Way2Blog

Nos últimos anos, temos visto constantes ataques virtuais à empresas do varejo, e-commerce e indústrias, gerando milhões de reais em prejuízos para estes negócios e colocando a discussão sobre segurança cibernética em voga. 

Nem o Governo Brasileiro escapou e acabou sofrendo ciberataques nos sites do Sistema Único de Saúde, Conecte SUS, Polícia Rodoviária Federal (PRF), Ministério da Economia, Controladoria Geral da União (CGU) e Instituto Federal do Paraná, em dezembro de 2021. O cenário preocupante é refletido em dados: apenas no primeiro trimestre do ano passado, o Brasil sofreu 9,1 milhões de crimes cibernéticos, segundo a consultoria alemã Roland Berger, configurando o 5º lugar entres os países com o maior número de ocorrências dessa natureza. 

Com as empresas do setor elétrico avançando cada vez mais rumo à digitalização e à abertura de dados do mercado, estabelecer uma política de segurança cibernética no ramo se tornou indispensável. Essa necessidade acabou se traduzindo na Resolução Normativa ANEEL 964, que estabeleceu diretrizes para que os agentes do setor elétrico possam identificar, proteger e recuperar os incidentes cibernéticos.

Entenda como os agentes do setor elétrico devem se adequar à nova resolução

Para esclarecer como as novidades trazidas pela Resolução 964 impactam o setor elétrico brasileiro, convidamos a advogada Luiza Sato, especialista em Proteção de Dados, Direito Digital e Práticas de Propriedade Intelectual. Confira a entrevista abaixo:

Quais foram as principais mudanças trazidas pelas novas diretrizes de segurança cibernética?

A Resolução Normativa ANEEL nº 964/2021 (“Resolução 964”), publicada no final do ano passado, trouxe as diretrizes e um conteúdo mínimo das políticas de segurança cibernética que devem ser adotadas pelos agentes do setor elétrico brasileiro. Essas novas regras têm que estar disponíveis à ANEEL sempre que solicitadas.

Como exemplos de diretrizes, estão a adoção de normas, padrões e referências de boas práticas em segurança cibernética; e identificação, proteção, diagnóstico, resposta e recuperação dos incidentes cibernéticos. Como exemplos de conteúdo mínimo, estão a aplicação com periodicidade anual de, pelo menos, um modelo de maturidade em segurança cibernética; a classificação dos dados e das informações quanto à relevância; e a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes.

Existem ainda outras obrigações:

• notificação da equipe de coordenação setorial designada aos incidentes cibernéticos de maior impacto, que afetam de maneira substancial a segurança das instalações, a operação ou os serviços dos usuários ou de dados;

• adoção de procedimento de compartilhamento de informações sobre ameaças e outras informações relativas à segurança cibernética, de forma sigilosa e não discriminatória; 

• manutenção de registros e envio para a ANEEL, ou para a equipe de coordenação setorial designada, as seguintes informações sempre que solicitadas: os resultados dos modelos de maturidade; os riscos cibernéticos identificados, com a respectiva forma de tratamento; e os dados das equipes de prevenção, tratamento e resposta a incidentes cibernéticos.

Como essas mudanças impactam o setor elétrico brasileiro?

Os agentes do setor elétrico brasileiro terão que incluir em suas atividades ou fortalecer os cuidados já existentes para a proteção das informações processadas e transmitidas. Não se trata mais de uma questão de boas práticas, mas de necessidade, tanto para a manutenção e crescimentos de negócios, como para evitar a aplicação de penalidades. 

Importante notar que a Resolução 964 não é a única norma aplicável aos agentes do setor elétrico, no que tange a segurança cibernética. Ela faz parte de todo um sistema legislativo envolvendo o assunto. A depender da natureza das informações tratadas, poderão ser aplicadas outras normas, como a Lei Geral de Proteção de Dados (LGPD) nos casos de tratamento de dados pessoais; o Marco Civil da Internet (MCI), no caso de informações trafegadas via Internet e o Código de Defesa do Consumidor (CDC), em caso de tratamento de dados de consumidores.

