Foi publicada no dia 22/12/2021 a Resolução Normativa nº 964/2021 (“REN 964/2021”), que define a política de segurança cibernética do setor.
A REN 964/2021 tem como objetivo regulamentar as diretrizes aprovadas pelo Conselho Nacional de Política de Energia Elétrica (CNPE) em outubro. A resolução obrigará os agentes a adotar sistemas internos de segurança que cumpram os seguintes requisitos, dentre outros:
- obrigatoriedade de informar à Aneel casos de crise em segurança cibernética;
- obrigatoriedade de compartilhamento de incidentes cibernéticos relevantes entre os agentes e entre os agentes e a Aneel;
- obrigatoriedade de a empresa escolher e aplicar periodicamente uma metodologia de avaliação de maturidade regulatória;
- segmentação de redes de operação de TI e Internet;
- procedimentos de resposta rápida para contenção de incidentes; e
- processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
Ainda, a REN 964/2021 determina como os agentes deverão atuar em caso de incidentes cibernéticos, inclusive criando obrigações de notificações, compartilhamento de informações e manutenção de registros para eventuais casos de fiscalização.
A edição da resolução foi subsidiada pela Consulta Pública 07/2021 e reflete uma preocupação da Diretoria da Aneel com o atual aumento nos ataques criminosos aos órgãos públicos. A ausência de uma norma para o setor poderia aumentar os casos de interrupção do fornecimento e também no vazamento de dados.
A equipe de Energia do Cescon, Barrieu, Flesch & Barreto fica à disposição para discutir temas a respeito das novas Regras de Comercialização.
Acesse o inteiro teor da REN 964/2021 aqui.
Para a contextualização das discussões da Consulta Pública 07/2021, veja-se a Nota Técnica nº 77/2021 e a Análise de Impacto Regulatório nº 03/2021.
