Por Paulo Lilla e Carla Segala*

No último dia 1º de julho, entrou em vigor a Resolução Normativa nº 964, de 14 de dezembro de 2021, da ANEEL (Agência Nacional de Energia Elétrica), que dispõe sobre regras de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica.

A resolução é extremamente importante, pois define as diretrizes a serem adotadas pelos agentes regulados do setor de energia visando à mitigação de riscos de segurança cibernética.

Sua aplicação se dá aos concessionários, permissionários, autorizados de serviços ou instalações de energia elétrica e às entidades responsáveis pela operação do sistema, pela comercialização de energia elétrica ou pela gestão de recursos provenientes de encargos setoriais, tendo como objetivo mitigar os riscos relacionados a incidentes de segurança cibernética no setor elétrico.

Neste contexto, os principais riscos relacionados à segurança cibernética incluem eventual interrupção no suprimento de energia, a impossibilidade de realização de operações técnicas pelos agentes regulados e possível extravio de dados.

Em relação aos riscos relacionados à continuidade das operações, vale lembrar do ataque cibernético do tipo “ransomware” [1] sofrido no ano passado pela Colonial Pipeline, uma das maiores redes de oleodutos dos Estados Unidos.

Essa ação resultou na paralisação das operações da empresa, fazendo com que o governo norte-americano declarasse estado de emergência em 17 estados, em decorrência da interrupção do fluxo de combustível.[2]

A Resolução 964 apresenta diretrizes para atuação dos agentes regulados em segurança cibernética. Tais diretrizes incluem, dentre outras, a necessidade de adoção de normas, padrões e referências de boas práticas em segurança cibernética e a atuação dos agentes para identificar, diagnosticar e responder a incidentes cibernéticos, bem como disseminar a cultura de segurança cibernética.

Para tanto, a resolução aponta a necessidade de que os agentes regulados possuam uma Política de Segurança Cibernética, que deve ser aderente às diretrizes estabelecidas na regulação, compatível com a sensibilidade dos dados e das informações sob responsabilidade do agente e com a relevância da instalação no contexto do SIN (Sistema Interligado Nacional).

Para que a Política de Segurança Cibernética esteja alinhada ao disposto na resolução, ela deve prever, dentre outros aspectos: critérios para a classificação dos dados e informações utilizados pelo agente, de acordo com sua relevância; procedimentos e controles para reduzir a vulnerabilidade a incidentes; e a adoção de medidas técnicas para garantir a segurança e rastreabilidade de informações críticas.

Adicionalmente, a resolução estabelece obrigações específicas para os agentes regulados, como, por exemplo, que seja designado um responsável pela Política de Segurança Cibernética, bem como que esse regimento seja aprovado pelo Conselho de Administração do agente (podendo ser único para todo o grupo econômico) e revisado periodicamente.

Outro aspecto importante destacado pela resolução é o dever de o agente regulado disseminar internamente, entre seus colaboradores, a cultura de segurança cibernética, principalmente por meio da implementação de programas de capacitação e da adoção de medidas para a conscientização e educação sobre aspectos de segurança cibernética.

Sobre incidentes cibernéticos, a resolução exige que a Política de Segurança Cibernética defina os parâmetros a serem utilizados na avaliação da relevância dos incidentes cibernéticos, bem como estabeleça procedimentos para prevenção, tratamento e resposta a tais incidentes, o que pode ser feito, por exemplo, por meio da elaboração de um plano de resposta a incidentes.

Além disso, é estabelecida a obrigação dos agentes de notificar a equipe de coordenação setorial designada em caso de incidentes cibernéticos de maior impacto (como definidos na Resolução), que afetem de maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados.

Como se pode observar, a resolução apresenta um framework básico a ser implementado pelos agentes regulados do setor elétrico, com o objetivo de minimizar o risco sistêmico decorrente de um possível incidente cibernético, desenvolvido em conexão com a Estratégia Nacional de Segurança em Infraestruturas Críticas, estabelecida pelo Decreto n° 10.569/2020.

---

[1] Ataques do tipo “ransomware” podem ser definidos como uma espécie de “sequestro de dados” em que o agente criminoso consegue invadir os sistemas e torná-los indisponíveis, exigindo o pagamento de um “resgate”, normalmente em bitcoins, para restaurar os servidores e não divulgar as informações acessadas indevidamente. 

[2] UNITED STATES SENATE. “America’s data held hostage: case studies in ransomware attacks on American companies”. Staff Report – Committee on Homeland Security and Governmental Affairs. March 2022. Acesso em 30 de junho de 2022

* Paulo Lilla e Carla Segala são respectivamente, sócio e advogada da área de Tecnologia, Proteção de Dados e Propriedade Intelectual do escritório Lefosse