintas no território nacional.

 

Sugere-se a adequação dos itens (2) e (3) acima com base na mesma premissa conceitual do que representa uma infraestrutura crítica. Conforme visto a infraestrutura crítica é aquela que, caso seja destruída ou tenha seu desempenho sensivelmente reduzido e/ou limitado por um determinado período, pode causar significativo impacto social, econômico ou político, com efeitos que podem variar entre perda de estabilidade política ou econômica, perda de negócios capaz de afetar a economia de forma significativa ou influência na segurança nacional ou defesa do Estado Brasileiro.

 

Observe-se que o texto sugerido para os itens (2) e (3) oneram a cadeia como um todo sem um vínculo direto com sua criticidade. Não basta olhar o serviço ou a outorga detida pela prestadora: deve-se avaliar quais são esses ativos, as redes, a abrangência, as ameaças, as vulnerabilidades, os riscos e os impactos envolvidos.

 

No caso do ponto (1) (cabos submarinos internacionais), o ativo está muito bem definido e sua interdependência com o sistema de telecomunicações, como um todo, é patente, independentemente da outorga detida pela operadora.

 

Já no caso do ponto (2) incluir “Autorizadas no RV-SMP” que possuam qualquer elemento de rede utilizado na prestação do seu próprio serviço é amplo por demasiado e deve ser objeto de ajuste. Muito embora essas empresas detenham, em alguns cenários, algum elemento de rede e até core de rede próprio, a dependência do ativo de radiofrequência, infraestrutura e até de serviços da MNO é patente, envolve a essência do modelo e deve ser considerada. Exatamente por isso o regulamento excluiu as PPPs, que detém menos de 5% do mercado, o que demonstra que seu impacto é muito pequeno. Ademais, basta um único elemento de rede que já atrairá a autorizada no RV-SMP para a incidência regulatória, o que representa um desestímulo a investimentos e ampliação de rede.

 

Uma assertividade maior passa, inevitavelmente, pela necessidade de haver uma clareza nas divisões de obrigações nesta cadeia de valor específica, de modo a afastar insegurança para os operadores autorizados, ainda mais em áreas onde a operadora de origem MNO também possua infraestrutura, mesmo que através de compartilhamento de rede firmado com terceiras operadoras.

 

A situação do mercado móvel é de concentração absoluta entre as PMS, e as MVNO’s no Brasil têm um market share de menos de 1%, sendo de 0,82% para ser mais precisa a avaliação para o 2º. Trimestre de 2021, conforme dados do site Teleco. AINDA MAIS COM A REDUÇÃO DO MERCADO A 3 OPERADORAS decorrente da aprovação da operação de venda dos ativos da Oi, esse desequilíbrio torna-se ainda mais grotesco.

 

O insignificante market share demonstra, por si só, a desnecessidade de inclusão dessa categoria neste momento entre as entidades obrigadas a dar cumprimento integral à Resolução nº 740/2020.

 

Com relação ao item (3) da sugestão de incluir as detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado, a reavaliação do texto deve considerar que o critério de dependência geográfica exclusivo, sugerido pela Agência, não faz sentido para fins de apuração de criticidade. A própria interconexão SIP-I desloca, por completo, essa lógica. Ademais não está clara a definição de rede com tráfego interestadual.

 

Dessa forma, recomenda-se que o item (3) da Classe I seja ajustado para considerar o real cenário de interdependência de ativos críticos, capazes potencialmente de representar uma indisponibilidade de redes que resulte no impacto previsto pelo framework legal e regulatório apontado no início das razões desse recurso. Ademais a mera conexão interestadual localizada e regionalizada entre cidades que estão em fronteiras de estados diferentes também é inofensiva para fins de criticidade de rede e nem sempre representam fator de relevância concreto. Portanto outros critérios devem ser adicionados. Com isso ainda prevalece a máxima de que a resiliência geral estará amparada nas infraestruturas mais abrangentes sob a ótica de geográfica, de sua extensão e populacional.

 

Importante ainda que haja uma definição, mas precisa sobre o que a Anatel considera de fato rede de suporte para transporte de tráfego interestadual.

 

Ainda sobre a ótica do cumprimento específico e da aplicação da obrigação prevista no artigo 8° da Resolução nº 740/2020 para as PPPs, é de relevância que seja endereçado, imediatamente, a observarão das particularidades da tecnologia e dos protocolos de autenticação empregados pelas prestadoras, de modo a que o cumprimento do dispositivo regulatório não impacte a operação, não resulte em vulnerabilidades, mesmo que momentâneas, e que seja possível de ser realizada pela prestadora, observadas as particularidades do serviço.

