O Ato 77/21 da Anatel, CPEs e o LAC-BCOP-1
O Ato nº 77 de 2021 da Agência Nacional de Telecomunicações (Anatel) estabeleceu requisitos de segurança cibernética para a homologação de equipamentos de telecomunicações. Meu blog post anterior tem uma visão geral sobre esta regulamentação.
Neste post vou falar sobre um requisito do ato em particular, o 4.1.2, o qual requer que equipamentos classificados como CPE (Customer Premises Equipment) devam atender, em adição aos requisitos do próprio ato, também aos requisitos do documento LAC-BCOP-1, “Melhores Práticas Operacionais Atuais sobre Requisitos Mínimos de Segurança para Aquisição de Equipamentos para Conexão de Assinante (CPE) – LAC-BCOP-1“, publicado em 2019 pelo “Grupo de Operadores de Red de América Latina y el Caribe” (LACNOG) do Uruguai, em conjunto com “The Messaging, Malware and Mobile Anti-Abuse Working Group” (M3AAWG) dos Estados Unidos.
O LAC-BCOP-1 é uma das especificações de requisitos de segurança cibernética em que o Ato 77/21 foi baseado. Não por acaso, o ato da Anatel tem vários requisitos similares aos deste documento.
A definição pelo ato de CPE é a seguinte:
“Equipamento utilizado para conectar assinantes à rede do provedor de serviços de telecomunicações. Para fins de aplicação deste conjunto de requisitos, CPE deve ser considerado o equipamento associado aos serviços fixos de telecomunicações.”
Alguns exemplos de equipamentos aos quais se aplica a definição acima de CPE são modems a cabo, xDSL (Digital Subscriber Line) e de fibra ótica.
Declaração de Atendimento ao LAC-BCOP-1 para Homologação de CPEs
Em atendimento ao Ato 77/21 a Anatel passou a exigir desde de julho/2021 que pedidos de homologação de equipamentos de telecomunicações incluam uma declaração do fornecedor sobre o atendimento aos requisitos de segurança cibernética do ato. Um modelo desta declaração pode ser encontrado na página de formulários da Anatel.
Além disso, em atendimento ao requisito 4.1.2 do ato, a Anatel passou também a requerer especificamente para a homologação de CPEs uma declaração adicional sobre o atendimento aos requisitos do documento LAC-BCOP-1. Nesta declaração o fornecedor do equipamento precisa preencher uma das opções abaixo para cada um dos requisitos:
- Declarando que, sim, o equipamento/fornecedor atende ao requisito; ou,
- Justificando por que o requisito não se aplica ao equipamento/fornecedor.
Portanto, assim como para os requisitos do Ato 77/21, o atendimento aos requisitos do LAC-BCOP-1 por CPEs ainda não é mandatório para a homologação, isto é, o fornecedor do equipamento tem a opção de não os atender desde que forneça uma justificativa individualizada para a não aplicabilidade de cada requisito não atendido.
O formulário modelo da Anatel mencionado acima contém tabelas para o preenchimento destas informações apenas para os requisitos do Ato 77/21, e orienta que, para o caso de homologação de CPEs, a declaração adicional de atendimento aos requisitos do LAC-BCOP-1 seja feita separadamente usando a tabela da seção “Anexo 1 – Tabela de Requisitos” do documento.
Esta tabela do LAC-BCOP-1 enumera todos os requisitos especificados no documento e os classifica como mandatórios, recomendados ou opcionais. Independentemente desta classificação, o atendimento a cada um dos requisitos do documento precisa ser informado na declaração para a Anatel.
No entanto esta tabela no anexo do LAB-BCOP-1 não tem espaço suficiente reservado para, por exemplo, o preenchimento de justificativas de não aplicabilidade dos requisitos.
Assim, para facilitar a vida de quem precisa pedir a homologação de CPEs, criei um modelo de declaração de atendimento aos requisitos do LAC-BCOP-1 baseado tanto no formulário modelo da Anatel quanto na tabela de requisitos no anexo do documento.
Este formulário está disponível aqui para quem quiser usar.