Anatel endurece regras de cibersegurança para equipamentos de telecom; exigência passa a valer em 26 de novembro de 2025

A Anatel tornou obrigatória a comprovação de segurança cibernética para equipamentos usados por operadoras e provedores de internet. A partir de 26/11/2025, somente poderão ser utilizados produtos com auditoria independente e certificados de conformidade com a Política de Segurança Cibernética definida pela agência (Ato nº 16.417/2024), em consonância com o Regulamento de Segurança Cibernética do setor (Resolução nº 740).

Como funcionará a certificação

Fornecedores deverão apresentar às prestadoras atestados de conformidade emitidos por Organismos de Certificação Designados (OCDs) credenciados pela Anatel ou reconhecidos internacionalmente. As auditorias avaliam processos de fabricação, controles internos e requisitos técnicos vinculados à política de segurança do fabricante. Sem essa comprovação, as operadoras deverão rejeitar o equipamento.

O que muda na prática      

Na essência, a regra cria uma checagem prévia de segurança — similar ao que já ocorre na homologação técnica — antes de o produto entrar em operação. Para o usuário final, o efeito esperado é maior resiliência das redes e redução do risco em ataques que exploram vulnerabilidades de equipamentos, levando mais qualidade e tranquilidade ao cliente final.

O porque da demanda

A Anatel entende que os provedores que são responsáveis pelo tráfego de Dados de milhões de pessoas devem estar preparados e com tecnologia certificadas para proteção e respostas a incidentes.

O temor pelo despreparo dos ISP é em caso de um hacker ter acesso ao tráfego dessa rede a quantidade de dados que o mesmo pode “sniffar”(sniffer=termo utilizado em segurança para interceptar pacotes de dados) e com isso poder adulterar uma comunicação ou ainda roubar dados sensíveis dos clientes dessa operadora.

Próximos passos do setor   

Até a data de início da exigência, fornecedores precisam concluir auditorias e emitir certificados, enquanto operadoras e provedores devem atualizar processos de compra e aceitação de equipamentos, bloqueando itens sem evidência de conformidade.

É importante ter uma estrutura de segurança implementada em sua rede onde os relatórios dos equipamentos, acessos e usuários possam ser auditáveis, para isso as operadoras deveram ter política rígidas de segurança da informação, controle de acesso aos Datacenters (físico e lógico), além de inserir em sua estruturas soluções de segurança para seus colaboradores e computadores de trabalho, entre eles estão as soluções de Firewall, EDR, XDR, soluções de análise de tráfego entre outros sempre optando por soluções que mantenham esse log em conformidade com o Marco Civil da Internet e LGPD.

Soluções de cibersegurança para o dia a dia

Para empresas, ter parceiros que já operam com segurança como padrão acelera a adaptação às novas regras. É importante buscar empresas que já tenham esse conhecimento e ofereçam camadas de proteção e monitoramento contínuo para Redes e Datacenters, com foco em reduzir riscos, manter disponibilidade e dar visibilidade ao ambiente — apoio prático em políticas, alertas 24×7 e resposta a incidentes.

As tecnologias apoiadas em boas práticas e relatórios resultaram em menos exposição a ataques, menos paradas e decisões mais rápidas em casos que possam ser detectados.