 

Quanto à aplicação do art. 8° do R-Ciber para as PPPs, embora o GT-Ciber ainda deva pormenorizar quais equipamentos estão abrangidos pela obrigação do art. 8º, alguns pontos podem ser endereçados de maneira mais conceitual pela Agência,  em especial relacionados às particularidades da tecnologia e dos protocolos de autenticação empregados pela prestadora, de modo a que o cumprimento do dispositivo regulatório não impacte a operação, não resulte em vulnerabilidade mesmo que momentânea e que seja possível de ser realizada pela prestadora, observadas as particularidades do serviço. Nesse último caso, também se sugere a modulação do artigo conferindo-se prazo bem mais extenso (até 18 meses) para a adoção de solução de autenticação que viabilize a pretensão de segurança exposta pelo regulador.

 

É por fim relevante considerar que o fato da Anatel não impor determinadas obrigações não isenta a responsabilidade das PPPs em adotar medidas ou aderir voluntariamente à práticas consagradas. O fato de não haver uma obrigação regulatória expressa, não exime as PPPs de cumprir a regulamentação ou as responsabilidades à luz de outras legislações.

 

Ao contrário o contexto da baixa maturidade de gestão de riscos nas PPPs associada aos argumentos e exemplos explanados apontam para o sentido de não promover a hiper-regulação e tratamento homogêneo, mas o processo de incentivo e educacional.

 

Em linha não só com a decisão do Conselho Diretor, mas também em linha com a tendência regulatória de redução e barreiras e custos,  e as práticas de países da União Europeia, China e Estados Unidos, não resta dúvida de que o caminho mais adequado, proporcional, inclusivo e efetivo para as PPPs está na conscientização e promoção de uma cultura cibernética com o aumento de participação nas discussões, fomento de uma maior educação e capacitação técnicas na área cibernética, adoção de incentivos, além da promoção da cooperação entre os participantes.

 

De forma específica recomenda que:

 

  • seja aplicada modulação quanto à aplicação das obrigações regulatórias às Prestadoras de Pequeno Porte (PPPs), para que sejam mais aderentes às situações concretas e apliquem-se de fato a infraestruturas críticas, notadamente removendo o item (2) e especificando e modulando de forma clara o item (3);
  • que, no caso da aplicação da obrigação prevista no artigo 8° da Resolução nº 740/2020 para as PPPs, seja endereçado, imediatamente, a observarão das particularidades da tecnologia e dos protocolos de autenticação empregados pelas prestadoras, de modo a que o cumprimento do dispositivo regulatório não impacte a operação, não resulte em vulnerabilidades, mesmo que momentâneas, e que seja possível de ser realizada pela prestadora, observadas as particularidades do serviço.
  •  


    [1] https://www.fcc.gov/cyberplanner (acesso em 11/11/2021)

    [2] Network Reliability Resources - Small and Rural Service Providers Federal Communications Commission (fcc.gov) (acesso em 11/11/2021)

    [3] https://www.cisa.gov/cyber-essentials (acesso em 11/11/2021)

    [4] https://www.enisa.europa.eu/publications/ncss-good-practice-guide (acesso em 11/11/2021)

     

    [5] https://www.enisa.europa.eu/publications/guideline-on-security-measures-under-the-eecc, acesso em 11/11/21.

    [6] https://www.enisa.europa.eu/publications/guideline-on-security-measures-under-the-eecc, Guia, item 5.1.4, pg. 45 e 49.

    [7] BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento de Segurança da Informação e Comunicações. Guia de referência para a segurança das infraestruturas críticas da informação; organização Claudia Canongia, Admilson Gonçalves Júnior e Raphael Mandarino Junior. Brasília, DF, PR/GSI/SE/DSIC, 2010

    Justificativa:

    As justificativas constam das contribuições oferecidas.

    Contribuição N°: 8
    ID da Contribuição: 98510
    Autor da Contribuição: Rhian Simões Monteiro Duarte
    Data da Contribuição: 21/03/2022 20:03:33
    Contribuição:

    Sugere-se a exclusão do inciso "III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado".

    Justificativa:

    A ABRINT entende que os textos dos incisos I e II estão adequados. Já o inciso III deve ser objeto de ajuste, haja vista que não faz qualquer sentido estender obrigações à totalidade de prestadoras STFC que fazem encaminhamento de chamadas interestadual. Isso, por si só, não significa, de modo algum, atuar no atacado e, mesmo que assim fosse compreendido, não envolve necessariamente criticidade. Neste inciso, os conceitos de desequilíbrios regionais de atendimento ou disponibilidade de serviços, bem como criticidade de ativos, devem ser incorporados ao conceito. Esse ponto talvez deva ser mais bem discutido no âmbito do GT-Ciber, a fim de se compreender seu propósito que perpasse o cenário das operadoras PMS. Também por isso sua exclusão, ao menos por hora.

    Por fim, aproveitando o ponto, a ABRINT sustenta que a ANATEL deva conferir maior espaço de atuação às PPPs no GT-Ciber, ampliando-se sua representatividade e admitindo-se mais membros. 

