Diante do cenário de transformação digital e da crescente necessidade de enfrentamento dos riscos de cibersegurança em suas diversas dimensões, a publicação da Política Nacional de Cibersegurança (PNCiber), lançada em dezembro de 2023, representou um marco importante ao estabelecer princípios e objetivos para a cibersegurança em âmbito federal.
Entre suas inovações, destaca-se a criação do Comitê Nacional de Cibersegurança (CNCiber), com atribuição de acompanhar a implementação da política, o que inclui a formulação de uma nova estratégia nacional de cibersegurança.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Apesar do avanço institucional representado pela PNCiber, ainda não há um marco regulatório específico voltado exclusivamente à cibersergurança no Brasil. O atual cenário normativo é fragmentado, caracterizando-se por uma complexa rede de atores, com lógicas institucionais autônomas e não hierárquicas. Essa fragmentação é perceptível na análise de resoluções normativas expedidas por distintos órgãos e agências, como a Agência Nacional de Telecomunicações (Anatel), a Agência Nacional de Energia Elétrica (Aneel), o Banco Central, a Comissão de Valores Monetários (CVM), a Susep (Superintendência de Seguros Privados) e a Secretaria de Prêmios e Apostas do Ministério da Fazenda (SPA).
Tal panorama tona-se mais intrincado quando se adiciona questões relacionadas ao federalismo brasileiro, em que frequentemente se observam competências sobrepostas. A fragmentação de poderes, tanto horizontalmente (entre instituições do mesmo nível de governo) quanto verticalmente (entre diferentes níveis federativos), configura um traço estrutural difícil de eliminar, devendo ser enfrentado por formuladores e implementadores da política nacional de cibersegurança.
Diante desse cenário, é essencial a existência de um arranjo institucional capaz de coordenar as ações no campo da cibersegurança. A expectativa era de que a nova Estratégia Nacional de Cibersergurança (E-Ciber), promulgada em 4 de agosto, apresentasse ou, ao menos, recomendasse tal arranjo.
O ideal seria que essa estrutura tivesse competência para regular e fiscalizar agentes econômicos, bem como para coordenar os diversos atores que formam esse mosaico regulatório. Contudo, apesar da previsão de um eixo temático chamado de “soberania nacional e governança” (artigos 1º, IV, c.c 10 do Decreto 12.573/2025), a E-Ciber/2025 mostrou-se omissa diante dessa necessidade. Nesse vácuo institucional, impõe-se a seguinte indagação: por que é importante a criação de um arranjo institucional de governança para a cibersegurança?
A fragmentação regulatória
A fragmentação regulatória ocorre em espaços regulatórios (Hancher; Moran, 1998) associados a uma multiplicidade de atores que detêm competência para endereçar um problema regulatório, sendo que cada um é responsável por solucionar apenas uma parcela desse problema (Marisam, 2011; Pavão; Salinas; Vigar, 2021, p. 323).
A fragmentação pode ser: (i) temporal, a qual se refere à dispersão das decisões e procedimentos regulatórios ao longo do tempo, dificultando a coerência normativa; (ii) vertical, quando o domínio regulatório é partilhado entre diferentes níveis de governo – federal, estadual e municipal – cada um com competências próprias; (iii) horizontal, quando há distribuição de competência entre instituições distintas dentro do mesmo nível de governo, com base em temas específicos; e (iv) institucional, correspondente à atuação concomitante de diferentes tipos de instituições legais ou regulatórias que desempenham papéis diversos (Buzbee, 2005).
No Brasil, não há uma legislação específica que estabeleça as competências em matéria de cibersegurança, tampouco tal competência está expressamente prevista na Constituição. Na prática, cada agência ou órgãos federais, dentro da matéria que possui competência originária e genérica, tem desenvolvido normas para lidar com o problema da cibersegurança no seu setor.
Além disso, o Gabinete de Segurança Institucional da Presidência da República (GSI) tem competência para planejar, coordenar e supervisionar a atividade de cibernética em âmbito federal (artigo 8º, V, da Lei 14.600/2023).
