Opinião
As diretrizes para a segurança cibernética no setor elétrico
Resolução 964 da Aneel, que passa a vigorar a partir de 1º de julho e dispõe sobre a política de segurança cibernética, deverá ser adotada pelos agentes do setor elétrico, que devem desenvolver ações para prevenir, detectar, responder e reduzir vulnerabilidades
Ao longo das últimas décadas foi possível observar um avanço cada vez mais rápido de novas tecnologias que ampliaram a conectividade e a facilidade do acesso a informações, mas, o número de ataques cibernéticos também cresceu exponencialmente em todo o mundo, trazendo danos em escala global e impactando diversos segmentos da economia.
Somente no Brasil, 6,4 milhões de ataques foram relatados apenas de janeiro a agosto de 2021, conforme dados divulgados pela empresa de soluções de cybersegurança Netscout. Em média, o custo decorrente de uma violação de dados aumentou quase 10% ao longo dos anos e, em 2020 – 2021, subiu de US$ 3,86 milhões para US$ 4,24 milhões, o maior custo total médio por incidente já registrado, segundo relatório do custo de uma violação de dados, de 2021, desenvolvido pela IBM Security e o Instituto Ponemon.
Diante deste cenário, as organizações vêm destacando tempo e recursos significativos para garantir a segurança cibernética e a proteção de seus dados. Em paralelo, o tema tem sido objeto de leis, resoluções, normas técnicas e manuais de boas práticas nos mais diversos setores da economia.
Dentre as principais iniciativas para definir regras e diretrizes para a segurança cibernética e proteção de dados podemos citar a Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que disciplina a proteção de dados pessoais no país; o Decreto nº 10.222, de 5 de fevereiro de 2020, que estabeleceu a Estratégia Nacional de Segurança Cibernética; e o Decreto nº 10.569, de 9 de dezembro de 2020, que aprovou a Estratégia Nacional de Segurança de Infraestruturas Críticas.
Este último Decreto, ao definir os ativos de infraestrutura crítica, reafirmou a relevância do setor de energia, indicando sua dimensão estratégica e seu papel essencial tanto para a segurança e soberania nacionais, como para a integração e o desenvolvimento econômico sustentável do País. Reafirmada a condição de essencialidade, resta concluir pela necessidade de se garantir a segurança e a continuidade na prestação dos serviços de energia que, como citado, dependem também de efetiva segurança cibernética e proteção de dados.
Foi neste sentido que a Agência Nacional de Energia Elétrica (Aneel) promoveu consulta pública sobre segurança cibernética no setor elétrico brasileiro, que resultou na Resolução Normativa (RN) nº 964, de 14 de dezembro de 2021. Ela dispõe sobre a política de segurança cibernética que deverá ser adotada pelos agentes do setor elétrico e que, nos termos de seu artigo 11, passa a vigorar a partir de 1º de julho de 2022.
A referida Resolução – aplicável aos concessionários, permissionários e autorizados de serviços e instalações de energia elétrica, bem como às entidades responsáveis pela operação do sistema e pela comercialização de energia elétrica (ONS e CCEE) – define as diretrizes para a segurança cibernética no setor elétrico e medidas mínimas necessária às políticas de segurança cibernética.
Os agentes do setor elétrico tiveram seis meses para promover adequação e estar em conformidade com a RN 964/2021. Assim, para garantir o cumprimento da Resolução, as empresas devem adotar políticas de segurança cibernética capazes de demostrar sua capacidade para prevenir, detectar, responder e reduzir a vulnerabilidade a incidentes cibernéticos.
Em linha com o previsto na LGPD, as empresas devem estabelecer uma governança interna, indicar um responsável e definir papéis e responsabilidades no contexto de segurança da informação, além de comunicar a equipe de coordenação setorial da ANEEL designada, nos casos de incidentes cibernéticos de maior impacto.
Independente das consequências administrativas e judiciais que possam ser imputadas aos agentes do setor elétrico em razão da RN 964/2021, da LGPD e de outras leis e regulamentos aplicáveis, proteger os ativos contra ameaças e danos por meio da implantação de controles e procedimentos de rotina que propiciem o registro e monitoramento de atividades e sistemas, bem como estabelecer medidas de prevenção, tratamento e resposta a vulnerabilidades e incidentes de segurança, mitigam seus riscos e impactos, preservando a continuidade do negócio e contribuindo para geração de valor para clientes, parceiros, acionistas e para sociedade.
Frederico Accon Soares é advogado sênior e sócio do escritório Stocche Forbes, com atuação nas áreas de direito administrativo, infraestrutura e regulação com ênfase no setor elétrico.
Coautores:
Paola Carrara de Sambuy Gomes, advogada e sócia do escritório Stocche Forbes, com atuação nas áreas de direito societário, contratos corporativos, fusões e aquisições, reestruturações societárias e representação de companhias fechadas e abertas;
Bartira Funez, advogada do escritório Stocche Forbes e especialista em direito empresarial, com atuação nas áreas contratual e de propriedade intelectual;
Roberta de Brito Rodrigues Rozenthal, advogada do escritório Stocche Forbes e especialista em propriedade intelectual e questões envolvendo privacidade, segurança da informação e proteção de dados pessoais.