As últimas décadas foram marcadas pela introdução progressiva e, nos anos mais recentes, pelo crescimento vertiginoso da utilização das Tecnologias de Informação e Comunicação (TICs) em todas as dimensões da vida em sociedade. É difícil pensar em alguma atividade que não seja mediada por essas tecnologias e a pandemia da Covid-19 teve um papel crucial na aceleração da transformação digital.
Não é possível, contudo, pensar em transformação digital sem a confiança na utilização e a segurança das TICs. Se tudo é digital, os riscos, os crimes e os conflitos também necessariamente estão presentes nesse ambiente.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Diante da necessidade de promover a transformação digital como agente de desenvolvimento e endereçar os riscos de cibersegurança, na sua concepção mais abrangente e diversas dimensões, diferentes políticas públicas vêm sendo elaboradas ao longo das últimas duas décadas, as quais são destacadas nesta primeira parte do artigo
Nesse sentido, é possível mapear a publicação do Livro Verde: segurança cibernética no Brasil de 2010; da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015/2018 em 2015; da Política Nacional de Segurança da Informação de 2018; da Estratégia Nacional de Segurança Cibernética (E-Ciber) de 2020; a criação da Rede Federal de Gestão e Incidentes Cibernéticos de 2021; e, mais recentemente, a aprovação da Política Nacional de Cibersegurança (PNCiber) de 2023, além de diversos outros instrumentos relacionados abordando segurança de infraestruturas críticas, defesa nacional e proteção de dados[1].
Essas políticas são necessárias diante de uma realidade cada vez mais complexa e dinâmica de ameaças e ataques, focados inclusive nas infraestruturas críticas nacionais e utilizados largamente em conflitos interestatais.
A PNCiber estabeleceu os princípios, objetivos e instrumentos da política e instituiu o Comitê Nacional de Cibersegurança (CNCiber), no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber.
O CNCiber possui composição multissetorial, com 15 membros representando a Administração Pública Federal, 1 representante do Comitê Gestor da Internet no Brasil e 9 assentos destinados à representação institucionalizada da sociedade, especificamente em três grupos, com 3 assentos cada: sociedade civil, instituições científicas, tecnológicas e de inovação, e setor empresarial, baseados na pertinência temática.
O CNCiber é presidido pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e pode instituir grupos de trabalho temáticos (GTT). Inicialmente, foram instituídos três, com foco (i) na atualização da Estratégia Nacional de Cibersegurança[2] ; (ii) na elaboração de proposta de criação de Órgão de Governança da Atividade de Cibersegurança no Brasil; e (iii) na definição de parâmetros para a atuação internacional do Brasil em cibersegurança.[3]
A Ata da última reunião ordinária do CNCiber, realizada em 9 de abril de 2025,confirma a finalização do trabalho do GTT destinado a propor o modelo institucional para realizar a governança de cibersegurança no país, com a apresentação de três propostas distintas de autoridade: agência reguladora, autarquia não especial e secretaria de governo.
Os debates refletidos na Ata esclarecem que as propostas não são análogas, e há clara preferência dos representantes da sociedade civil pelo modelo institucional de agência reguladora e/ou autarquia não especial. As três propostas foram enviadas à Casa Civil para análise jurídica e de governo para posterior deliberação sobre o encaminhamento pelo CNCiber.
Na mesma reunião foram aprovados quatro novos GTTs para: (i) elaboração de Plano Nacional de Cibersegurança; (ii) identificação ou elaboração de materiais educativos de cibersegurança e de estratégias de divulgação; (iii) elaboração de guia para provedores e operadores de serviços essenciais e de infraestruturas críticas, e (iv) elaboração de guia para a criação e operação de Centros de Análise e Compartilhamento de Informações (Information Sharing and Analysis Centers).
A edição da PNCiber e a instituição do CNCiber são um importante marco no desenvolvimento das capacidades brasileiras, especialmente o reconhecimento da característica multissetorial do tema, refletida na composição do Comitê. No entanto, deve-se destacar que, como política pública federal, a fragmentação da resposta institucional no país permanece e não pode ser resolvida sem uma lei que estabeleça um marco nacional de cibersegurança e uma instituição nacional.