Quanto tempo os agentes do setor elétrico têm para se adequarem à nova legislação que trata da segurança cibernética? 

O prazo para adequação às normas de segurança cibernética trazidas pela Resolução 964 é 1º de julho deste ano. São aguardadas outras resoluções regulamentando o tema por órgãos do setor elétrico, sendo necessário acompanhar a evolução normativa. A violação dará causa à aplicação das sanções cabíveis. O artigo 5º da Resolução Normativa ANEEL nº 846/2019 descreve as sanções administrativas aplicáveis às infrações pelo descumprimento da legislação setorial.

Além disso, outras normas aplicáveis, como as mencionadas acima (LGPD, MCI e CDC), já se encontram em vigor e penalidades baseadas em sua violação já são cabíveis. De qualquer forma, a adequação a tais normas não deve ocorrer apenas com o propósito de evitar as penalidades dos órgãos públicos, uma vez que outros riscos existem no caso de sua violação. Por exemplo, um incidente de segurança da informação pode causar abalos na reputação de um agente e perdas financeiras extraordinárias, caso haja perda de dados que cause a impossibilidade de distribuição de energia por um longo período.

Antes da aprovação dessas diretrizes de segurança cibernética, como o setor lidava com os riscos de possíveis crimes cibernéticos? 

Antes da Resolução 964, que trata das novas diretrizes de segurança cibernética, já existiam outras normas aplicáveis a todos os setores (exs: LGPD, MCI e CDC), além de padrões técnicos, como a ISO 27001, que versa sobre sistema de gestão de segurança da informação. De qualquer forma, pelas informações que temos, de forma geral, as ações tomadas pelos agentes do setor elétrico brasileiro, para evitar e remediar incidentes cibernéticos, ainda são bastante incipientes.

Quais são os benefícios dessas novas regulamentações de segurança cibernética e da digitalização para o setor elétrico brasileiro? 

Há benefícios em três grandes esferas: a primeira, é a de proteger os direitos e liberdades fundamentais dos titulares de dados, ou seja, os indivíduos aos quais dados pessoais se referem. A segunda, é a proteção do negócio e devida prestação dos serviços pelos agentes do setor elétrico, uma vez que incidentes de segurança podem acarretar prejuízos imensuráveis a um agente. Inclusive relacionados à impossibilidade da prestação de serviços, o que pode afetar toda uma população. A terceira é a segurança jurídica, para que os agentes entendam as obrigações que devem seguir com relação à segurança da informação e à proteção de dados.

As novas diretrizes de segurança cibernética geram todo um campo favorável para que a digitalização do setor elétrico brasileiro ocorra de forma mais segura, e para que as iniciativas inovadoras dentro do setor sejam atrativas para investidores e usuários. Como exemplo, se porventura a instalação de smart meters for facultativa para os indivíduos, com toda a certeza eles vão optar pelo uso da tecnologia, caso sintam-se confortáveis em relação à segurança das informações trafegadas.

Quais dicas você daria para os agentes do setor elétrico que precisam se adequar à nova legislação para evitar multas e melhorar a segurança cibernética?

Primeiramente, que eles entendam que a segurança cibernética é um assunto prioritário. Os tomadores de decisão dentro dos agentes devem estar muito cientes do assunto e designar orçamento e esforços compatíveis com sua relevância. A partir daí, recomendo a condução de projetos de adequação às normas de proteção de dados e segurança da informação e, em seguida, seguir um plano de ação para conformidade, com foco especial no desenho da política cibernética.

Para conferir outras  discussões acerca do assunto, assista ao Energy LiveCast: digitalização e segurança de dados, com a participação da Luiza Sato e do Danilo Barbosa, sócio-fundador e VP Executivo a Way2.