O Brasil acaba de passar pela mais abrangente e ambiciosa revisão de seu marco regulatório de segurança cibernética — a terceira, desde 2020 — com a publicação de dois decretos no DOU esta semana. O de número 12.572 institui a nova Política Nacional de Segurança da Informação (PNSI). E o 12.573 define a desejada Estratégia Nacional de Cibersegurança (E-Ciber).
A PNSI, agora em sua terceira versão, estabelece a governança da segurança da informação na administração pública federal. Cada órgão público será obrigado a nomear um Chief Information Security Officer (CISO) e a criar comitês internos dedicados à segurança da informação, além de implementar políticas específicas de proteção de dados e rever suas práticas periodicamente. Está alinhada à Lei Geral de Proteção de Dados (LGPD) e inclui diretrizes claras para a proteção de informações sigilosas e infraestruturas críticas.
Já a nova E-Ciber foca na proteção digital do Brasil, com base em quatro pilares: proteger os cidadãos, proteger a infraestrutura crítica, fomentar a cooperação público-privada e fortalecer a soberania digital. O mais relevante está em como ela aborda populações vulneráveis, como crianças e idosos, apoia pequenas empresas e visa reduzir a dependência de tecnologia estrangeira por meio de iniciativas como um selo de certificação de segurança nacional. Por isso, vem sendo encarada como um avanço significativo para o fortalecimento da proteção digital do Brasil.
No tocante à soberania digital, o mais ambicioso é o esforço do Brasil em direção à autossuficiência tecnológica, com disposições para:
- Desenvolvimento de alternativas nacionais a tecnologias estrangeiras em setores críticos, como 5G e IA;
- Criação de um programa nacional de certificação para tecnologias de segurança;
- Fortalecimento da posição do Brasil em fóruns internacionais de segurança cibernética.
A coordenação da E-Ciber, e de suas dezenas de ações estratégicas, ficará a cargo do Comitê Nacional de Cibersegurança (CNCiber), criado em dezembro de 2023 e presidido pelo Gabinete de Segurança Institucional da Presidência da República (GSI), com participação de órgãos públicos e representantes da sociedade. O GSI também coordenará as ações do Governo federal relativas à segurança da informação e instituirá o Comitê Gestor da Segurança da Informação, com a finalidade de acompanhar a implementação e a evolução da PNSI.
“Embora haja compatibilidade no que toca ao endereçamento de questões envolvendo segurança cibernética e à resiliência das infraestruturas, o que ressoa de forma mais intensa nos novos normativos é a preocupação com a soberania nacional, que agora foi mencionada 4 vezes na Estratégia Nacional de Cibersegurança”, comenta Bruna Borghi, sócia na área de Cybersecurity & Data Privacy de TozziniFreire Advogados. Segundo a E-cyber, passa a ser objetivo a “redução do débito tecnológico do País em tecnologias emergentes e disruptivas por meio de ações governamentais afirmativas e incrementais”. Para isso, constam diversos incentivos ao desenvolvimento tecnológico, inclusive por meio da pesquisa.
Há consenso no mercado que o sucesso dessas iniciativas dependerá de um esforço coordenado entre governos, empresas e sociedade, além de uma implementação eficaz das políticas e estratégias previstas. A construção de um ambiente cibernético mais seguro e resiliente exigirá investimento em infraestrutura, treinamento contínuo e, principalmente, uma governança eficaz e descentralizada, capaz de enfrentar os desafios emergentes da era digital.
A capacitação de profissionais é fundamental. O analista Oscar Isaka, do Gartner, enfatiza a importância da alfabetização em inteligência artificial (IA) para os CISOs e suas equipes. O apoio à inovação, especialmente por meio de startups, será essencial para soluções de cibersegurança eficazes e acessíveis, e a certificação de segurança pode se tornar um diferencial competitivo para empresas brasileiras.
Outro ponto crítico é a excessiva centralização das ações no Gabinete de Segurança Institucional, que pode gerar debates sobre governança e autonomia regulatória. Além disso, a efetiva fiscalização e aplicação das normas ainda dependerão de uma estrutura robusta e de uma aplicação rigorosa das sanções para garantir que as diretrizes saiam do papel e resultem em melhorias reais na segurança cibernética do Brasil.
Está tudo muito bonito no papel. A torcida agora é para que o novo marco regulatório seja realmente útil, na prática. A expectativa é reduzir significativamente os prejuízos com cibercrimes, estimados em 2024 em cerca de R$ 1,5 trilhão, aumentando a segurança de dados, a confiança digital e a competitividade do país no cenário global.