Setor energético brasileiro estuda propostas regulatórias em nome da segurança

A crescente inovação tecnológica e a possibilidade de automação no setor energético mundial trouxe como consequência ataques cibernéticos dos mais variados, desde os mais simples aos que colocam em risco a segurança nacional. O setor vem sendo, de forma crescente, um alvo desses ciberataques, até mesmo em países com alto nível de desenvolvimento tecnológico, aumentando riscos que, quando materializados, podem levar a resultados de grande magnitude, caso da Colonial Pipeline, vítima de ransomware.

Conforme detalhado no artigo anterior, Ataque cibernéticos ameaçam o setor de energia, o Brasil vem adotando medidas para fortalecer a segurança cibernética em geral e para setores de infraestrutura crítica – ou seja, setores com necessidade de prestar serviços de forma continuada, essenciais para o funcionamento da sociedade e da economia.

Conquanto haja normatização sobre segurança cibernética para infraestruturas críticas, não há regulação voltada para o setor de energia especificamente, o que vulnerabiliza todos os agentes do segmento energético, notadamente interdependente e conectado, em caso de ataques à cadeia logística.

Proposta regulatória para o setor de energia

No entanto, apesar do arcabouço legal, a estratégia brasileira de regulação de segurança cibernética no setor de energia ainda enfrenta diversas dificuldades. As agências reguladoras de energia, como a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP), a Agência Nacional de Energia Elétrica (Aneel), a Agência Nacional de Energia Atômica (ANEA), e, provavelmente, em breve, a Agência Nacional de Segurança Nuclear (ANSN), que englobaria a atual Comissão Nacional de Energia Nuclear (CNEN), não possuem regulações específicas.

Dentre as agências, porém, é a Aneel a mais propositiva em relação à regulação específica para o setor. A ANP, em outubro de 2020, limitou-se a assinar memorando de cooperação com o órgão regulador de petróleo da Noruega (PSA-Norway), que envolve os assuntos de segurança operacional, sendo a segurança cibernética apenas um dos diversos tópicos explorados. Por outro lado, apesar de ainda não ter definido a abordagem regulatória que adotará, a Aneel realizou as já mencionadas Tomada de Subsídios, Análise de Impacto Regulatório (AIR) e consulta pública, visando levantar material que auxilie em uma potencial decisão.

Assim, a Aneel agrupou as propostas de soluções normativas e não normativas para a segurança cibernética no setor de energia elétrica do País em quatro alternativas: 1. não regular; 2. orientar e divulgar melhores práticas; 3. regulamentar itens da política de segurança; 4. regulamentar requisitos mais prescritivos.

Propostas de não-regulação e de orientação

As duas primeiras propostas se localizam no quadrante de não-regulação. A primeira, de não-regulação, entende que os comandos já existentes na estrutura regulatória atual, ainda que não detalhados para a segurança cibernética no setor elétrico, seriam suficientes para minimizar os impactos de incidentes.

Nessa hipótese, os agentes teriam mais liberdade de escolha, a fiscalização não abarcaria novas atribuições para si e não haveria eventuais custos de adaptação à regulação. Por outro lado, a falta de orientação e a busca individualizada de soluções poderiam ser ineficientes, bem como poderia levar muito tempo até que os agentes se conscientizassem, o que poderia perpetuar ou até agravar o atual cenário de riscos.

Já a segunda alternativa – a perspectiva de orientar e divulgar as melhores práticas – teria a finalidade de dar acesso a informações importantes sobre segurança cibernética aos agentes do setor elétrico de forma a estimular a adoção voluntária de medidas seguras. Neste cenário, permanecem os benefícios de liberdade para os agentes e a ausência de carga regulatória associada. Porém, são mantidas a possibilidade de inércia e ineficiência dos agentes, e são acrescentadas à problemática a falta de previsibilidade de custos de investimentos e a dificuldade de divulgação de informação devido à necessidade de sigilo solicitado em fóruns e eventos do setor.

Algumas das abordagens não-regulatórias que poderiam ser adotadas pelo setor público, a título ilustrativo, são:

• Uso dos regulamentos de compras para forçar que os sistemas de tecnologia da informação entregues ao governo sejam mais seguros;

• Opção do Governo Federal por fazer negócios apenas com empresas que fornecem segurança cibernética adequada em seus trabalhos governamentais;

• Melhoria das práticas de segurança cibernética do próprio governo federal, para que ele se ofereça como exemplo para o resto da nação;

• Oferta de incentivos fiscais para estimular um maior investimento em segurança cibernética;

• Reconhecimento público da adesão a altos padrões de segurança cibernética – uma espécie de certificação – para melhorar a imagem de uma empresa, de forma a se traduzir em vantagens competitivas; entre outros.

Propostas para regulação

As duas últimas alternativas são voltadas para regulação. A terceira proposta sugere regulamentar itens da política de segurança cibernética inicialmente por meio de processo normativo padrão e, em seguida, com políticas elaboradas e implantadas pelas empresas e agentes com acompanhamento da Aneel. Dessa forma, seriam criados comandos regulatórios obrigatórios para os agentes do setor, garantindo, mediante enforcement regulatório, a implementação das políticas entendidas como necessárias. Os impactos positivos esperados são o aumento da eficiência dos agentes em razão das orientações com a permanência de flexibilização e a liberdade das empresas para a escolha da política de segurança.

Entretanto, o risco de ataque cibernético se mantém quando se leva em consideração que agentes com políticas mais simples, uma vez integrados ao sistema de energia, poderiam expor a rede como um todo. Além disso, nesse cenário, haverá custos de adaptação, assim como menor liberdade para os agentes.

