A Resolução 4893/2021 do Bacen, publicada em 26 de fevereiro de 2021, define sobre a Política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
A Resolução 4893/2021 BACEN entrará em vigor em 1º de julho de 2021.
Resolução 4893/2021 BACEN: Como implementar uma Política de Segurança Cibernética?
A Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com o porte da empresa, perfil de risco e modelo de negócio da instituição, bem como a natureza das operações, complexidade dos produtos e/ou serviços, atividades e processos da organização. Adiciona-se a esses requisitos a sensibilidade dos dados e das informações sob responsabilidade da instituição.
A implementação da política de segurança cibernética deve contemplar os mecanismos para disseminação da cultura de segurança cibernética na instituição, que inclui a implementação de programas de capacitação e de avaliação periódica de pessoal, prestação de informações aos clientes e usuários sobre precauções na utilização de produtos e serviços financeiros, além do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.
Plano de Ação e de Resposta a Incidentes
As Empresas cadastradas como Instituições Financeiras junto ao Bacen devem estabelecer plano de ação e de resposta a incidentes visando a implementação da política de segurança cibernética. De acordo com a Resolução 4893/2021 do BACEN, artigo 6º, o plano deve conter:
I – as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;
II – as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e
III – a área responsável pelo registro e controle dos efeitos de incidentes relevantes.
Relatório anual sobre a implementação do plano de ação e respostas a incidentes
O artigo 8º da Resolução 4893 dispõe sobre a necessidade da elaboração de um relatório com informações relacionadas à política de segurança cibernética e resumo do resultado das ações realizadas na instituição financeira, bem como os incidentes ocorridos e os resultados de testes de continuidade de negócio.
Esse relatório tem que ser submetido ao comitê de risco e apresentado ao conselho administrativo da empresa ou à diretoria, em caso de não existência de tal conselho. De acordo com a Resolução 4658/2018 do BACEN, artigo 8:
Art. 8º As instituições referidas no art. 1º devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data base de 31 de dezembro. § 1º O relatório de que trata o caput deve abordar, no mínimo:
I – a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;
II – o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;
III – os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e
IV – os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes. § 2º O relatório mencionado no caput deve ser: I – submetido ao comitê de risco, quando existente; e II – apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.
Então, segundo o cronograma da Resolução 4893/2021 do BACEN, a data final para apresentação do relatório é 31 de março de 2021.
Comunicação de serviços relevantes de processamento, armazenamento de dados e computação
O artigo 15 versa sobre como deve ocorrer a contratação dos serviços relacionados ao processamento, armazenamento de dados e computação em nuvem, além de estabelecer outras informações, vejamos:
Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições referidas no art. 1º ao Banco Central do Brasil.
§ 1º A comunicação mencionada no caput deve conter as seguintes informações:
I – a denominação da empresa contratada;
II – os serviços relevantes contratados; e
III – a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.
§ 2º A comunicação de que trata o caput deve ser realizada até dez dias após a contratação dos serviços.
Íntegra da Resolução 4893/2021 BACEN que estabelece política de segurança cibernética nas instituições autorizadas pelo BACEN
Acesse o link: https://www.in.gov.br/en/web/dou/-/resolucao-cmn-n-4.893-de-26-de-fevereiro-de-2021-305689973
Precisando de auxílio jurídico?
Se você está estruturando a sua Política de Segurança Cibernética, o auxílio de advogados especialistas em regulação e tecnologia é extremamente recomendável para evitar maiores dores de cabeça junto aos órgãos reguladores, como é o caso do BACEN e COAF.