     Item:  Art. 3º

    Art. 3º Estabelecer que os fabricantes de produtos para telecomunicações destinados à implantação das infraestruturas críticas de empresas tipificadas no art. 2º ficam sujeitos ao cumprimento dos arts. 4º, 5º e 6º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.

    Contribuição N°: 9
    ID da Contribuição: 98503
    Autor da Contribuição: Sergio Mauro da Silva Maia
    Data da Contribuição: 21/03/2022 18:55:45
    Contribuição:

    Contribuição:  Propomos a alteração do texto para:

    “Art. 3º Estabelecer que os fabricantes de produtos para telecomunicações destinados à implantação das infraestruturas críticas de empresas tipificadas no art. 2º ficam sujeitos ao cumprimento do arts. 4º e 5º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.”

    Justificativa:

    Com relação à justificativa para a exclusão do cumprimento do Art.6º, ressaltamos que fabricantes de produtos, anteriormente à certificação de seus produtos e equipamentos junto à Agência já observam os requisitos e padrões determinados pela Agência, que garantem as condições de provimento de serviços ao mercado. Toma-se por exemplo as diretrizes previstas no Ato nº77/2021.  Logo constata-se que as prestadoras não se isentam das responsabilidades em procedimentos no que tange a segurança cibernética, incluindo as práticas de “Security by design”. Por isso entendemos como não razoável a sujeição de regras adicionais, onerosas e redundantes no processo de fabricação que estas políticas propostas trariam aos fabricantes caso este item desta proposta seja acatado pela Agência.

     

     Item:  Art. 3º, parágrafo único

    Parágrafo único. No caso de fabricantes estrangeiros, caberá ao requerente da homologação junto à Anatel a comprovação de aderência aos arts. 4, 5º e 6º, nos termos dos arts. 20 e 21 do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução nº 715, de 23 de outubro de 2019.

    Contribuição N°: 10
    ID da Contribuição: 98504
    Autor da Contribuição: Sergio Mauro da Silva Maia
    Data da Contribuição: 21/03/2022 18:59:14
    Contribuição:

    Contribuição:  Propomos a alteração, para:

    Parágrafo único. No caso de fabricantes estrangeiros, caberá ao requerente da homologação junto à Anatel a comprovação de aderência aos arts. 4º, 5º nos termos dos arts. 20 e 21 do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução nº 715, de 23 de outubro de 2019.

     

    Justificativa:

    Com relação à justificativa para a exclusão do cumprimento do Art.6º, ressaltamos que fabricantes de produtos, anteriormente à certificação de seus produtos e equipamentos junto à Agência já devem atentar aos requisitos e padrões determinados pela Agência e que garantem as condições de provimento de serviços ao mercado. Toma-se por exemplo as diretrizes previstas no Ato nº77/2021.  Logo constata-se que as prestadoras não se isentam das responsabilidades em procedimentos no que tange a segurança cibernética, incluindo as práticas de “Security by design”. Por isso entendemos como não razoável a sujeição de regras adicionais, onerosas e redundantes no processo de fabricação, que estas políticas propostas trariam aos fabricantes.

     Item:  Art. 4º

    Art. 4º A Superintendência de Controle de Obrigações (SCO) estabelecerá, mediante levantamento prévio, rol não exaustivo de empresas que se enquadrem nas hipóteses previstas pelo art. 2º.

    Contribuição N°: 11
    ID da Contribuição: 98507
    Autor da Contribuição: BERNADETE LOURDES FERREIRA
    Data da Contribuição: 21/03/2022 19:02:54
    Contribuição:

     

    Por fim, especificamente faz-se relevante também uma digressão sobre o tempo de adaptação à norma.

     

    Conforme registrado na contribuição ao art. 2º, a clareza de entendimento quanto à detentor de rede de suporte para transporte de tráfego interestadual deve restar evidente tanto quanto ao conceito quanto a quem e fato se dirige. Nesse passo, fundamental é que a Agência deixe claro o administrado que deve se subsumir à norma, editando uma lista a ser revista periodicamente, mas que seja taxativa.

     

    A identificação de enquadramento, nem sempre é simples, nem sob a ótica da Agência e nem sob a ótica da própria prestadora. Por esse motivo, após a conclusão de qual operadora deva se enquadrar em termos teóricos, recomenda-se que seja enviado ofício circular e disponibilizado no sistema da Anatel. Somente a partir de então é que a operadora estaria apta a de fato iniciar uma adaptação. Por isso se requer que a partir da data de ciência, seja concedido prazo não inferior a 180 dias para adaptação geral.

     

    Justificativa:

    As justificativas constam das contribuições oferecidas.

