A Agência Nacional de Energia Elétrica (Aneel) abriu uma Tomada de Subsídios para avaliar a necessidade de intervenção regulatória para a segurança cibernética do Sistema Elétrico Brasileiro. A abertura ocorre após sistemas computacionais da Energisa terem sofrido um ataque de segurança cibernética, no fim de abril de 2020, que levou ao desligamento temporário desses sistemas.
A preocupação com segurança cibernética no setor elétrico não é uma novidade. Estudo elaborado em 2018 pelo Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD) já apontava que um potencial ataque cibernético no setor elétrico do País poderia gerar um impacto econômico de até R$ 303,8 milhões, considerando que essa ação interrompa o fornecimento de energia por uma hora em todo o País, sem contar as perdas das próprias distribuidoras. O valor subiria a R$ 1,5 bilhão se a interrupção chegasse a cinco horas.
Ainda assim, até agora não existe no Brasil regulamentação específica que dispõe sobre segurança cibernética para as infraestruturas do setor elétrico, apenas dispositivos legais que abordam o tema de maneira geral, como a Lei Geral de Proteção de Dados. Há apenas um decreto, publicado em fevereiro, que aprovou a Estratégia Nacional de Segurança Cibernética, estabelecendo a necessidade de elevar o nível de proteção das infraestruturas críticas nacionais, de maneira a proporcionar mais resiliência e possibilite contínua prestação de serviços essenciais.
No exterior, por sua vez, dentre as principais referências em segurança cibernética para o setor elétrico estão as normas estabelecidas nos Estados Unidos, Canadá e Austrália e também na Europa.
Neste sentido, o regulador quer saber, na Tomada de Subsídios, quais práticas de segurança cibernética a empresa de energia adota no Brasil e qual legislação nacional e quais normas brasileiras a empresa segue como referência, além de quais as políticas ou práticas a empresa, eventualmente, adota no exterior, ou segue como referência e as principais diferenças entre eles.
Além disso, a Aneel busca sugestões sobre o que deveria ser considerado como infraestrutura crítica, quais critérios para classificação como infraestrutura crítica deveriam ser seguidos, quais critérios podem ser levados em conta para diferenciação de requisitos obrigatórios entre empreendimentos, entre outras questões.
As contribuições devem ser encaminhadas pelo site da Aneel, até o dia 24 de julho.