Nesse contexto, já se observa pelo menos dois tipos de fragmentação regulatória em cibersegurança: a vertical, com competência distribuída entre os diferentes níveis federativos, e a horizontal, com atribuições temáticas dispersas entre os órgãos e agências por assunto.
A fragmentação regulatória não é necessariamente disfuncional (Pavão; Salinas; Vigar, 2021, 324), conforme será apresentado na próxima seção. Contudo, pode ensejar efeitos adversos significativos, especialmente em matéria de cibersegurança. Entre os principais riscos estão a ineficiência regulatória, o excesso de regulação e a existência de lacunas regulatórias.
Em cenários regulatórios envolvendo bens comuns, como é o caso da cibersegurança, há risco de negligência regulatória, o que resulta em omissões que possam comprometer a eficácia da segurança de sistemas e redes (Buzbee, 2005). Outro ponto negativo é a impossibilidade de qualquer ator regulador, isoladamente, possuir uma visão ampla o suficiente para considerar todos os custos e benefícios envolvidos nas decisões, dado que cada atua apenas sobre parte do problema (Buzbee, 2005).
Propostas para superar o vácuo institucional e o modelo das agências reguladoras como alternativa viável
A escolha sobre qual tipo de arranjo deve ser criado pode variar e depender de fatores políticos; contudo é interessante pontuar que a atribuição a esse arranjo não elimina a atuação dos demais órgãos em nível setorial. A abordagem regulatória deve seguir multifacetada, pois cada entidade regulatória detém expertise em seu setor econômico e compreende de maneira mais aprofundada como tecnologias digitais estão sendo aplicadas. Dessa forma, uma entidade regulatória consolidada pode supervisionar de forma mais efetiva os riscos cibernéticos, considerando o contexto único de seu setor.
A especialização setorial deve, todavia, ser acompanhada de expertise em cibersegurança. E, por isso, para que o Poder Executivo desempenhe uma função efetiva de coordenação regulatória entre os diversos atores que já produzem normas sobre cibersegurança e para promover a articulação nacional entre os diversos níveis federativos, seria necessária a criação de um arranjo institucional para a governança.
Dois elementos centrais devem ser considerados: a entidade deve atuar em nível nacional e deve possuir competências regulatórias abrangentes, como poderes normativos, fiscalizatórios e sancionatórios, além de competências de coordenação e articulação nacional. Tais competências, inclusive, foram reconhecidas como necessárias pela nova E-Ciber no artigo 6º, II, do Decreto 12.573/25.
O Brasil já adota, desde a Reforma Gerencial do Estado, o modelo de agências reguladoras para a governança de políticas públicas em setores estratégicos. Trata-se de um arranjo institucional que privilegia o Estado Regulador, mais voltado à normatização e ao monitoramento do que à produção de bens ou serviços (Majone, 1998). Esse modelo possui características importantes para aplicação no modelo de governança da cibersegurança, o que não significa estar isento de desafios[1].
As agências reguladoras são autarquias especiais dotadas de autonomia funcional, técnica e financeira, características que as tornam aptas a atuar com maior grau de tecnicidade e estabilidade institucional, considerando que a cibersegurança deve ser um tema relacionado a política de Estado. Essa independência é garantida por uma autonomia reforçada, prevista no artigo 3º da Lei 13.848/19, e pela concessão de garantias orgânicas, tais como inamovibilidade do dirigente, mandato por prazo certo, dentre outras.
A concentração das funções de governança em uma autoridade nacional facilitaria a coordenação entre os diversos setores que formam a rede de atores envolvidos no tema, tendo a capacidade de contribuir para a redução da fragmentação existente e harmonização do estoque regulatório.
Ao mesmo tempo, o referido arranjo teria competência para produzir padrões mínimos de cibersegurança para setores que ainda não são regulados, desempenhar um papel de apoio, auxiliando as entidades reguladoras, bem como poderia atuar ativamente na promoção da literacia digital. Tais recomendações vão ao encontro dos incisos V e IX do artigo 6º da E-ciber/25, que prevê a necessidade de adoção de padrões mínimos de cibersegurança e o aprimoramento dos atos normativos relacionados a matéria.
