A crescente digitalização das infraestruturas críticas tem ampliado a exposição de sistemas estratégicos a ameaças cibernéticas. No setor elétrico, onde a operação depende de redes altamente integradas e de tecnologias avançadas de supervisão e controle, a cibersegurança se tornou elemento central para a continuidade e a confiabilidade das operações. Os ganhos de eficiência proporcionados pela automação e pela conectividade convivem, cada vez mais, com riscos digitais que exigem respostas regulatórias à altura.

É nesse cenário que a Agência Nacional de Energia Elétrica (Aneel) publicou, em 6 de fevereiro de 2026, as Portarias 7.062/26 e 7.058/26. As medidas reforçam a centralidade da cibersegurança na atuação regulatória e destacam a necessidade de modelos estruturados de gestão de riscos, inclusive com a formalização da Equipe de Prevenção, Tratamento e Resposta a Incidentes de Segurança (ETIR).

Ao aprimorar os mecanismos de prevenção e resposta a incidentes no âmbito da própria agência, as novas portarias contribuem para consolidar a cibersegurança como um dos pilares da governança regulatória do setor elétrico. Os agentes passam a ser incentivados a estruturar políticas e controles internos mais robustos, voltados à mitigação de riscos e à resposta eficaz a incidentes de segurança da informação – inclusive aqueles que envolvam dados pessoais. Entre os principais desdobramentos práticos, destacam-se:

  • implementação de estruturas formais de gestão de riscos tecnológicos;
  • fortalecimento de programas de governança em cibersegurança;
  • capacitação contínua de equipes, com realização de treinamentos e simulados;
  • definição clara de papéis e responsabilidades institucionais; e
  • integração da gestão de riscos tecnológicos às estratégias de governança corporativa.

Precedentes regulatórios e incidentes relevantes

A incorporação da cibersegurança à agenda regulatória do setor energético não é recente. A Resolução Aneel 964/21 já estabelece diretrizes para a política de segurança cibernética aplicável aos agentes do setor elétrico – e a preocupação se justifica diante de episódios concretos no cenário internacional.

Em 2015, na Ucrânia, um ataque direcionado a empresas de distribuição de energia comprometeu sistemas de controle e provocou o corte de eletricidade para aproximadamente 230 mil consumidores. O episódio evidenciou a vulnerabilidade de infraestruturas críticas diante de ameaças digitais.

Nos Estados Unidos, em 2021, uma empresa responsável por uma das principais redes de transporte de combustíveis sofreu um ataque de ransomware que paralisou temporariamente as operações de um importante oleoduto. O caso gerou impactos logísticos relevantes e mostrou o potencial de propagação dos efeitos ao longo de toda a cadeia energética.

No Brasil, também em 2021, uma empresa do setor foi alvo de incidente cibernético que afetou sistemas corporativos e resultou na indisponibilidade temporária de serviços digitais. Embora sem impacto direto na operação do sistema elétrico, o caso reforçou a necessidade de estruturas consistentes de segurança da informação para empresas que atuam em infraestruturas críticas.

Tendências internacionais e desafios para os agentes

As portarias da Aneel se inserem em uma tendência observada em diversas jurisdições, nas quais autoridades regulatórias têm incorporado requisitos de resiliência cibernética em seus marcos normativos. Organizações como a International Energy Agency (IEA) e a International Electrotechnical Commission (IEC) têm ressaltado que a cibersegurança se tornou elemento indissociável da segurança energética.

Diante desse cenário, os agentes do setor elétrico brasileiro são chamados a revisar e aprimorar suas estruturas internas de governança tecnológica. Entre as medidas que ganham relevância, destacam-se:

  • atualização periódica de políticas de segurança da informação;
  • definição de responsáveis pela condução da agenda de cibersegurança;
  • adoção de ferramentas de monitoramento contínuo de eventos de segurança;
  • desenvolvimento de planos estruturados de resposta a incidentes;
  • organização de processos formais para tratamento e comunicação de eventos cibernéticos – com simulados, pentests e exercícios de tabletop;
  • capacitação técnica de equipes e evolução dos processos de gestão de riscos; e
  • implementação de mecanismos que viabilizem a comprovação de conformidade regulatória.

As portarias também reforçam a necessidade de processos sistemáticos de identificação, avaliação e tratamento de riscos cibernéticos. Isso inclui a consideração de vulnerabilidades em sistemas operacionais, riscos associados à automação e à digitalização de processos e a crescente dependência de sistemas digitais na operação do setor. Medidas como controle de acesso, segmentação de redes, monitoramento contínuo e atualização de sistemas – como a política de patches – assumem papel central nessa estratégia.

Outro ponto relevante é a cooperação entre agentes e autoridades regulatórias. O compartilhamento de informações sobre vulnerabilidades e incidentes é fundamental para fortalecer a resiliência coletiva do sistema elétrico.

A adoção dessas práticas tende a impulsionar a maturidade em governança de cibersegurança no Brasil, aproximando o país de padrões internacionais observados em mercados como Estados Unidos e União Europeia. Mais do que atender a requisitos regulatórios, essas iniciativas contribuem diretamente para a confiabilidade do sistema elétrico, a continuidade das operações e a segurança energética.

Cibersegurança e proteção de dados

A discussão se conecta diretamente ao regime jurídico de proteção de dados pessoais. A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18) estabelece parâmetros que dependem da integridade, disponibilidade e confidencialidade dos sistemas que tratam dados. A proteção de dados não se limita ao plano normativo e exige a implementação de medidas técnicas e organizacionais efetivas.

O artigo 44 da LGPD estabelece que o tratamento de dados será considerado irregular quando não observar a legislação ou quando deixar de oferecer o nível de segurança que o titular pode legitimamente esperar. Para essa avaliação, consideram-se a forma de tratamento, os riscos envolvidos e as tecnologias disponíveis à época. A legislação também prevê a responsabilização dos agentes em caso de danos decorrentes de falhas na segurança.

O artigo 46, por sua vez, determina que os agentes de tratamento adotem medidas técnicas e administrativas capazes de proteger dados pessoais contra acessos não autorizados e eventos acidentais ou ilícitos. Essas medidas devem ser consideradas desde a concepção de produtos e serviços até sua execução – em linha com o princípio de privacy by design (§ 2º do art. 46 da LGPD).

A cibersegurança se consolida, portanto, como condição indispensável para a efetividade da proteção de dados. As recentes iniciativas da Aneel reforçam a necessidade de que o setor avance no desenvolvimento de estruturas de governança digital mais robustas, com mecanismos adequados de gestão de riscos e aptidão para demonstrar conformidade regulatória.