Aneel aprova Política de Segurança Cibernética para agentes do setor elétrico

Em linha com os Decretos nº 9.637, de 2018, e nº 10.222, de 2020, a Agência Nacional de Energia Elétrica (Aneel) aprovou, na 47ª Reunião Pública Ordinária de 2021, ocorrida em 14 de dezembro, a política de segurança cibernética a ser adotada pelos agentes do setor de energia elétrica. A nova política foi publicada na edição do Diário Oficial da União do dia 22 de dezembro de 2021. O objetivo da política de segurança cibernética da Aneel é fomentar a governança e melhores práticas no setor, a fim de garantir a continuidade da prestação de serviços e a segurança de dados considerados críticos.

A aprovação ocorreu após o encerramento da Consulta Pública n° 007/2021, que tinha o intuito de coletar subsídios para a regulamentação sobre a segurança cibernética no setor elétrico brasileiro. A consulta recebeu 226 contribuições, que foram utilizadas para aprimorar a redação final da Resolução Normativa Aneel nº 964/2021 (REN ANEEL nº 964/2021).

Em outubro, a Resolução do Conselho Nacional de Política Energética – CNPE nº 24 aprovou as diretrizes sobre segurança cibernética para o setor elétrico, mas as normas ainda dependiam de regulamentação pela Aneel para entrar em vigor.

Minuta de resolução

A fim de contornar situações indesejáveis relacionadas à segurança cibernética, a REN ANEEL nº 964/2021 tem o objetivo de:

• Estabelecer em resolução a necessidade de implementação de políticas de segurança cibernética compatível com porte da empresa;
• Estabelecer em norma a obrigatoriedade de informar à Aneel casos de crise em segurança cibernética;
• Estabelecer a obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a Aneel;
• Estabelecer em regulamento a obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória (C2M2, CMMI, etc.);
• Estabelecer em regulamento que a política de segurança cibernética da empresa deve prever a segmentação de redes de operação da rede de TI e da Internet;
• Estabelecer que as políticas de segurança cibernética devem prever procedimentos de resposta rápida para contenção de incidentes;
• Estabelecer em regulamento a necessidade de realização de gestão, a avaliação e o tratamento dos riscos de segurança cibernética.

Segundo a Aneel, a ausência de uma política poderia aumentar os casos de interrupção do fornecimento de energia elétrica e abrir brecha para incidentes de segurança envolvendo dados. A conclusão dos trabalhos foi antecipada em seis meses diante da importância do tema.

Para mais informações sobre o assunto, conheça as práticas de Tecnologia, Proteção de Dados e Cybersecurity e Infraestrutura e Energia.