Terminou no dia 9 de janeiro o prazo dos agentes do setor de energia elétrica para concluir a implementação dos controles mínimos de segurança cibernética para o Ambiente Regulado Cibernético (ARciber) estabelecidos no Manual de Procedimentos de Operações (RO-CB.BR.01), publicado pelo Operador Nacional do Sistema Elétrico (ONS) em 09/07/21.
Baseado nas diretrizes da Resolução Normativa nº 964/2021 da ANEEL que dispõe sobre a Governança da Segurança Cibernética aos agentes do setor de energia elétrica, o Manual traz como mandatório a implementação dos seguintes controles na data de hoje (fase 1):
- Adequação da Arquitetura Tecnológica do ARciber – não deixar o ambiente acessível pela Internet, com exceções previstas no manual
- Governança da Segurança da Informação – Nomeação de gestor e um suplente, responsáveis pela segurança cibernética do ARCiber e atuar como ponto de contato externo e estabelecer política que defina assim os papéis e responsabilidades
- Inventariar os ativos de informação que se conectam ao ARciber bem como políticas de segurança aplicadas aos sistemas operacionais e monitoramento dos controles
- Monitoramento e Resposta a Incidentes, onde nesta 1 fase os ativos do ARCiber devem possuir logs de segurança apropriados para suportar investigações e devem ser armazenados conforme tabela de temporalidade a ser formalizada.
O setor energético é um setor crítico e deve possuir um programa de governança que que estabeleça controles preventivos e prepare as empresas para serem resilientes nos casos de incidentes.
Os agentes do setor que não se adequaram até o momento passam a ter suas atividades tipificadas como não conformidade, sujeitos a instauração de processo pelo ONS. Além disso, qualquer agente de operação, no desempenho de suas atividades, também deverá comunicar o Conselho de Administração do ONS ao identificar um não atendimento do Manual por seus pares.
Se caracterizada como uma não-conformidade do Tipo II, a penalidade consiste na aplicação de multa corresponderá a 10% (dez por cento) do valor anual da contribuição associativa paga pelo agente de operação ao ONS, relativa ao exercício em que ocorreu a não-conformidade.