Informações direto ao ponto sobre o que realmente importa: assine gratuitamente a JOTA Principal, a nova newsletter do JOTA
À disposição desse arranjo institucional devem estar previstas ferramentas de coordenação regulatória, que podem assumir diferentes formatos. Não existe um rol taxativo apontado pela literatura (Biber, 2008; Bradley, 2011). Entre os mecanismos formais, pode-se mencionar: (i) ferramentas de consulta, que são instrumentos usados quando uma agência precisa ouvir outra antes de agir, podendo ser obrigatórios ou facultativos; (ii) acordos interagências, instrumentos utilizados para definir responsabilidades e procedimentos entre agências, reduzindo conflitos entre agências com competências relacionadas; (iii) produção normativa conjunta, ferramenta que gera normas com maior força jurídica e promove políticas mais uniformes e diminui a possibilidade de conflitos técnicos; e, (iv) existência de um órgão supervisor, como é o caso da OIRA, nos Estados Unidos, em que uma agência atua na revisão e coordenação regulatória gerando ganhos de qualidade e eficiência (Rossi; Freeman, 2012).
Considerando os desafios postos, espera-se que, em um futuro próximo, seja possível contemplar o estabelecimento de um marco regulatório de cibersegurança, com adoção do desenho institucional para a governança em nível nacional que possa desenvolver mecanismos mais robustos para a coordenação em cibersegurança.
BIBER, Eric. Too Many Things to Do: How to Deal with the Dysfunctions of Multiple-Goal Agencies. SSRN Electronic Journal, 2008.
BRADLEY, Keith. The Design of Agency Interactions. Columbia Law Review, v. 111, n. 4, p. 745–794, 2011.
BUZBEE, William W. The Regulatory Fragmentation Continuum, Westway, and the Challenges of Regional Growth. Rochester, NYSocial Science Research Network, , 10 nov. 2005. Disponível em: <https://papers.ssrn.com/abstract=842145>. Acesso em: 6 ago. 2025
HANCHER, L.; MORAN, M. Organizing Regulatory Space. In: BALDWIN, Robert; SCOTT, Colin; HOOD, Christopher (Orgs.). A Reader on Regulation. [S.l.]: Oxford University Press, 1998. p. 0.
JORDÃO, Eduardo; RIBEIRO, Maurício Portugal. COMO DESESTRUTURAR UMA AGÊNCIA REGULADORA EM PASSOS SIMPLES. REI – REVISTA ESTUDOS INSTITUCIONAIS, v. 3, n. 1, p. 180–209, 20 ago. 2017.
MAJONE, G. The Rise of the Regulatory State in Europe. In: BALDWIN, Robert; SCOTT, Colin; HOOD, Christopher (Orgs.). A Reader on Regulation. [S.l.]: Oxford University Press, 1998. p. 0.
MARISAM, Jason. Duplicative Delegations. Administrative Law Review, v. 63, n. 2, p. 181–244, 2011.
PAVÃO, Bianca Borges Medeiros; SALINAS, Natasha Schmitt Caccia; VIGAR, Thauany do Nascimento. Regulação das águas: uma análise empírica da produção normativa dos órgãos reguladores federais. Revista Brasileira de Políticas Públicas, v. 11, n. 1, 2 abr. 2021.
ROSSI, Jim; FREEMAN, Jody. Agency Coordination in Shared Regulatory Space. Harvard Law Review, v. 125, 2012.
SALINAS, Natasha Schmitt Caccia. A INTERVENÇÃO DO CONGRESSO NACIONAL NA AUTONOMIA DAS AGÊNCIAS REGULADORAS. REI – REVISTA ESTUDOS INSTITUCIONAIS, v. 5, n. 2, p. 586–614, 6 out. 2019.
[1] Sobre alguns desafios, o leitor pode consultar Jordão; Ribeiro, 2017 e Salinas, 2019.