A quarta e última alternativa dá um passo a mais do que a terceira, propondo regulamentar requisitos mais prescritivos para a segurança cibernética, com o objetivo de estabelecer não somente comandos regulatórios, como também mais detalhamento de requisitos por meio de um padrão mínimo de segurança a ser implementado.

Aqui, haveria completa previsibilidade regulatória, menores custos de aprendizagem e maior garantia da segurança da rede como um todo por meio do estabelecimento de padrão mínimo de riscos. Entretanto, as decorrências são, basicamente, maiores custos de adaptação e baixa ou nenhuma flexibilização das normas, o que onera tanto a agência reguladora na fiscalização quanto os agentes regulados na implementação das medidas.

Vale ressaltar que grande parte das problemáticas relativas aos custos de adaptação dos agentes regulados decorre da significativa heterogeneidade dos segmentos do setor. As preocupações enfrentadas por agentes de geração, transmissão e distribuição não são necessariamente as mesmas no que se refere a critérios de segurança cibernética, principalmente quando levamos em conta que cada segmento lida com condições específicas de infraestrutura e de volume e tipo de dados.

Ou seja, embora haja agentes bem preparados e com política de segurança cibernética bem desenvolvida, nem todos estão no mesmo nível de maturidade, o que pode expor parte ou mesmo todo o setor a incidentes, como ocorre com ataques à cadeia logística. Com isso, a abrangência regulatória para um setor tão diverso e, ao mesmo tempo, tão interdependente e conectado torna-se ainda mais complexa para agência reguladora de energia.

Os resultados da Análise de Impacto Regulatório (AIR) indicaram que as alternativas 3 e 4 possuíram melhor desempenho na comparação por meio de Análise de Risco qualitativa, enquanto a alternativa 2 apresentou maior desempenho considerando a avaliação de 11 critérios.

Ambas a Análise de Risco e a Avaliação foram realizadas com 19 especialistas governamentais, como membros da Superintendência de Fiscalização dos Serviços de Eletricidade (SFE), de Gestão Técnica da Informação (SGI), entre outras. Importante notar que a orientação e divulgação de boas práticas, da alternativa 2, não é incompatível com a aplicação das alternativas 3 e 4, podendo ocorrer nos vácuos regulatórios até mesmo nas hipóteses de estabelecimento de requisitos mínimos, qual seja, a alternativa 4.

Expectativas da indústria brasileira de energia elétrica

Apesar de o resultado da AIR compor o embasamento da tomada de decisões da Aneel, ele deve ser analisado em conjunto às contribuições da Consulta Pública e outros instrumentos que levem em consideração também a posição dos agentes regulados e da sociedade em geral. Por meio da Tomada de Subsídios nº 007/2020 e da Consulta Pública nº 007/2021, ambas conduzidas pela Aneel, foi possível averiguar também as reações da indústria de energia elétrica às alternativas sugeridas.

Majoritariamente, o setor concorda que a segurança cibernética é um problema regulatório, tendo em vista que a homogeneidade de critérios de segurança é essencial para garantir uma efetiva proteção e mitigação de riscos em um setor tão interconectado e em crescente automatização. Porém, a heterogeneidade dos agentes do setor é um fator relevante para a definição de normativa sobre segurança cibernética.

Nesse sentido, foi enviada, por exemplo, sugestão de que a criação de procedimentos e requisitos mínimos preferencialmente poderia considerar a remuneração dos agentes em virtude dos investimentos que devem ser realizados para cumprir com os procedimentos de adequação. Ainda, foi destacada a importância da abordagem de risco regulatório, de forma que o nível de exigência adotado seja proporcional à ameaça cibernética.

A indústria também se posicionou sobre a coordenação entre a futura regulação e normas já existentes, afirmando que, se por um lado é positivo que existam mecanismos de mitigação dos riscos, por outro, há dúvidas quanto à ordenação da regulação com outras normativas. Dentre o arcabouço legal do país que regula, de maneira ampla, questões de cibersegurança, está presente a já mencionada LGPD, que estabelece uma série de obrigações e consequências relacionadas à segurança de dados pessoais.

Com isso, os agentes do setor demonstraram preocupação em assegurar a importância não apenas em relação à sobreposição de normas, mas também em relação a conflitos entre os órgãos do governo. Portanto, a indústria espera a cooperação entre as agências reguladoras, órgãos governamentais e órgãos internacionais.

Também preocupa a indústria o grau de intrusão das regras propostas em processos internos das empresas. Como exemplo, de que eventual regulação prejudique a autonomia de gestão e independência na proteção de informações estratégicas. Apesar da interconexão necessária entre o setor, as empresas expressaram ressalva em relação à intenção da agência de incentivar o compartilhamento de informações.

As empresas sugeriram que eventuais informações que pudessem revelar elementos da estratégia tecnológica adotada e que tenham impacto em aspectos de competitividade, portanto, deveriam permanecer sigilosas. Ainda, foi discutido sobre a própria identidade do agente invadido ser mantida em sigilo, cabendo alertas unicamente sobre a ameaça em si.

À espera

O setor de energia espera da Aneel a primeira regulamentação específica que delimite medidas necessárias para mitigação do risco de ataques cibernéticos e dialogue com outras normativas e órgãos existentes. Apesar da perspectiva, a Aneel, que inicialmente instauraria a regulamentação por meio de processo normativo padrão, teria uma segunda fase: acompanhar empresas e agentes na elaboração e implementação de políticas.

Ao que tudo indica, a regulação de segurança cibernética específica para os setores de energia ainda possui um longo caminho pela frente, com o risco de a velocidade da regulação ser muito inferior à velocidade em que os riscos cibernéticos aumentam.

O Fórum: Direito Digital é uma coprodução de MIT Sloan Review Brasil e Pinheiro Neto Advogados.