     Item:  Art. 5º

    Art. 5º Esta Instrução Normativa entra em vigor em [dia] de [mês] de [ano]. (preencher no momento da publicação)

    Contribuição N°: 12
    ID da Contribuição: 98500
    Autor da Contribuição: FERNANDO MAGALHÃES HOLMES
    Data da Contribuição: 21/03/2022 18:33:03
    Contribuição:

    Art. 5º. Fica assegurado às Prestadoras de Pequeno Porte prazo não inferior a 18 (dezoito) meses para o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, contados a partir da entrada em vigor da presente Instrução Normativa, sendo ainda facultado ao GT-Ciber estabelecer outros critérios mais favoráveis conforme particularidades apresentadas por cada Prestadora de Pequeno Porte.

     

    Art. 6º Esta Instrução Normativa entra em vigor 180 (cento e oitenta) dias após a sua publicação

    Justificativa:

    Entendemos e compartilhamos da preocupação desta douta Agência Reguladora quanto à necessidade de mantermos um ambiente tecnológico seguro para nossos clientes. Não divergimos nesse ponto, pois segurança cibernética é questão inegociável contida nos valores da Algar Telecom. Todavia, gostaríamos de oportunamente apresentar alguns apontamentos em relação às dificuldades que serão vivenciadas pelas PPPs no decorrer da implantação dos novos processos e adequações contidos na Resolução nº 740/20.

    1. Do impacto econômico para aderência regulatória

    Um primeiro ponto que gostaríamos de ressaltar diz respeito ao impacto econômico trazido pela implantação dos processos que envolvem o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020. Assim dispõem os referidos dispositivos:

    Art. 6º A empresa deve elaborar, implementar e manter uma Política de Segurança Cibernética, nos termos da Seção II deste Capítulo.

    Art. 7º A prestadora deve utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos neste Regulamento e realizam processos de auditoria independente periódicos.

    § 1º Os resultados do processo de auditoria mencionado no caput devem estar disponíveis para a Anatel a qualquer momento, sempre que requisitados.

    § 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

    Art. 8º A prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários.

    Parágrafo único. Cabe ao GT-Ciber estabelecer a relação dos equipamentos abrangidos e dispor sobre os aspectos de forma e procedimento relativos à medida de que trata o caput, observado o disposto no art. 24 deste Regulamento.

    Art. 9º A prestadora deve notificar à Agência e comunicar às demais prestadoras e aos usuários, conforme o caso e sem prejuízo de outras obrigações legais de comunicação, os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários, nos termos da Seção III deste Capítulo.

    Art. 10. A prestadora deve realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética, nos termos da Seção IV deste Capítulo.

    Art. 11. A prestadora deve enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações, nos termos da Seção V deste Capítulo.

    Por apresentarem grande relevância, trataremos, inicialmente, dos aspectos econômicos atrelados às obrigações previstas nos arts. 6º e 10 que trazem a obrigatoriedade de elaboração de Política de Segurança Cibernética aderente à Resolução nº 740/2020 e a realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. 

    Como ponto de partida para elaboração da Política de Segurança Cibernética, a Anatel apresenta nos arts. 12 a 16 da Resolução nº 740/2020 as balizas que direcionam o cumprimento da obrigação:

    Art. 12. A Política de Segurança Cibernética dispõe sobre as condutas e procedimentos adotados para a promoção da Segurança Cibernética e mitigação de riscos das Infraestruturas Críticas de Telecomunicações.

    Art. 13. A Política de Segurança Cibernética deve ser aderente aos princípios e diretrizes dispostos neste Regulamento, e ainda:

    I - ser compatível com a base de clientes, a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas;

    II - ser disseminada aos profissionais e colaboradores das áreas afetas, em seus diversos níveis, papéis e responsabilidades, resguardando-se o compartilhamento de informações sensíveis apenas para as pessoas que exerçam diretamente atividades de planejamento e execução da política, no que couber;

    III - estabelecer estrutura interna responsável pela política, com a identificação de pessoas e áreas competentes, bem como ponto focal para contato em eventuais urgências;

    IV - designar diretor responsável pela Política de Segurança Cibernética, o qual pode desempenhar outras funções na empresa, desde que não haja conflito de interesses;

    V - ser aprovada pelo conselho de administração ou órgão de deliberação colegiado equivalente da empresa;

    VI - ser periodicamente atualizada e revisada, sempre que necessário; e

    VII - estar disponível à Anatel sempre que solicitada, juntamente com os documentos complementares e os comprovantes de sua aprovação interna pelo órgão competente.

    Parágrafo único. Caso a estrutura de governança da Política de Segurança Cibernética seja única para o Grupo Econômico, deve ser identificada a empresa responsável, em níveis e funções, onde aplicável.

