Aprendizado e descoberta 3min de Leitura - 31 de agosto de 2022

REN 964 Aneel

REN 964 ANEEL

This post is also available in: Português

Entrou em vigor no dia 1º de julho a Resolução Normativa (REN) nº 964 da ANEEL, a Agência Nacional de Energia Elétrica. Trata-se de um dispositivo que determina regras de segurança cibernética que os agentes do setor precisam adotar.

Seu texto é bastante abrangente, pois inclui players da área como concessionários, permissionários, autorizados de serviços ou instalações de energia elétrica. Engloba ainda as entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica ou pela gestão de recursos provenientes de encargos setoriais. Para todos, o objetivo é o mesmo: reduzir os riscos de incidentes de segurança cibernética no setor elétrico.

Assim, a Resolução 964 apresenta diretrizes para atuação dos agentes regulados em segurança cibernética. Isso inclui a necessidade de adoção de normas, padrões e referências de boas práticas em segurança, bem como a atuação dos agentes para identificar e responder a incidentes do tipo.

Novas diretrizes

  • Orientar as instituições do ramo a aderir a ações de gerenciamento de riscos e ameaças cibernéticas, com o intuito de garantir a continuidade do negócio, a proteção dos dados e a segurança operacional.
  • Estabelecer requisitos e controles mínimos de segurança cibernética, com foco na redução de riscos e vulnerabilidades.
  • Criar políticas que promovam a utilização de recursos tecnológicos e melhorias contínuas que mitiguem riscos de incidentes.
  • Estabelecer procedimentos para identificação continuada de serviços e instalações estratégicas em infraestruturas críticas, que demandam atenção em termos de segurança cibernética.
  • Orientar todos do setor a implementar programas de capacitação em segurança cibernética e de conscientização sobre o quão fundamental é o tema.

Nesse contexto, a resolução aponta a necessidade de que os agentes possuam uma Política de Segurança Cibernética, que deve ser guiada pelas diretrizes na REN 964.

Para que tal política esteja alinhada à resolução, deve conter critérios para a classificação dos dados e informações utilizados pelo agente, de acordo com sua relevância. É necessário que englobe ainda procedimentos e controles para reduzir a vulnerabilidade a incidentes, bem como a adoção de medidas para garantir a segurança e rastreabilidade de informações sensíveis.

É importante lembrar que, em cada entidade que estiver sujeita à RN 964, o responsável pela política de segurança cibernética poderá ser um(a) gestor(a) interno(a). Há a possibilidade de que ele(a) desempenhe outras funções, contanto que não haja conflito de interesses. Ainda assim, o conselho de administração – ou órgão de deliberação equivalente – deverá aprovar a política.

Cultura de proteção

Outro aspecto importante destacado pelas novas regras é a necessidade de disseminar internamente a cultura de segurança cibernética. É algo que pode ser feito através da adoção de programas de capacitação, incluindo medidas para a conscientização e educação acerca de aspectos de segurança digital.

Propagar tal cultura se faz necessário pela complexidade do tema e da grande abrangência da REN 964. Afinal, a conformidade da Política de Segurança Cibernética também leva em conta fatores como a relevância da instalação, a complexidade das atividades e dos sistemas envolvidos e a sensibilidade dos dados e das informações sob responsabilidade dos agentes.

Em caso de incidente cibernético, os agentes têm a responsabilidade de notificar a equipe de coordenação setorial e adotar medidas conjuntas para reduzir os impactos. Nesse contexto, é preciso descrever a causa do incidente e os motivos, listando os efeitos e as ações de mitigação colocadas em prática – lembrando que a notificação precisa ser feita no momento que o agente ficar a par do incidente e de seus desdobramentos.

Além da notificação à coordenação setorial, deve-se adotar procedimentos de compartilhamento de informações para cooperação mútua. A troca de informações pode ser feita de forma confidencial, não incluindo informações críticas – e não deve se restringir a empresas do mesmo grupo societário. Trata-se de um ponto de grande relevância para o setor elétrico, uma vez que diversos sistemas e instalações são interligados.

Incidentes

A nova resolução exige que a Política de Segurança Cibernética defina os parâmetros a serem utilizados na avaliação da relevância dos incidentes cibernéticos. O texto diz ainda que é necessário estabelecer procedimentos para prevenção, tratamento e resposta a tais incidentes, o que pode ser feito através da elaboração de um plano de resposta específico.

Além disso, os agentes são obrigados a notificar a equipe de coordenação setorial designada em caso de incidentes cibernéticos de maior impacto – subtipo detalhado na resolução – que afetem de maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados.

Os benefícios que a REN 964 traz são os mais variados. Afinal, engloba a proteção dos dados pessoais dos usuários e consumidores, tratando ainda da segurança jurídica e a proteção dos negócios – com a devida prestação dos serviços pelos membros do setor elétrico. Assim, as empresas envolvidas podem compreender claramente as obrigações que devem seguir quanto à segurança da informação e à proteção de dados.

This post is also available in: Português