O cenário regulatório da segurança cibernética no setor de telecomunicações brasileiro encontra-se em plena transformação. O recente ataque às montadoras Jaguar e Land Rover mostra que falhas de segurança cibernética podem inviabilizar completamente operações industriais e gerar prejuízos bilionários.
Para assegurar a infraestrutura de telecomunicações contra esses ataques, a Agência Nacional de Telecomunicações (Anatel) inicia mais um novo movimento, colocando em debate, através da Consulta Pública (CP) nº 32/2025, alterações significativas na Resolução 740/2020 (R-Ciber). A iniciativa acontece antes mesmo que parte de suas disposições entre em vigor para determinado grupo de empresas, marcado para outubro.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Essa movimentação regulatória não é casual. Ela reflete o reconhecimento de que a cibersegurança exige acompanhamento contínuo e adaptação constante diante da crescente sofisticação dos ataques digitais e da rápida evolução tecnológica que caracteriza o setor.
Ainda que a Portaria nº 2.899, de 16 de setembro de 2024, tenha definido um cronograma progressivo para a implementação da R-Ciber, o regulador demonstra capacidade de adaptação e leitura dinâmica do setor ao propor revisões relevantes em dispositivos estruturantes da norma (arts. 5º, 7º, 10, 14 e 24) e ao incorporar novos conceitos ao glossário setorial, refletindo a atualização das práticas de segurança cibernética.
Essa abordagem proativa evidencia que a Anatel compreende a natureza mutável das ameaças cibernéticas e a necessidade de uma regulação capaz de acompanhar e, idealmente, antecipar os desafios emergentes do setor. Além disso, a magnitude dos ataques mostra que, mesmo quando o foco do incidente é um pequeno fornecedor, toda a cadeia operacional pode ser gravemente impactada, reforçando que os controles preventivos se estendam para além do perímetro de cada empresa.
Para fazer frente a esses desafios, as mudanças propostas trazem uma visão ampliada e modernizada da segurança cibernética, estruturada em quatro pilares fundamentais:
Expansão do escopo de proteção
A inclusão explícita de data centers e serviços de computação em nuvem reconhece a centralidade dessas infraestruturas no ecossistema digital contemporâneo, afinal, muitos dados e processos internos das empresas são totalmente dependentes do bom funcionamento dessas estruturas.
Inclusive, a Anatel aprovou, em agosto, a Resolução nº 780/2025, que revisa o Regulamento de Avaliação da Conformidade e de Homologação de Produtos e, pela primeira vez, cria um título específico para avaliação de conformidade de data centers integrados às redes de telecomunicações. As instalações passam a exigir avaliação prévia antes da operação, haverá procedimento operacional a ser publicado em até 240 dias, e estruturas já existentes terão prazo de três anos após esse procedimento para adequação. A Agência também sinalizou que esses ambientes serão mapeados e acompanhados com foco em resiliência, segurança física e cibernética, eficiência energética e sustentabilidade.
Endereçamento de tecnologias emergentes
A incorporação de inteligência artificial (IA), aprendizado de máquina e computação quântica (incluindo modelos híbridos) demonstra visão prospectiva do regulador. Tal medida é preparatória para o papel que a Anatel passará a exercer junto ao SAI (Sistema Nacional de Regulação e Governança em Inteligência Artificial), caso seja aprovado o projeto de lei que regulará a IA no Brasil (PL 2.338/23).
O PL confere às agências reguladoras (autoridades setoriais) competência regulatória, fiscalizatória e sancionatória para desenvolvimento, implementação e uso de sistemas de IA, além de competência para ditar normas específicas para as aplicações de IA e atividades de alto risco no setor de telecomunicações.
Fortalecimento da resiliência organizacional
A formalização do conceito de “resiliência” no glossário setorial vai além da semântica, sinalizando mudança de paradigma na abordagem de segurança. Esse pilar espelha a Estratégia Nacional de Cibersegurança (Decreto 12.573/2025) e revela que o investimento em ações preventivas de segurança cibernética não será suficiente, exigindo-se o direcionamento de recursos à elaboração e treinamento em planos de continuidade dos negócios. Essa postura é condizente com o comentário recorrente que se ouve na área de ciber, de que um acidente deste tipo não é uma questão de “se” vai acontecer, e sim de “quando” vai acontecer.
Alinhamento com agendas globais
A conexão com o Objetivo de Desenvolvimento Sustentável (ODS) 9 da ONU (Organização das Nações Unidas) integra a cibersegurança às discussões sobre infraestrutura resiliente, inovação e sustentabilidade.
As alterações propostas trazem implicações práticas significativas para o setor, como a ampliação do Universo Regulado (Art. 5º) e a modernização do Escopo Técnico (Art. 7º), a sistematização da Gestão de Vulnerabilidade (Art. 10), a incorporação de Riscos Emergentes (Art. 14) e, por fim, a democratização da Governança (Art. 24, §4º).
A proposta consolida a tendência de integração entre diferentes marcos regulatórios. O diálogo com a Autoridade Nacional de Proteção de Dados (ANPD) e a Lei Geral de Proteção de Dados (LGPD), já presente na versão atual, expande-se naturalmente para abranger as discussões sobre IA e computação em nuvem.
Ainda, ao tratar dos riscos relacionados, a Anatel demonstra visão prospectiva para lidar com tecnologias emergentes e se alinha ao debate global sobre a necessidade de regulação preventiva de sistemas capazes de multiplicar vulnerabilidades de rede. Tal movimento encontra paralelo no AI Act europeu e nas discussões em curso na Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e na União Internacional de Telecomunicações (UIT), evidenciando a crescente internacionalização do tema.
O fortalecimento do GT-Ciber como fórum plural de debate técnico e regulatório cria ambiente propício para construção coletiva de soluções, reconhecendo que a cibersegurança transcende fronteiras organizacionais.
A iniciativa sinaliza compromisso com evolução permanente do marco regulatório. A referência expressa à sustentabilidade ambiental e ao ODS 9 indica convergência inevitável entre as agendas de cibersegurança e ESG, antecipando novo paradigma em que segurança digital e responsabilidade socioambiental tornam-se indissociáveis.
Com isso, a segurança digital transcende à mera proteção contra ataques, ampliando seu escopo para também considerar os impactos socioambientais das infraestruturas que viabilizam a conectividade. Esse novo paradigma poderá demandar das empresas não apenas investimentos em firewalls, criptografia e due diligence, mas igualmente em fontes renováveis de energia, sistemas de refrigeração menos poluentes e práticas de governança ambiental.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
A proposta de atualização da R-Ciber, antes mesmo de sua implementação completa, transmite mensagem inequívoca: no domínio da cibersegurança, a estagnação equivale à obsolescência. O setor de telecomunicações opera em ambiente onde ameaças evoluem exponencialmente, exigindo arcabouço regulatório igualmente dinâmico e adaptativo.
Assim, a CP 32/2025 não representa mera atualização técnica. Ela inaugura um novo marco de governança digital no Brasil, no qual segurança, sustentabilidade e inovação deixam de ser agendas paralelas para se tornarem elementos indissociáveis da competitividade empresarial. A nova configuração proposta transcende a mera conformidade normativa, estabelecendo paradigma no qual resiliência contínua, governança robusta e visão estratégica integrada constituem não apenas requisitos regulatórios, mas imperativos de sobrevivência e competitividade no ecossistema digital.