    Art. 14. A Política de Segurança Cibernética deve contemplar, no mínimo:

    I - os objetivos de Segurança Cibernética da empresa;

    II - as normas e padrões, nacionais ou internacionais, e as referências de boas práticas em Segurança Cibernética adotados;

    III - os procedimentos para a disseminação da cultura de Segurança Cibernética e capacitação dentro da empresa;

    IV - o plano de ação com medidas para a conscientização e educação de seus usuários sobre aspectos de Segurança Cibernética;

    V - os procedimentos relativos ao armazenamento seguro dos dados de seus usuários, nos termos da legislação e regulamentação;

    VI - os procedimentos e controles adotados para a identificação e a análise das vulnerabilidades, das ameaças e dos riscos associados à Segurança Cibernética, às Infraestruturas Críticas de Telecomunicações e à continuidade dos serviços de telecomunicações;

    VII - o mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários;

    VIII - a hierarquia das Infraestruturas Críticas de Telecomunicações;

    IX - os procedimentos e controles adotados para mitigar as vulnerabilidades identificadas conforme os incisos VI, VII e VIII;

    X - a avaliação do grau de dependência de fornecedores e a previsão de possíveis impactos operacionais e financeiros em razão dessa dependência;

    XI - o plano de resposta a incidentes, definindo ações, recursos e responsabilidades; e,

    XII - os procedimentos relativos ao compartilhamento de informações sobre incidentes relevantes e outras informações relativas à Segurança Cibernética.

    Art. 15. A prestadora deve publicar, em sua página na Internet, com linguagem compreensível, extrato da sua Política de Segurança Cibernética contendo as informações não sensíveis.

    Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento relativos à publicação de que trata o caput, observado o disposto no art. 24 deste Regulamento.

    Art. 16. A empresa deve, anualmente ou sempre que solicitado, apresentar à Anatel relatório sobre o acompanhamento de execução da Política de Segurança Cibernética.

    Parágrafo único. Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para o relatório de acompanhamento de que trata o caput, observado o disposto no art. 24 deste Regulamento.

    Já faz alguns anos que Algar Telecom adotou uma Política de Segurança da Informação que certamente contempla a maioria dos pontos exigidos pela Anatel, e para a qual entende-se que são eficientes para o que se espera de uma empresa regional. Com a proposta dessa Consulta Pública, a Agência coloca em condições simétricas operadoras de grande porte com algumas empresas regionais (de pequeno porte). Algumas regras impostas pela Resolução nº 740/2020 trazem uma certa complexidade em seu cumprimento e investimentos ainda não estimados. Como não houve uma análise de impacto regulatório sobre  essa proposta, a qual inclui algumas operadoras regionais, esse cálculo e impacto terão que ser realizados com o processo em curso, caso a imposição das novas regras seja confirmada. Daí a importância da realização prévia da análise de impacto regulatório, uma vez que os assuntos ali abordados refletem no provisionamento de recursos que as prestadoras fazem para o atendimento de novas obrigações.

    E por falar em novas obrigações, observamos que o Regulamento de Segurança Cibernética traz regras específicas quanto à forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética:

    Art. 19. Os ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética devem ser realizados por entidade aferidora ou empresa capacitada e independente.

    § 1º Os resultados da avaliação de que trata caput devem ser submetidos à Anatel, onde serão tratados de forma sigilosa.

    § 2º Cabe ao GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades e apresentação dos resultados mencionados neste artigo, observado o disposto no art. 24 deste Regulamento.

    Ressaltamos aqui a presença de determinação que aponta para a obrigatoriedade de contratação de empresas especializadas visando à aderência ao art. 10 da Resolução nº 740/2020. Destacamos, por ter grande relevância, que os contornos da obrigação podem ainda sofrer alterações que escapam ao conhecimento dos entes regulados, pois caberá ao “GT-Ciber dispor sobre os aspectos de forma e procedimento para a realização dos ciclos de avaliação de vulnerabilidades”. Além da imposição de novos custos, percebemos que há evidente risco relacionado à quantificação dos investimentos que serão demandados para o pleno atendimento dos aspectos que serão determinados pelo referido Grupo de Trabalho, visto que a Resolução nº 740/2020 não é exaustiva quanto ao tema e deixa para o GT-Ciber a missão de delinear os contornos da obrigação. 

    Outro ponto que merece atenção é o disposto no art. 8º da Resolução nº 740/2020. Aqui a Anatel novamente traz obrigação de custo elevadíssimo para as empresas regionais ao determinar que “a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários”, sem estabelecer, para tanto, prazo razoável para adequação, ou ainda apresentar análise de impacto regulatório que demonstre alternativas diferenciadas para o cumprimento dessa obrigação por parte das prestadoras. Além da elaboração de um plano consistente para a realização dos ajustes nas configurações dos equipamentos, as empresas terão que direcionar equipes de campo para execução da atividade, pois não são todos os cenários que permitirão realizar intervenção remota para modificar as senhas dos dispositivos fornecidos em regime de comodato. Lembramos ainda que as PPPs possuem corpo técnico enxuto para garantir eficiência e competitividade em suas operações. Medidas assimétricas, portanto, são fundamentais para que as PPPs possam cumprir o art. 8º da Resolução nº 740/2020, estabelecendo prazo mínimo diferenciado de ao menos 18 (dezoito) meses, após a entrada em vigor da novel Instrução Normativa, para que as prestadoras iniciem as tratativas internas e atividades de campo para atender a finalidade do art. 8º da Resolução nº 740/2020.

