A Resolução CMN nº 4.893, de 26 de fevereiro de 2021, dispõe...

RESOLUÇÃO 8.893 DE 26 DE FEVEREIRO DE 2021

Art. 2º As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

....

Art. 6º As instituições referidas no art. 1º devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

A resolução não define que deve haver uma comissão para a implementação da política de segurança cibernética, nem sequer menciona o mercado ou as instituições que operam no mercado cambial.

GABARITO LETRA C

Classifiquem a questão corretamente, QC!

Resolução 4893.

Item I. Errado. Parágrafo único. O disposto nesta Resolução não se aplica às administradoras de consórcio, às instituições de pagamento, às sociedades corretoras de títulos e valores mobiliários, às sociedades distribuidoras de títulos e valores mobiliários e às sociedades corretoras de câmbio, que devem observar a regulamentação emanada do Banco Central do Brasil no exercício de suas atribuições legais.

Item II. Certo. Art. 2º

Item III. Certo. Art. 6º

Item IV. Errado. Art. 7º As instituições referidas no art. 1º devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

. O disposto nesta Resolução não se aplica às administradoras de consórcio, às instituições de pagamento, às sociedades corretoras de títulos e valores mobiliários, às sociedades distribuidoras de títulos e valores mobiliários e às sociedades corretoras de câmbio, que devem observar a regulamentação emanada do Banco Central do Brasil no exercício de suas atribuições legais.

º As instituições referidas no art. 1º devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Principais pontos sobre a resolução CMN nº 4.893:

1.   Sobre o que dispõe a R. 4893 = política de segurança cibernética e requisitos de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (Art. 1º)

2.   A quem não se aplica a R.4893 = administradora de consórcio, instituição de pagamento, corretoras e distribuidoras de títulos e valores mobiliários e corretoras de câmbio (Art. 1º, parágrafo único)

3.   O que busca assegurar a política de segurança cibernética = CID: Confidencialidade, Integridade e Disponibilidade (Art. 2º)

4.   Quem pode adotar política de segurança cibernética única = conglomerado prudencial e sistema cooperativo de crédito (Art. 2º, § 2º)

5.   Periodicidade do relatório sobre a implementação do plano de ação e resposta a incidentes = anual, com data-base em 31 de dezembro de 2021, devendo ser apresentado até 31 de março do ano seguinte à data-base (Art. 8º)

6.   Quem aprova a política de segurança cibernética e o plano de ação e resposta a incidentes = Conselho de administração, ou, na sua ausência, pela diretoria da instituição (Art. 9)

7.   Revisão e documentação da política de segurança e plano de ação e resposta a incidentes = no mínimo, anualmente (Art. 10º)

8.   Prazo de comunicação da contratação de serviços em nuvem ao BACEN = 10 dias, após a contratação (Art. 15º, § 2º)

9.   Prazo de comunicação das alterações em contrato de serviços em nuvem ao BACEN = 10 dias, após a alteração contratual  (Art. 15º, § 3º)

10. Prazo que os documentos devem ficar à disposição do BACEN = cinco anos (baCen – Cinco anos) Art. 23

OBSERVAÇÃO: Esses pontos não dispensam a leitura integral da resolução!!!

Vamos analisar a questão proposta sobre a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que trata da política de segurança cibernética e dos requisitos de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem pelas instituições autorizadas pelo Banco Central do Brasil.

A alternativa correta é a C - II e III.

Agora, vamos justificar cada uma das alternativas, explicando por que a alternativa correta é a C e as demais estão incorretas.

Alternativa C: II e III:

• II: Está correta. A resolução realmente exige que as instituições abrangidas estabeleçam suas políticas de segurança, assegurando confidencialidade, integridade e disponibilidade de dados e sistemas de informação utilizados.
• III: Está correta. A resolução também exige que as instituições possuam um plano de ação e de resposta a incidentes de segurança cibernética.

Alternativa A: I e II:

• I: Está incorreta. A Resolução CMN nº 4.893 não se aplica especificamente às operações de câmbio, mas sim às políticas de segurança cibernética e aos requisitos para a contratação de serviços de processamento e armazenamento de dados e computação em nuvem.
• II: Está correta, conforme explicado acima.

Alternativa B: I e IV:

• I: Está incorreta, conforme explicado acima.
• IV: Está incorreta. A resolução não menciona a necessidade de criar uma Comissão Interna específica para implementar a política de segurança cibernética e executar o plano de ação e resposta a incidentes.

Alternativa D: III e IV:

• III: Está correta, conforme explicado acima.
• IV: Está incorreta, conforme explicado acima.

Alternativa E: II:

• II: Está correta, conforme explicado acima.
• No entanto, esta alternativa está incorreta porque não contempla a assertiva III, também correta.

Portanto, a resposta correta é a alternativa C - II e III pois são as únicas afirmativas que refletem corretamente as exigências da Resolução CMN nº 4.893.

Espero que esta explicação tenha ajudado a compreender melhor o tema da questão e os motivos pelas quais as alternativas são corretas ou incorretas. Se tiver mais dúvidas, estou à disposição para ajudar!