A aprovação da PNCiber por decreto presidencial foi precedida, em 2023, por uma tentativa liderada pelo GSI de apresentação de projeto de lei buscando instituir essa política e um sistema nacional de cibersegurança, com a criação de uma agência reguladora de cibersegurança. A minuta foi objeto de audiência pública, recebendo contribuições dos setores público e privado, sociedade civil e academia[4]. Entretanto, o resultado foi a aprovação da PNCiber por decreto e o diferimento da discussão de criação de uma entidade para o âmbito do CNCiber.
O racional para a demanda por uma lei e uma instituição nacional é muito claro: a relevância do tema é tamanha que exige que todos os entes da federação, todos os poderes, setor privado e toda a sociedade sejam abarcados por um marco que estabeleça princípios, direitos e deveres associados à promoção da cibersegurança no país.
Para ilustrar essa premissa, pode-se imaginar o caos que a indisponibilidade do meio de pagamento mais utilizado pelos brasileiros, o Pix, causaria, não apenas ao sistema financeiro como um todo, mas ao setor privado e à população brasileira.
Adicionalmente, é necessária a criação de uma instituição que tenha a atribuição legal e os recursos necessários para a implementação desse marco, sendo imprescindível que possua as competências necessárias de coordenação e articulação nacional, bem como de normatização, acompanhamento e controle.
Cibersegurança não é um problema do governo federal. Cibersegurança e a Resiliência Cibernética são temas de Estado, que ultrapassam governos e mandatos. São temas que abarcam dimensões como crimes cibernéticos e defesa nacional, mas também o cotidiano da população brasileira que utiliza a tecnologia para comunicação, educação, lazer, trabalho, serviços públicos e fruição de diversos outros direitos e garantias fundamentais. São temas estratégicos que demandam, no sistema jurídico brasileiro, lei aprovada pelo Parlamento e uma entidade com as competências e recursos para implementar a lei e as políticas públicas estabelecidas.
O trabalho dos GTTs iniciais do CNCiber e a criação de novos grupos apontam para um aumento da priorização no tema no âmbito do governo federal com o suporte das diversas entidades que integram o Comitê. O tema também ganhou relevância no Congresso Nacional, com a criação da Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética, no final de março, e instalação dos trabalhos no final de maio deste ano.[5]
Embora o contexto político e a questão fiscal preocupem, os impactos da inação são catastróficos[6]. Para além do risco à soberania nacional, o Cybersecurity Ventures estimava já em 2020 custos econômicos anuais na ordem de US$ 10,5 trilhões; e o Banco Mundial aponta a perda de quase 2,4% do PIB da Costa Rica em face do ataque de ransomware sofrido em 2022. No contexto americano, o Government Accountability Office estimou entre US$ 233 bilhões a US$ 521 bilhões as perdas anuais do governo federal devido a fraudes. O Brasil vive um momento ímpar para pensar e construir um modelo nacional para promover a cibersegurança do ecossistema digital que considere a nossa realidade a atenda aos nossos interesses, com a convergência da prioridade do tema emergindo no âmbito dos Poderes Executivo e Legislativo.
O tema precisa ser tratado com a seriedade que merece e demanda. A fim de contribuir para essa reflexão, traremos, no próximo artigo, a experiência chilena e as principais lições aprendidas, visto que o Chile foi o primeiro país na América Latina a aprovar seu marco legal e a criar uma agência nacional.
[1] Para lista detalhada ver quadro comparativo: https://fundarfenix.com.br/ebook/246estrategianacional/
[2] Considerando a validade da E-Ciber no quadriênio 2020-2023.
[3] https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-nacional-de-ciberseguranca-cnciber/grupos-tecnicos
[4] Documentos relacionados à minuta de projeto de lei e à audiência podem ser consultados em: https://www.gov.br/gsi/pt-br/seguranca-da-informacao-e-cibernetica/audiencia-publica
[5] https://www25.senado.leg.br/web/atividade/conselhos/-/conselho/fpciberseg
[6] Especificamente sobre o custo de não fazer no contexto brasileiro, ver https://www.jota.info/opiniao-e-analise/artigos/ciberseguranca-o-custo-de-nao-fazer