    Entendemos, assim, que a Agência, ao incluir as PPPs nesses dispositivos, impôs às empresas novos esforços econômicos que impactam sensivelmente em seus fluxos de caixa e programação orçamentária dentro do mesmo exercício financeiro em que será aprovada a nova Instrução Normativa. Cabe-nos lembrar que estamos tratando de empresas de pequeno porte que estão constantemente buscando formas de inovar e competir com as detentoras de Poder de Mercado Significativo (PMS), sem dispor dos mesmos recursos financeiros que as grandes prestadoras.

    Ademais, percebe-se ainda, do ponto de vista legal, que a Agência inovou na sua interpretação que constava da Análise de Impacto Regulatório realizada previamente à elaboração da Resolução nº 740/2020, visto que naquela oportunidade entendeu como justo e coerente com a perspectiva regulatória excluir as PPPs da incidência dessas obrigações, justificando “o estabelecimento de requisitos substancialmente menores para aquelas de pequeno porte, nos termos da regulamentação, também em razão do menor potencial de influência dos ataques originados em suas redes”.

    De lá para cá, sabemos que nada ou muito pouco mudou em relação ao risco potencial de eventuais ataques originados nas redes das PPPs. Temos o dever de destacar que sequer foram identificados nesse período incidentes relevantes que justificassem a mudança de entendimento da Anatel. A Agência já havia firmado posição quanto à necessidade de assimetria regulatória diante do porte e da inexpressividade de incidentes relacionados à Segurança Cibernética das PPPs. E agora, sem apresentar nova análise de impacto regulatório para sustentar a mudança de entendimento, propõe a imposição de regras que incrementam custos operacionais sem que haja tempo hábil para acomodá-los no orçamento das empresas regionais. A conclusão que chegamos é que estão presentes indícios de falta de razoabilidade e possível descumprimento dos arts. 4º e 6º da Lei das Agências Reguladoras, Lei nº 13.848/2019, que assim determina:

    Art. 4º A agência reguladora deverá observar, em suas atividades, a devida adequação entre meios e fins, vedada a imposição de obrigações, restrições e sanções em medida superior àquela necessária ao atendimento do interesse público.

    (...)

    Art. 6º A adoção e as propostas de alteração de atos normativos de interesse geral dos agentes econômicos, consumidores ou usuários dos serviços prestados serão, nos termos de regulamento, precedidas da realização de Análise de Impacto Regulatório (AIR), que conterá informações e dados sobre os possíveis efeitos do ato normativo.

    Trazemos também à consideração desta r. Agência Reguladora a inafastável observação quanto ao previsto no art. 23 da Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942:

    Art. 23.  A decisão administrativa, controladora ou judicial que estabelecer interpretação ou orientação nova sobre norma de conteúdo indeterminado, impondo novo dever ou novo condicionamento de direito, deverá prever regime de transição quando indispensável para que o novo dever ou condicionamento de direito seja cumprido de modo proporcional, equânime e eficiente e sem prejuízo aos interesses gerais.

    Diante disso, não obstante o que a pouco apresentamos como medidas imprescindíveis para minimizar o impacto da nova regulamentação, também há que se levar em conta a importância da análise de impacto regulatório sobre a matéria em consulta, e consequente adequação do processo normativo à legislação..

    2. Da necessidade de adequação dos prazos

    Como ressaltado no tópico anterior, a absorção interna das novas obrigações contidas na Resolução nº 740/2020 implicará a realização de gastos significativos para as PPPs que não estavam diretamente previstos no orçamento de 2022. Além do tempo requerido para acomodar esses gastos dentro do orçamento, haverá necessidade de realizar contratação de consultoria especializada para adequação de regras, identificação de vulnerabilidades e realização de ciclos de avaliação, sem falar do tempo e dos gastos que serão aplicados para ajustes dos equipamentos fornecidos em regime de comodato.

