O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 156, VI do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013, pelo art. 22, §2º do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, instituído pela Resolução nº 715, de 23 de outubro de 2019; e

CONSIDERANDO que os Procedimentos Operacionais dispõem sobre a condução do processo de avaliação da conformidade, abordando, entre outros, a atuação dos agentes no processo, e os procedimentos relativos a cada modelo de avaliação da conformidade, bem como regras, condições, requisitos procedimentais a serem seguidos no processo de Avaliação da Conformidade, observadas as regras gerais estabelecidas no Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações; e

CONSIDERANDO o constante dos autos do Processo nº 53500.081824/2023-01.

RESOLVE:

Art. 1º Aprovar, na forma do anexo a este Ato, o procedimento operacional para habilitação de entidades especializadas em avaliação de segurança cibernética em produtos para telecomunicações.

Art. 2º Este Ato entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico da Anatel.

PROCEDIMENTO OPERACIONAL PARA HABILITAÇÃO DE ENTIDADES ESPECIALIZADAS EM AVALIAÇÃO DE SEGURANÇA CIBERNÉTICA EM PRODUTOS PARA TELECOMUNICAÇÕES

1.1.Este Procedimento estabelece as condições e os requisitos mínimos necessários para a habilitação pela Anatel de entidades especializadas em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações.

2.1.Este procedimento se aplica às entidades especializadas em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização pela Anatel, sujeitos ou não à homologação pela Agência.

3.1.Para fins deste Procedimento, são consideradas as seguintes referências normativas:

3.1.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução nº 715, de 23 de outubro de 2019; e

3.1.2.ABNT NBR ISO/IEC 17025:2017 - Requisitos gerais para a competência de laboratórios de ensaios e calibração.

4.1.Para efeitos deste Procedimento, são consideradas as definições do Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, dos demais Procedimentos Operacionais relacionados à avaliação da conformidade de produtos publicados pela Anatel, além da seguinte:

4.1.1.Entidade especializada em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações: pessoa jurídica de direito público ou privado com especialização técnica alinhada aos requisitos e ao campo de aplicação estabelecidos neste documento, para execução de testes de avaliação da segurança cibernética no hardware ou no software de produtos para telecomunicações ou de produtos objeto de fiscalização pela Anatel, sujeitos ou não à homologação pela Agência, com objetivo de identificar falhas ou vulnerabilidades de qualquer natureza que colocam em risco a segurança digital ou física dos equipamentos ou de seus usuários, não se confundindo com as entidades habilitadas como laboratórios de ensaios para certificação de produtos, que possuem critérios para sua habilitação baseados em procedimentos operacionais específicos.

5.1.A habilitação de entidade especializada em avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização, doravante denominada como habilitação, poderá ser concedida apenas a pessoas jurídicas de direito público ou privado, legalmente estabelecidas no Brasil, que deverão comprovar o atendimento à íntegra dos requisitos estabelecidos neste procedimento.

5.1.1.O processo de habilitação será realizado por meio de avaliação documental e, se necessário, por meio de auditorias presenciais nas instalações da entidade e será conduzido pela Superintendência de Outorga e Recursos à Prestação da Anatel, ou por entidade por ela designada para este fim.

5.1.2.Auditorias remotas poderão ser realizadas em substituição às atividades presenciais, a critério da Anatel.

5.2.A habilitação será concedida por meio de Ato expedido pela Superintendência de Outorga e Recursos à Prestação e terá prazo de validade de 2 (dois) anos a partir da data de sua publicação no Boletim de Serviço Eletrônico da Anatel.

5.3.A habilitação poderá ser renovada, desde que a entidade manifeste seu interesse, no mínimo, 3 (três) meses antes do vencimento do prazo da habilitação em vigência, devendo a entidade comprovar a manutenção de atendimento dos requisitos estabelecidos neste Procedimento.

5.4.A habilitação extinguir-se-á pelo advento de seu termo final ou por quaisquer das seguintes situações:

a) a pedido da entidade habilitada;

b) extinção, falência, fusão, cisão ou aquisição da entidade habilitada;

c) quebra de segurança nas informações sigilosas manipuladas pela entidade habilitada; ou

d) se a entidade habilitada deixar de cumprir qualquer dos requisitos estabelecidos na regulamentação da Anatel.

