Alerta
Entra em vigor a Resolução da ANEEL que define regras de segurança cibernética no setor de energia elétrica
Hoje, dia 1º de julho de 2022, entra em vigor a Resolução Normativa nº 964, de 14 de dezembro de 2021, da Agência Nacional de Energia Elétrica – ANEEL, que dispõe sobre regras de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica.
A Resolução é extremamente importante para o setor, pois define as diretrizes a serem adotadas pelos agentes regulados do setor de energia visando à mitigação de riscos de segurança cibernética.
A quem a Resolução se aplica?
A Resolução é aplicável aos concessionários, permissionários, autorizados de serviços ou instalações de energia elétrica e às entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica ou pela gestão de recursos provenientes de encargos setoriais, tendo como objetivo mitigar os riscos relacionados a incidentes de segurança cibernética no setor elétrico.
Quais são os riscos relacionados a incidentes de segurança cibernética?
Conforme indicado pela ANEEL, os riscos relacionados à segurança cibernética incluem eventual interrupção no suprimento de energia, a impossibilidade de realização de operações técnicas pelos agentes regulados e possível extravio de dados.
Em relação aos riscos relacionados a continuidade das operações, vale lembrar do ataque cibernético do tipo “ransomware”[1] sofrido no ano passado pela Colonial Pipeline, uma das maiores redes de oleodutos dos Estados Unido. Esse ataque resultou na paralização das operações da empresa, fazendo com que o governo norte-americano declarasse estado de emergência em 17 estados do país em decorrência da interrupção do fluxo de combustível.[2]
Quais são as diretrizes em segurança cibernética?
Visando mitigar riscos como interrupção no suprimento de energia e extravio de dados, a ANEEL aprovou regulação indicando as diretrizes para atuação dos agentes regulados em segurança cibernética.
Tais diretrizes incluem, dentre outras, a necessidade de adoção de normas, padrões e referências de boas práticas em segurança cibernética e a atuação dos agentes para identificar, diagnosticar e responder a incidentes cibernéticos, bem como disseminar a cultura de segurança cibernética.
Para tanto, a Resolução indica a necessidade de que os agentes regulados possuam uma Política de Segurança Cibernética, que deve ser aderente às diretrizes estabelecidas na regulação, compatível com a sensibilidade dos dados e das informações sob responsabilidade do agente e com a relevância da instalação no contexto do Sistema Interligado Nacional – SIN.
O que deve conter na Política de Segurança Cibernética e quais as obrigações dos agentes regulados?
Para que a Política de Segurança Cibernética esteja alinhada ao disposto na Resolução, ela deve prever, dentre outros aspectos: (i) critérios para a classificação dos dados e informações utilizados pelo agente, de acordo com sua relevância; (ii) procedimentos e controles para reduzir a vulnerabilidade a incidentes; e (iii) a adoção de medidas técnicas para garantir a segurança e rastreabilidade de informações críticas.
Adicionalmente, a Resolução estabelece obrigações específicas para os agentes regulados, como, por exemplo, que seja designado um responsável pela Política de Segurança Cibernética, bem como que o documento seja aprovado pelo Conselho de Administração do agente (podendo ser único para todo o grupo econômico) e revisado periodicamente.
Outro aspecto importante destacado pela Resolução é o dever de o agente regulado disseminar internamente, entre seus colaboradores, a cultura de segurança cibernética, principalmente por meio da implementação de programas de capacitação e da adoção de medidas para a conscientização e educação sobre aspectos de segurança cibernética.
O que diz a Resolução sobre resposta a incidentes de segurança?
Sobre incidentes cibernéticos, a Resolução exige que a Política de Segurança Cibernética defina os parâmetros a serem utilizados na avaliação da relevância dos incidentes cibernéticos, bem como estabeleça procedimentos para prevenção, tratamento e resposta a tais incidentes, o que pode ser feito, por exemplo, por meio da elaboração de um plano de resposta a incidentes.
Além disso, é estabelecida a obrigação dos agentes de notificar a equipe de coordenação setorial designada em caso de incidentes cibernéticos de maior impacto (como definidos na Resolução), que afetem maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados
Conclusões
Como se pode observar, a Resolução apresenta um framework básico a ser implementado pelos agentes regulados do setor elétrico, com o objetivo de minimizar o risco sistêmico decorrente de um possível incidente cibernético, desenvolvido em conexão com a Estratégia Nacional de Segurança em Infraestruturas Críticas, estabelecida pelo Decreto n° 10.569/2020.
As equipes de Energia e de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse Advogados estão à disposição para auxiliar seus clientes na implementação de medidas decorrentes da Resolução.
Paulo Lilla paulo.lilla@lefosse.com Tel.: (+55) 11 3024 6490 |
Raphael Gomes raphael.gomes@lefosse.com Tel.: (+55) 11 3025 3240 |
Carla Segala carla.segala@lefosse.com Tel.: (+55) 11 3024 6256 |
[1] Ataques do tipo “ransomware” podem ser definidos como uma espécie de “sequestro de dados” em que o agente criminoso consegue invadir os sistemas e torná-los indisponíveis, exigindo o pagamento de um “resgate”, normalmente em Bitcoins, para restaurar os servidores e não divulgar as informações acessadas indevidamente.
[2] UNITED STATES SENATE. “America’s data held hostage: case studies in ransomware attacks on American companies”. Staff Report – Committee on Homeland Security and Governmental Affairs. March 2022. Acesso em 30 de junho de 2022.