    Também é sabido pela Anatel que as PPPs não tiveram participação relevante no GT-Ciber. A ausência de voz ativa nesse grupo de trabalho colocou as PPPs em condição de desvantagem em razão da deficiência de participação na elaboração    dos instrumentos normativos. Apesar de pegarmos o processo já em andamento, não estamos nos furtando da responsabilidade de adotar as medidas que contribuam com a melhoria da Segurança Cibernética. O que pedimos, com base na razoabilidade e na legislação aplicável, é tão-somente a adoção de prazos diferenciados. É medida que visa, inclusive, a respeitar um dos princípios mais caros para a regulação e para a construção de um Estado Democrárico de Direito: estamos falando do Princípio da Isonomia e de sua eficácia irradiante no âmbito das normas derivadas que buscam estabelecer condições de assimetria regulatória. 

    “a regra da igualdade não consiste senão em tratar desigualmente os desiguais na medida em que se desigualam. Nesta desigualdade social, proporcional e desigualdade natural, é que se acha a verdadeira lei da igualdade. Os mais são desvarios da inveja, do orgulho ou da loucura. Tratar com desigualdade os iguais, ou os desiguais com igualdade, seria desigualdade flagrante, e não igualdade real. Os apetites humanos conceberam inverter a norma universal da criação, pretendendo, não dar a cada um, na razão do que vale, mas atribuir os mesmos a todos, como se todos se equivalessem”. (Citação de Ruy Barbosa por BULOS, Uadi Lammêgo. Curso de Direito Constitucional. 3 ed. Saraiva: São Paulo, 2009, p. 420)

    Essa é a leitura que temos que fazer do art. 5º, caput, da Constituição Federal de 1988. E os reflexos desse princípio - denominado pela doutrina como Eficácia Irradiante dos Direitos Fundamentais - podem ser encontrados no art. 2º, inciso III, da Lei nº 9.472/97 - Lei Geral de Telecomunicações (LGT) - (Art. 2°. O Poder Público tem o dever de: (...) III - adotar medidas que promovam a competição e a diversidade dos serviços, incrementem sua oferta e propiciem padrões de qualidade compatíveis com a exigência dos usuários), o qual norteia a elaboração de resoluções, informes, pareceres e decisões adotadas pela Anatel. O regulador, portanto, deve estar atento à inclusão das assimetrias regulatórias no processo de construção normativa para garantir condições isonômicas sob a perspectiva material e tornar o produto do seu trabalho algo completo e mais refinado do ponto de vista da boa técnica legislativa. 

    Entendida a importância de seguirmos nessa direção, informamos que em um estudo preliminar, elaborado por consultoria especializada contactada pela Algar especificamente para implantação dos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020, consta indicação quanto à necessidade da realização de um complexo conjunto de atividades que, contemplando tão-somente a análise de gap com coleta de dados sob a ótica da Resolução para posterior planejamento, desenho e especificação da solução e implantação de processos, demandaria alguns meses para a conclusão. Temos ainda que acrescentar a esse prazo todo trâmite necessário para alocação de recursos, contratação de equipe técnica dedicada, identificação de ativos de rede, análise de vulnerabilidades, capacitação interna, desenvolvimento e aprimoramento de sistemas de Tecnologia da Informação, correção de falhas e implantação das mudanças introduzidas pela Resolução nº 740/2020 em campo. É fácil perceber, portanto, que se trata de um projeto de altíssima complexidade e que deve ser conduzido com extrema responsabilidade pela Algar.

    Assim, trazendo o assunto para termos mais concretos, caso a Agência ainda entenda pela aplicação da Resolução nº 740/2020 às PPPs, podemos observar que todo o processo exigirá ao menos 18 (dezoito) meses para ser concluído. Entende-se que não há fato novo que justifique a extensão das obrigações às PPPs, mas se ainda assim a Agência entender pela necessidade de ampliar a aplicação do Regulamento, faz-se necessária a inclusão de mecanismos de assimetria regulatória dentro da nova Instrução Normativa para autorizar às PPPs a adoção de prazo diferenciado, o qual sugerimos como sendo de 18 (dezoito) meses a partir da entrada em vigor da Instrução Normativa.

    3. Das contribuições ao texto da Instrução Normativa

    Agora que já foram apresentadas as justificativas das nossas contribuições, gostaríamos de pontuar especificamente os ajustes que entendemos indispensáveis na Instrução Normativa ora proposta que viabilizarão a implementação das obrigações pertinentes à Resolução nº 740/2020. Em breve síntese, estamos recomendando pequenas adequações ao texto e a inclusão de um artigo específico para tratar de prazos diferenciados às PPPs.

    Os arts. 1º e 2º da proposta da Instrução Normativa apresentam o seguinte texto:

    Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020.

    Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo:

    I - Detentoras de cabo submarino com destino internacional;
    II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
    III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

     
    Nossa contribuição consiste em pequenos acréscimos nesse texto - porém significativos sob a perspectiva isonômica - com o objetivo de trazer a assimetria regulatória para dentro do regulamento e torná-lo mais equilibrado e completo:

    Art. 1º Estabelecer que as Prestadoras de Pequeno Porte, nos termos da regulamentação de competição, ficam sujeitas ao cumprimento do art. 8º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, observados os prazos e condições estabelecidos nesta Instrução Normativa.