6.1.O pedido de habilitação deve ser submetido, por meio do sistema eletrônico próprio da Anatel, por pessoa com poderes para representar a entidade, e deve estar acompanhado da seguinte documentação:

a) Ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, para o caso de sociedades comerciais, e, para o caso de sociedades por ações, documentos de eleição de seus administradores;

b) Organograma atualizado ou documento que identifique os reais controladores da empresa;

c) Documentação que comprove capacidade técnica e administrativa, observados os requisitos dispostos no item 7 deste Procedimento; e

d) Termo de Compromisso indicando que a entidade:

I - respeitará aos princípios e regras estabelecidos no Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações;

II - desempenhará as atividades propostas dentro dos padrões de idoneidade, imparcialidade, impessoalidade, rigor técnico e procedimental que ensejaram a habilitação;

III - cumprirá suas obrigações regulamentares; 

IV - encaminhará à Agência, quando solicitado, as informações que esta considerar necessárias dentro dos prazos definidos;

V - atenderá às convocações da Agência para participação de comitês e reuniões técnicas, objetivando a melhoria contínua do processo de avaliação da conformidade; e

VI - manterá seus dados cadastrais, tais como razão social, endereço, endereço eletrônico e telefones, responsáveis técnicos e outros dados requeridos na solicitação da habilitação, atualizados junto à Agência.

6.2.A entidade que, a qualquer tempo, comprovadamente não atender às condições descritas no Termo de Compromisso estará sujeita à perda da habilitação para avaliação de segurança cibernética em hardware e software de produtos para telecomunicações ou de produtos objeto de fiscalização.

_

7.1.1.A capacidade de entrega será comprovada mediante:

I - apresentação de dois atestados expedidos há no máximo um ano, por pessoas jurídicas de direito público ou privado, que comprovem a capacidade de entrega da entidade com relação a testes de segurança cibernética em sistemas de tecnologia da informação ou em hardware e/ou firmware de equipamentos eletrônicos;

II - comprovação de que a entidade possui as certificações ISO-9001 e ISO-27001 e que realiza auditorias internas periódicas;

III - comprovação de que a entidade possui ao menos 5 (cinco) anos de experiência atuando no mercado de segurança cibernética; e

IV - comprovação de que a entidade possui uma equipe técnica com ao menos 20 (vinte) profissionais de segurança cibernética.

7.2.1.A habilitação técnica da equipe será comprovada mediante:

I - comprovação de que a entidade possui ao menos 2 (dois) profissionais especialistas com no mínimo 5 (cinco) anos de experiência em atividades técnicas relacionadas à segurança cibernética dedicados à realização de testes de segurança cibernética em sistemas de tecnologia da informação ou em hardware e/ou firmware de equipamentos eletrônicos;

II - comprovação de que a entidade possui ao menos 2 (dois) profissionais com, no mínimo, pós-graduação lato sensu, com um mínimo de 360 horas ou stricto sensu, em áreas relacionadas à segurança cibernética; e

III - comprovação de que a entidade possui ao menos 2 (dois) profissionais que, em conjunto, possuam duas ou mais certificações vigentes dentre as listadas a seguir:

a) OSCP - Offensive Security Certified Professional;

b) CompTIA PenTest+;

c) CEH - Certified Ethical Hacker;

d) DCPT - Desec Certified Penetration Tester.

IV - comprovação de que a entidade possui processos e/ou programas internos que visem garantir a manutenção e o compartilhamento do conhecimento, bem como o aprimoramento contínuo da equipe técnica.

7.3.1.A entidade deve comprovar que possui, em território brasileiro, laboratório com acesso restrito, equipamentos adequados para as avaliações técnicas para as quais possui especialização e com espaço físico adequado para acomodação de pessoal e equipamentos.

7.3.1.1.O laboratório deve dispor de controle de acesso físico, garantindo o adequado isolamento do ambiente de testes do restante de sua infraestrutura.

7.5.A entidade deve comprovar que emprega políticas e processos que garantam a proteção de dados pessoais, segredos comerciais e industriais, bem como de quaisquer dados que não sejam públicos, eventualmente tratados durante a execução de suas atividades. Dentre essas medidas pode-se citar as seguintes políticas e/ou processos:

a) Política de classificação da informação;

b) Política de controle de acesso lógico;

c) Política de controle de uso de máquinas de fotografia, de filmagem, de gravação de sons ou similares em áreas restritas e laboratórios;

d) Política de controles criptográficos;

e) Política de segurança nas comunicações;

f) Política de retenção e descarte seguro das informações.

8.1.Os casos omissos neste procedimento serão resolvidos administrativamente pela Gerência competente da ANATEL com base na regulamentação nacional vigente e àquela pertinente à avaliação da conformidade de produtos para telecomunicações.