Governo Federal publica Decreto que retira custos de capatazia da base de cálculo do Imposto de Importação
Entrará em vigor no dia 1º de julho de 2022 a Resolução Normativa nº 964, publicada pela Agência Nacional de Energia Elétrica (ANEEL) em 22 de dezembro de 2021, que estipula, em complementação à Lei Geral de Proteção de Dados, as diretrizes e o conteúdo mínimo das políticas de segurança cibernética a serem adotados pelos agentes do setor de energia elétrica.
Conforme disposto na Resolução Normativa, é necessário que atendam a diversas diretrizes, dentre elas:
- A adoção de normas, padrões e referências de boas práticas em segurança cibernética, por meio da atuação com responsabilidade, zelo e transparência e da disseminação de uma cultura de segurança cibernética;
- A busca pela utilização segura das redes e serviços de energia elétrica, bem como da cooperação entre os agentes envolvidos, a fim de mitigar os riscos cibernéticos; e
- A identificação, a avaliação, a classificação e o tratamento dos riscos cibernéticos, além da identificação, da proteção, do diagnóstico, da resposta e da recuperação dos incidentes cibernéticos.
Seguindo tais diretrizes, as novas políticas de segurança cibernética devem abranger:
- Os objetivos de segurança cibernética e a capacidade do agente para prevenir, identificar, responder e reduzir a vulnerabilidade a incidentes cibernéticos;
- A classificação dos dados e das informações quanto à relevância;
- O registro, a análise da causa e do impacto e o controle dos efeitos dos incidentes de maior impacto para as atividades do agente;
- A definição de procedimentos e de controles para a prevenção e para o tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações críticas, ou que sejam relevantes para a condução das atividades operacionais em níveis compatíveis com os utilizados pelo agente; e
- A definição dos parâmetros de avaliação da relevância dos incidentes cibernéticos.
Além disso, as políticas devem abranger procedimentos, medidas e mecanismos para a promoção da segurança cibernética, tais como:
- A aplicação anual de pelo menos um modelo de maturidade em segurança cibernética;
- A realização de simulações de cenários e ameaças para testes de resiliência, de análise das ferramentas e de capacidade e tempo de resposta;
- A implementação de medidas técnicas para preservar a segurança das informações críticas;
- A utilização de mecanismos para disseminação da cultura de segurança cibernética, tais como: (i) a execução de programas de capacitação e de avaliação periódica de pessoal; (ii) o plano de ação com medidas para a conscientização e educação dos usuários sobre aspectos de segurança cibernética e (iii) o comprometimento da alta administração com a melhoria contínua dos procedimentos atinentes à segurança cibernética;
- O uso de mecanismos para prevenir, mitigar e recuperar incidentes cibernéticos na Rede de Informação ou na rede das instalações do agente, bem como para impedir que os incidentes afetem a operação; e
- O cumprimento de procedimentos para prevenção, tratamento e resposta a incidentes cibernéticos, bem como de procedimentos e controles para reduzir a vulnerabilidade a incidentes.
Ainda, as políticas de segurança cibernética devem:
- Ser compatíveis com a relevância da instalação no contexto do SIN; com a natureza e a complexidade dos serviços; com as atividades; com os processos e sistemas e com a sensibilidade dos dados e das informações sob responsabilidade do agente;
- Ser disseminadas aos profissionais e colaboradores das áreas afetas, resguardando-se o compartilhamento de informações críticas apenas para as pessoas que exerçam o planejamento e a execução da política de forma direta, no que couber;
- Estabelecer responsabilidades pela aplicação da política, com a identificação de pessoas e áreas competentes e ponto focal para contato em eventuais urgências, designando, também, dirigente responsável pela política de segurança cibernética;
- Ser aprovada pelo Conselho de Administração ou órgão de deliberação colegiado equivalente;
- Ser revisada e atualizada periodicamente ou sempre que necessário; e
- Estar disponível à ANEEL sempre que solicitada.
No mais, em casos de incidentes de cibernéticos de maior impacto que afetem substancialmente a segurança das instalações, a operação, ou os serviços aos usuários ou de dados, os agentes devem, além de notificar a Autoridade Nacional de Proteção de Dados (ANPD), cientificar a equipe de coordenação setorial designada assim que tiverem ciência do incidente e de sua dimensão. Junto da notificação, os agentes devem informar análise da causa e do impacto, além de descrição das ações de mitigação adotadas.
Vale dizer que por não haver sanção específica prevista na referida Resolução Normativa, aplicam-se as regras previstas na Res. Normativa 846/2019 no que couber.
E, por fim, note-se que a Resolução Normativa nº 964/2022 será objeto de Avaliação de Resultado Regulatório – ARR decorridos 7 (sete) anos de sua vigência.
Acesse na integra a resolução clicando aqui.
Para mais informações, contate nossas áreas de Proteção de Dados e Regulatório.