ANEEL

A REN 964/2021 da Aneel (Agência Nacional de Energia Elétrica) vai entrar em vigor. Essa resolução prevê que o setor elétrico adote novas normas de segurança cibernéticas.

Requisitos básicos

A resolução tem como objetivo regulamentar as diretrizes aprovadas pelo Conselho Nacional de Política de Energia Elétrica (CNPE) em outubro. A resolução obrigará os agentes a adotar sistemas internos de segurança que cumpram os seguintes requisitos, dentre outros

• obrigatoriedade de informar à Aneel casos de crise em segurança cibernética;
• obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a Aneel;
• obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória;
• segmentação de redes de operação de TI e Internet;
• procedimentos de resposta rápida para contenção de incidentes; e
• processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.

Ainda, a REN 964/2021 determina como os agentes deverão atuar em caso de incidentes cibernéticos, inclusive criando obrigações de notificações, compartilhamento de informações e manutenção de registros para eventuais casos de fiscalização.

Impacto no setor

Os agentes do setor elétrico terão que incluir em suas atividades ou fortalecer os cuidados existentes para a proteção das informações processadas e transmitidas. Não se trata mais de uma questão de boas práticas, mas de necessidades.

Existe ainda a questão jurídica do descumprimento da Resolução 964. O operador que descumprir e não se adequar às normas de segurança digital será punido. Segundo Ana Carolina Katlauskas Calil, sócia da área de energia e Carla do Couto Hellu Battilana da área digital e privacidade de dados e cibersegurança, ambas do escritório Tozzini Freire Advogados, a violação dará causa à aplicação das sanções cabíveis. O artigo 5º da Resolução Normativa Aneel nº 846/2019 descreve as sanções administrativas aplicáveis às infrações pelo descumprimento da legislação setorial.

As advogadas lembram também que a REN 964/2021 não é a única norma aplicável ao setor, no tema de segurança cibernética. Ela é parte de um sistema legislativo envolvendo o assunto. Dependendo da natureza da informação tratada poderão ser aplicadas outras leis, como a LGPD (Lei Geral de Proteção de Dados) em caso de dados pessoais, o Marco Civil da Internet, em informações trafegadas pela internet e por fim o Código de Defesa do Consumidor.

Como estão os agentes

As empresas elétricas já estão sendo vitimas em seus sistemas expostos na internet. Muitas delas tiveram indisponibilidade causadas por ataques hackers.

A grande questão é a interligação das redes operativas com as redes corporativas e fatalmente com a internet. Muitos sistemas de supervisão e aquisição de dados estão conectados com a internet, e isso os expõe a uma gama maior de tipos de ataques.

A regulação  vem de encontro a um momento delicado que passamos. As questões dos confrontos internacionais voltam a colocar a guerra cibernética no centro das atenções, lembrando que uma variante de um vírus CrashOverride causou um apagão na Ucrânia.

“Na Alupar estamos focados na elevação da maturidade da segurança há alguns anos, estamos focados em certificar os processos mais críticos com a ISO 27001. A questão da resolução 964 da Aneel só corroborou com nossos esforços.” afirma Saulo Rodrigues, gerente de TI do Grupo Alupar.

segurança cibernética para o setor

Como enxerga o mercado de segurança cibernética

Segundo Ricardo Esper da NESS, empresa especializada em segurança cibernética, os agentes do setor elétrico precisam se conscientizar que a segurança cibernética é um assunto prioritário.  As companhias precisam estar cientes do assunto e designar orçamento e esforços compatíveis com a sua importância.