    Art. 2º Ampliar a incidência das obrigações constantes dos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, às empresas listadas abaixo, observados os prazos e condições estabelecidos nesta Instrução Normativa:

    I - Detentoras de cabo submarino com destino internacional;
    II - Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e
    III - Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado.

    Sugerimos que o detalhamento dos “prazos e condições” seja incluído em artigo específico para dar o destaque e a amplitude necessária dentro da Instrução Normativa. Recomendamos, assim, a inclusão do presente artigo 5º e a renumeração, consequentemente, do atual artigo 5º para o artigo 6º, conforme segue:

    Art. 5º. Fica assegurado às Prestadoras de Pequeno Porte prazo não inferior a 18 (dezoito) meses para o cumprimento das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020, contados a partir da entrada em vigor da presente Instrução Normativa, sendo ainda facultado ao GT-Ciber estabelecer outros critérios mais favoráveis conforme particularidades apresentadas por cada Prestadora de Pequeno Porte.

    Além da renumeração do atual artigo 5º, entendemos primordial a adoção de um maior período de transição para o início da vigência da Instrução Normativa. Segue a nossa proposta:

    Art. 6º Esta Instrução Normativa entra em vigor 180 (cento e oitenta) dias após a sua publicação.

    Com esses ajustes pontuais, tornamos a Instrução Normativa mais aderente ao Princípio da Isonomia e homenageamos a assimetria regulatória que é tanto celebrada pela doutrina e jurisprudência dos setores regulados. Teremos um regulamento que se coaduna com as boas práticas legislativas e, não menos importante, factível de ser implementado pelas PPPs sem que haja comprometimento desarrazoado da regularidade orçamentária. 

    4. Dos Pedidos

    Feitas essas considerações, a Algar Telecom respeitosamente apresenta à Superintendência de Controle de Obrigações (SCO) da Anatel os seguintes pedidos para que sejam considerados(as) procedentes:

    os argumentos sustentados quanto aos impactos econômico-financeiros trazidos pela incidência da nova Instrução Normativa às Prestadoras de Pequeno Porte;

    a) as justificativas e preocupações colacionadas no texto em relação à impossibilidade de cumprimento pelas PPPs das obrigações previstas nos arts. 6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020 em prazo inferior a 18 (dezoito) meses;

    b) a sugestão para realização de Análise Impacto Regulatório (AIR) específica para tratar da inclusão das PPPs no escopo das obrigações estabelecidas nos arts.  6º, 7º, 8º, 9º, 10 e 11 da Resolução nº 740/2020;

    c) a inclusão de um período de transição de 180 (cento e oitenta) dias, na forma de vacatio legis, para fins de cumprimento do art. 23 da  Lei de Introdução às Normas de Direito Brasileiro (LINDB), Decreto-Lei nº 4.657/1942, com vistas a permitir a adaptação das PPPs aos novos condicionamentos;

    d) as contribuições de alteração de texto sugeridas para os arts. 1º e 2º, assim como para os novos arts. 5º e 6º que recomendamos incluir ao texto original da presente Instrução Normativa, garantindo a concretização do Princípio da Isonomia por meio da aplicação de instrumentos de assimetria regulatória que garantirão os meios necessários para cumprimento das obrigações por parte das PPPs.

    A Algar Telecom segue à disposição de Vossa Senhoria para eventuais esclarecimentos que se façam necessários.

    Contribuição N°: 13
    ID da Contribuição: 98505
    Autor da Contribuição: Sergio Mauro da Silva Maia
    Data da Contribuição: 21/03/2022 19:01:27
    Contribuição:

    Alterar para:

    Esta Instrução Normativa entra em vigor em a partir de 180 (cento e oitenta) dias da publicação no Boletim de Serviço Eletrônico da Anatel.

    Justificativa:

    Considerando a complexidade de implementação das provisões trazidas nesta proposta e o impacto em investimentos de linhas de produção e de adequação dos modelos de negócios das PPPs, entendemos que o prazo de entrada em vigência não deverá ser inferior a 12 meses.

     

    Contribuição N°: 14
    ID da Contribuição: 98508
    Autor da Contribuição: BERNADETE LOURDES FERREIRA
    Data da Contribuição: 21/03/2022 19:02:54
    Contribuição:

    Não obstante a vigência seja imediata, a TelComp entende que deva ser conferindo prazo extenso (até 18 meses) para a adoção de solução de autenticação prevista no artigo 8º da Resolução nº 740/2020 para as PPPs. Não há como tornar efetiva a norma sem um prazo mínimo para poder promover as adaptações necessárias.

    Justificativa:

    As justificativas constam das contribuições oferecidas.