A REN 964/21 da ANEEL estabelece as diretrizes e o conteúdo mínimo que devem ser adotados pelos agentes do setor de energia elétrica em suas políticas de segurança cibernética.
No dia 1º de julho de 2022 entrou em vigor a Resolução Normativa nº 964, de 14 de dezembro de 2021, da Agência Nacional de Energia Elétrica (Aneel), que dispõe sobre regras de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica.
A REN 964/21 da Agência estabelece as diretrizes e o conteúdo mínimo que devem ser adotados pelos agentes do setor de energia elétrica em suas políticas de segurança cibernética.
A edição e publicação da REN 964/2021 surge num contexto de crescente preocupação do setor a partir do aumento, em nível global, de ataques cibernéticos a infraestruturas críticas – tal como o ataque sofrido, em 2021, pela Colonial Pipeline nos Estados Unidos. A rápida transformação digital pela qual passa o setor elétrico – e toda a economia- também eleva o nível de preocupação com a segurança digital. A segurança cibernética no Brasil é considerada um dos pilares da Estratégia Brasileira para a Transformação Digital (E-Digital), instituída pelo Decreto nº 9.319/2018.
Aliás, especificamente no setor elétrico, já vigora, desde julho de 2021, a “Rotina Operacional RO-CB.BR.01 “, do ONS, que estabelece os controles mínimos de segurança cibernética a serem implementados pelos seus agentes no Ambiente Regulado Cibernético (ARCiber).
A Resolução 964, que ora entra em vigência, se aplica aos concessionários, aos permissionários e aos autorizados de serviços ou instalações de energia elétrica, bem como às entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica ou pela gestão de recursos provenientes de encargos setoriais.
Importa notar, desde já, que as infrações à legislação setorial, conforme disposição do artigo 5º da Resolução Normativa nº 846/2019 da Aneel[1] , sujeitam o infrator a sanções como multas, obrigações de fazer ou não fazer, suspensão de participação em licitações, revogação de autorização e caducidade da concessão ou da permissão.
[1]Art. 5º As infrações à legislação setorial, bem como a inobservância aos deveres ou às obrigações decorrentes dos contratos de concessão e permissão, aos atos de autorização de serviços ou instalações de energia elétrica ou aos demais atos administrativos de efeitos concretos expedidos pela Agência sujeitarão o agente infrator às penalidades de:
I – advertência;
II – multa;
III – embargo de obras;
IV – interdição de instalações;
V – obrigação de fazer;
VI – obrigação de não fazer;
VII – suspensão temporária de participação em licitações para obtenção de novas concessões, permissões ou autorizações, bem como impedimento de contratar com a ANEEL e de receber autorização para serviços e instalações de energia elétrica;
VIII – revogação de autorização;
IX – intervenção para adequação do serviço público de energia elétrica; e
X – caducidade da concessão ou da permissão.
Portanto, além dos evidentes prejuízos que a inobservância de padrões mínimos de segurança cibernéticas causam, por si só, aos agentes do setor, a devida adequação aos padrões mínimos à REN 964/22 revela-se fundamental também para se evitar a imposição de sanções administrativas pelo agente regulador.
De acordo com a Resolução Normativa ANEEL nº 964, as políticas de segurança cibernética devem contemplar, dentre outros requisitos:
– Objetivos de segurança cibernética e sua capacidade para prevenir, detectar, responder e reduzir a vulnerabilidade [do agente do setor] a incidentes cibernéticos;
– Classificação dos dados e das informações quanto à relevância;
– As medidas técnicas adotadas, incluindo aquelas de rastreabilidade da informação, que busquem garantir a segurança das informações críticas
– Os procedimentos e controles de redução de vulnerabilidade [do agente do setor] a incidentes e de atendimento aos demais objetivos da segurança cibernética;
– Definição dos parâmetros para avaliar relevância dos incidentes cibernéticos;
A Resolução igualmente determina, dentre outras exigências, que a política de segurança deverá:
– estabelecer responsabilidades pela aplicação da política, com a identificação de pessoas e áreas competentes, bem como ponto focal para contato em eventuais urgências;
– designar dirigente responsável pela política de segurança cibernética, o qual pode desempenhar outras funções, desde que não haja conflito de interesses;
– ser revisada e atualizada periodicamente ou sempre que necessário; e
– estar disponível à ANEEL sempre que solicitada, juntamente com os documentos complementares e os comprovantes de sua aprovação interna pelo órgão competente.
Além das disposições relacionadas aos padrões mínimos das políticas de segurança, a Resolução também endereça exigências específicas à necessidade de notificação de incidentes cibernéticos, estabelecendo a obrigação aos agentes de notificar a equipe de coordenação setorial designada em caso de incidentes cibernéticos de maior impacto, que afetem maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados.
Não menos importante, é expressamente consignado que é de responsabilidade do próprio agente a segurança das instalações e a continuidade na prestação do serviço, assim como estabelecido um dever de controle e cooperação com a ANEEL para que sejam sempre informados, quando requisitados:
I – os resultados dos modelos de maturidade aplicados em formato a ser definido;
II – os riscos cibernéticos identificados, com a respectiva forma de tratamento; e
III – os dados das equipes de prevenção, tratamento e resposta a incidentes cibernéticos.
As diretrizes mínimas de cibersegurança estabelecidas pela REN 964/22 complementam-se, ainda, com as obrigações estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD), assim como pelo Marco Civil da Internet e pelo Código de Defesa do Consumidor, diplomas legais cujas penalidades por violação já vêm sendo regularmente aplicadas.
Para adequação à da Resolução Normativa nº 964/2021 e a LGPD, será necessária a criação ou atualização das políticas de segurança de informação e de privacidade, de instrumentos contratuais e a indispensável e concreta adequação da estrutura organizacional a essa cultura de segurança da informação e proteção de dados em um nível adequado de maturidade.
Por Lucas Saretta Ferrari e Frederico Boschin
