Resolução Normativa da ANEEL define diretrizes e conteúdo da política de segurança cibernética dos agentes do setor

Entrará em vigor no dia 1º de julho de 2022 a Resolução Normativa nº 964, publicada pela Agência Nacional de Energia Elétrica (ANEEL) em 22 de dezembro de 2021, que estipula, em complementação à Lei Geral de Proteção de Dados, as diretrizes e o conteúdo mínimo das políticas de segurança cibernética a serem adotados pelos agentes do setor de energia elétrica.


Conforme disposto na Resolução Normativa, é necessário que atendam a diversas diretrizes, dentre elas:

  • A adoção de normas, padrões e referências de boas práticas em segurança cibernética, por meio da atuação com responsabilidade, zelo e transparência e da disseminação de uma cultura de segurança cibernética;
  • A busca pela utilização segura das redes e serviços de energia elétrica, bem como da cooperação entre os agentes envolvidos, a fim de mitigar os riscos cibernéticos; e
  • A identificação, a avaliação, a classificação e o tratamento dos riscos cibernéticos, além da identificação, da proteção, do diagnóstico, da resposta e da recuperação dos incidentes cibernéticos.

Seguindo tais diretrizes, as novas políticas de segurança cibernética devem abranger:

  • Os objetivos de segurança cibernética e a capacidade do agente para prevenir, identificar, responder e reduzir a vulnerabilidade a incidentes cibernéticos;
  • A classificação dos dados e das informações quanto à relevância;
  • O registro, a análise da causa e do impacto e o controle dos efeitos dos incidentes de maior impacto para as atividades do agente;
  • A definição de procedimentos e de controles para a prevenção e para o tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações críticas, ou que sejam relevantes para a condução das atividades operacionais em níveis compatíveis com os utilizados pelo agente; e
  • A definição dos parâmetros de avaliação da relevância dos incidentes cibernéticos.

Além disso, as políticas devem abranger procedimentos, medidas e mecanismos para a promoção da segurança cibernética, tais como:

  • A aplicação anual de pelo menos um modelo de maturidade em segurança cibernética;
  • A realização de simulações de cenários e ameaças para testes de resiliência, de análise das ferramentas e de capacidade e tempo de resposta;
  • A implementação de medidas técnicas para preservar a segurança das informações críticas;
  • A utilização de mecanismos para disseminação da cultura de segurança cibernética, tais como: (i) a execução de programas de capacitação e de avaliação periódica de pessoal; (ii) o plano de ação com medidas para a conscientização e educação dos usuários sobre aspectos de segurança cibernética e (iii) o comprometimento da alta administração com a melhoria contínua dos procedimentos atinentes à segurança cibernética;
  • O uso de mecanismos para prevenir, mitigar e recuperar incidentes cibernéticos na Rede de Informação ou na rede das instalações do agente, bem como para impedir que os incidentes afetem a operação; e
  • O cumprimento de procedimentos para prevenção, tratamento e resposta a incidentes cibernéticos, bem como de procedimentos e controles para reduzir a vulnerabilidade a incidentes.

Ainda, as políticas de segurança cibernética devem:

  • Ser compatíveis com a relevância da instalação no contexto do SIN; com a natureza e a complexidade dos serviços; com as atividades; com os processos e sistemas e com a sensibilidade dos dados e das informações sob responsabilidade do agente;
  • Ser disseminadas aos profissionais e colaboradores das áreas afetas, resguardando-se o compartilhamento de informações críticas apenas para as pessoas que exerçam o planejamento e a execução da política de forma direta, no que couber;
  • Estabelecer responsabilidades pela aplicação da política, com a identificação de pessoas e áreas competentes e ponto focal para contato em eventuais urgências, designando, também, dirigente responsável pela política de segurança cibernética;
  • Ser aprovada pelo Conselho de Administração ou órgão de deliberação colegiado equivalente;
  • Ser revisada e atualizada periodicamente ou sempre que necessário; e
  • Estar disponível à ANEEL sempre que solicitada.

No mais, em casos de incidentes de cibernéticos de maior impacto que afetem substancialmente a segurança das instalações, a operação, ou os serviços aos usuários ou de dados, os agentes devem, além de notificar a Autoridade Nacional de Proteção de Dados (ANPD), cientificar a equipe de coordenação setorial designada assim que tiverem ciência do incidente e de sua dimensão. Junto da notificação, os agentes devem informar análise da causa e do impacto, além de descrição das ações de mitigação adotadas.

Vale dizer que por não haver sanção específica prevista na referida Resolução Normativa, aplicam-se as regras previstas na Res. Normativa 846/2019 no que couber.


E, por fim, note-se que a Resolução Normativa nº 964/2022 será objeto de Avaliação de Resultado Regulatório – ARR decorridos 7 (sete) anos de sua vigência.


Acesse na integra a resolução clicando aqui.


Para mais informações, contate nossas áreas de Proteção de Dados e Regulatório.

Sou assinante
Sou assinante