September 29, 2021
Guido Rodrigues, UL do Brasil
Desde de 05 de Julho de 2021 está em vigor o Ato 77 da Anatel de 05 de janeiro de 2021.
O Ato estabelece as regras de segurança cibernética que devem ser seguidas para todos os produtos de Telecomunicações que tenham algum recurso de conexão a internet.
Para o cumprimento das regras o requerente da homoloação deve apresentar ao OCD uma declação onde é informado que o produto foi desenvolvido observando os parametros de segurança cibernética, relacionando quais requisitos o equipamento e seu fornecedor atendem.
Na declaração apresentada, o requerente informa ter ciência que os requisitos de Segurança Cibernética estão sujeitos a alterações sempre que necessário, de acordo com a identificação de novas vulnerabilidades que forem surgindo.
Não são requeridos ensaios na etapa de certificacão, os quais devem acontecer na etapa de supervisão de mercado. Os ensaios ou verificações serão realizados com base na declaração apresentada na etapa de certificação.
A declaração de segurança cibernética apresentada para a certificação de produtos deve ser apresentada em português.
A Declaração a ser apresentada a Anatel possui os seguintes tópicos:
- Identificação do requerente da homologação:
Identificação do requerente da homologação, importante mencionar que a carta deve ser assinada por profissional legalmente resposável pela empresa em questão, ou seja pessoa física que conste no contrato social ou delegado por este.
- Requisitos para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, em suas versões finais destinadas à comercialização:
Parâmetros de aspectos técnicos que devem ser discutidos e obtidos com o suporte do fabricante do produto.
- Requisitos para fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de infraestrutura de redes de telecomunicações:
Informações de suporte ao produto, atualizações que dizem respeito a segurança cibernética do produto, disponibilização de updates de softwares e firmwares, meios de divulgaçao de histórico de vulnerabilidades encontradas para o produto objeto da certificação.
Para o preenchimento da declaração deve ser considerada uma das seguintes opções:
| C | O equipamento apresenta conformidade ao requisito. |
| NA | O requisito não se aplica ao equipamento, devido as suas características. Justificativa deverá ser apresentada para cada item. |
Quando o item for declarado como Conforme (C), nenhuma evidência nem justificativa é requerida a ser apresentada nesta etapa, entretanto deve ser de fato implementada e guardados devidos registros para que seja apresentado a Anatel durante a supervisão de mercado ou a qualquer tempo or solicitação da Agencia.
Quando o item for declarado como NA, o requerente deve apresentar justificativas que podem ser:
- Motivo justificado técnicamente:
O produto de fato não implementa o item e possui para tanto uma justificativa técnica do motivo pelo qual não implementa.
- Item ainda não implementado ao produto:
Neste primeiro momento a declaração é mandatória e os itens não implementados devem obrigatóriamente serem justificados para a Anatel. Entretanto é permitida a justificativa de que o item está em estudo para implementação futura.
- Módulos de Telecomunicações :
Módulos de Telecomunicações em geral, mesmo quando se conectam a internet não possuem os recursos necessários para atendimento aos itens do Ato 77 e podem ser justificados com o argumento de que as tratativas deverão ser realizadas no produto final (desde que coerente com a justificativa do fabricante).
Nos itens finais da declaração o requerente deve declarar o conhecimento total ao Ato nº 77, de 05 de janeiro de 2021, bem como declarar ciencia quanto a politica de acompanhemento de mercado ao qual o produto poderá ser submetido.
Por último define que deve ser dada tratativa adicional aos equipamentos definidos como(CPE): equipamento utilizado para conectar assinantes à rede do provedor de serviços de telecomunicações. Para fins de aplicação deste conjunto de requisitos, CPE deve ser considerado o equipamento associado aos serviços fixos de telecomunicações. Este deverão adicionalmente a declaração apresentar a tabela 1 do documento LAC-BCOP-1 (May/2019).
A tabela abaixo define alguns exemplos típicos de produtos e classificações sugeridas quanto ao Ato 77.
A Declaração deve obrigatóriamente ser assinada pelo requerente da homologação, ou seja por empresa devidamente instituida sobre as leis brasileiras.
Estamos a disposição para qualquer dúvida ou esclarescimento que se faça necessário.
Este documento é apenas para fins de informação geral e não se destina a constituir uma declaração definitiva ou completa da lei ou regulamento sobre qualquer assunto e não deve ser invocado para fins de conformidade legal ou regulamentar. A UL, suas subsidiárias, funcionários e agentes não devem ser responsáveis perante ninguém pelo uso ou não uso das informações contidas no documento e não devem incorrer em qualquer obrigação ou responsabilidade por danos, incluindo danos conseqüentes, decorrentes ou relaciondas ao uso , ou incapacidade de usar, as informações contidas no documento.