Aneel determina segurança cibernética
Da Redação, de Brasília (com apoio da Aneel) —
A Agência Nacional de Energia Elétrica – Aneel aprovou nesta terça-feira, 14 de dezembro, as diretrizes para que políticas de segurança cibernética sejam implantadas pelos agentes do setor e pelas entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica ou pela gestão de recursos provenientes de encargos setoriais. Tais políticas, que visam a prevenir incidentes e a minimizar os riscos de ataques cibernéticos, deverão ser implementadas em 180 dias a partir da publicação da norma.
A resolução aprovada estabelece que a cada empresa deverá estruturar uma política de segurança energética de acordo com seu porte. Ela deverá cumprir com premissas como a comunicação à Aneel em caso de crise em segurança cibernética, o compartilhamento de incidentes cibernéticos relevantes entre os agentes e com a agência, e a aplicação periódica de uma metodologia de maturidade regulatória (C2M2, CMMI etc.).
Cada agente e entidade deverãao descrever em sua política a gestão, a avaliação e o tratamento dos riscos de segurança cibernética, incluindo procedimentos de resposta rápida para contenção de incidentes. Além disso, uma conscientização sobre os riscos cibernéticos deve ser promovida junto aos funcionários, com a participação em exercícios cibernéticos e a promoção de eventos sobre melhores práticas e inovações de segurança.
As providências de segurança cibernética exigidas pela Aneel integram uma série de iniciativas governamentais relacionadas ao tema. Em março deste ano, o Conselho Nacional de Política Energética (CNPE) instituiu Grupo de Trabalho com a participação da agência, do Ministério de Minas e Energia (MME), do Gabinete de Segurança Institucional (GSI), da Empresa de Pesquisa Energética (EPE) e da Câmara de Comercialização de Energia Elétrica (CCEE) para tratar de segurança cibernética.
Em 16 de julho, o Governo Federal instituiu a Rede Federal de Gestão de Incidentes Cibernéticos, como forma de prevenção contra ameaças cibernéticas e de elevar o nível de resiliência em segurança dos ativos de informação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Em 20 de outubro, o CNPE aprovou a Resolução CNPE nº 24, que trata das Diretrizes sobre Segurança Cibernética para o setor elétrico.
O tema foi aberto pela Aneel para discussão com a sociedade por meio da Tomada de Subsídio nº 007/2020. Em seguida, a Agência promoveu um estudo interno para pesquisa de boas práticas e análise da questão por meio da abordagem inovadora de Design Thinking. Em 2021, a Agência promoveu a Consulta Pública nº 007/2021, em duas etapas, colhendo 42 contribuições na primeira fase e 226 na segunda.
