Nos últimos 15 anos, e em especial após a pandemia de Covid-19, o Brasil vem passando por um acelerado processo de digitalização. No entanto, como demonstram os relatos cotidianos de ataques e incidentes cibernéticos, essa digitalização ocorreu em descompasso com a adoção de medidas de cibersegurança, repetindo um padrão comum na América Latina: o ímpeto pela adoção rápida de tecnologias digitais comumente ocorre sem considerações práticas acerca da cibersegurança.
Como destacamos em nossa nova publicação sobre Governança e Regulação da Cibersegurança no Brasil[1], o contexto atual é extremamente preocupante, pois a digitalização de serviços públicos e privados, a proliferação de novos dispositivos e a ampliação da base de usuários expandem enormemente a superfície de ataque dos países, enquanto a cibersegurança não é tratada como prioridade. Desse modo, os setores público e privado acabam recorrendo a medidas e iniciativas próprias, em função das respectivas necessidades para se protegerem e, apesar das boas intenções, os resultados permanecem desanimadores.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Essa realidade se torna mais preeminente ao passo que a digitalização interconecta o setor produtivo, as infraestruturas críticas e os serviços essenciais do país, sujeitando a manutenção das atividades econômicas, sociais e até democráticas a ameaças cibernéticas, que, por sua vez, são cada vez mais numerosas e sofisticadas.
O Brasil parece começar a reduzir esse descompasso. Iniciativas como a o estabelecimento do Comitê Nacional de Cibersegurança (CNCiber), que atualizou a Estratégia Nacional de Cibersegurança, demonstram que o País está tentando tratar o tema com a devida seriedade. O Comitê Nacional de Cibersegurança (CNCiber) é um órgão multissetorial, composto por 15 membros da Administração Pública Federal, 1 membro do Comitê Gestor da Internet no Brasil e 9 outros destinados à sociedade, distribuídos entre sociedade civil, instituições científicas e tecnológicas, e setor empresarial.
Ao longo do último ano, o CNCiber elaborou, por meio de seus grupos de trabalho[2], proposta de anteprojeto para instituição de uma Lei Geral sobre Cibersegurança, com a proposta de criação de uma Agência Nacional de Cibersegurança, que foi apresentada na Reunião Ordinária de abril de 2025. Esses dois elementos são essenciais para construir a cibersegurança e a soberania digital do país, conforme já destacamos em trabalho produzido anteriormente.
A recente instauração de uma Frente Parlamentar de Apoio à Cibersegurança e Defesa Cibernética, levou a proposição do PL 4752/2025 com objetivos e conteúdo muito semelhantes: a criação de um Marco Legal da Cibersegurança, juntamente com a proposta de um Programa Nacional de Segurança e Resiliência Digital[3]. Para os autores, o mais importante não é que um ou outro projeto seja aprovado, mas que – finalmente! – seja formado um quadro normativo no qual a cibersegurança se consolide normativa e institucionalmente.
Mas o que essas iniciativas possuem em comum? E quais são as expectativas para a cibersegurança no Brasil? Essas questões são fundamentais para compreender o atual movimento político e institucional sobre o tema.
A demanda por cibersegurança no Brasil
Essas iniciativas compartilham a preocupação de conferir maior segurança aos sistemas digitais brasileiros, preenchendo uma lacuna decorrente de anos de inércia institucional e regulatória. Como nossa recente pesquisa demonstra, o Brasil está vivenciando uma situação paradoxal: ao adotar vários atos normativos setoriais sobre cibersegurança, conseguiu chegar ao topo dos rankings internacionais de cibersegurança, enquanto, simultaneamente, os ciberataques e incidentes de segurança aumentam exponencialmente.
Nosso diagnóstico indica que a cibersegurança está sendo normatizada, mas surge como prioridade somente para atores técnicos envolvidos diretamente na resposta a incidentes em empresas e agências setoriais. Neste contexto, as mudanças recentes surgem como resposta a um cenário cada vez mais complexo e dinâmico, no qual é preciso estabelecer regras claras e coordenadas para lidar com ameaças cibernéticas que evoluem em sofisticação e escala, atingindo não apenas usuários individuais, mas também infraestruturas críticas nacionais.
Os riscos cibernéticos podem gerar efeitos sociais e econômicos devastadores, comprometendo o acesso a serviços essenciais e a operação de infraestruturas críticas. O restabelecimento dessas infraestruturas envolve custos financeiros e sociais consideráveis, redução da competitividade, danos reputacionais, paralisação de operações e serviços, além de riscos à privacidade e à proteção de dados. Nessa perspectiva, o “custo” da cibersegurança, constitui, na verdade, um investimento reduzido quando comparado aos benefícios de prevenção.
A gravidade desses incidentes reside justamente em seu efeito cascata, isto é, um ataque inicial pode provocar consequências sucessivas em outros sistemas conectados ou dependentes, ampliando significativamente os danos. Considerando a intensificação da digitalização mencionada anteriormente, torna-se imprescindível que a digitalização brasileira seja acompanhada também por medidas de cibersegurança.
Diversas iniciativas foram pensadas para estruturar um marco legal de cibersegurança. Um exemplo foi a ação liderada pelo Gabinete Institucional de Cibersegurança (GSI), em 2023, na qual propôs audiência pública para debater um projeto de lei que visava instituir um sistema nacional de cibersegurança e uma agência reguladora. Embora a iniciativa não tenha avançado, ela fomentou o debate e culminou na promulgação do Decreto 11.856/2023, que instituiu Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança.
Entretanto, como essas iniciativas ocorreram em nível federal, o problema da fragmentação regulatória persiste, e lacunas no tratamento da cibersegurança no país ainda permanecem. O racional que sustenta a demanda por um marco legal é claro: a relevância estratégica da cibersegurança exige que todos os entes da federação, os poderes da República, o setor privado e a sociedade civil sejam abrangidos por um arcabouço normativo capaz de estabelecer princípios, direitos e deveres voltados à promoção da resiliência digital. Tal arcabouço deve ter abrangência nacional para ser implementado de maneira efetiva, bem como deve possuir um órgão regulador com recursos econômicos e humanos, bem como estrutura organizacional sólida.
O que precisa ser feito?
Além de estabelecer um marco capaz de regular direitos e obrigações, é necessário criar um mecanismo de governança que possa interconectar e organizar os atores da cibersegurança no Brasil. Para implementar essa visão, é necessário criar um arranjo institucional dotado de competências técnicas e recursos adequados. A cibersegurança envolve múltiplos atores e setores que desenvolvem, operam e regulam diversos ativos digitais. Essa multiplicidade gera fragmentação e complexidade, tornando essencial a comunicação, a coordenação e a cooperação entre todos os participantes do ecossistema.
Nossa pesquisa indica que um arranjo de governança eficiente deve, portanto: (i) desenvolver competências regulatórias, incluindo normatização, fiscalização e aplicação de sanções; (ii) estabelecer padrões mínimos de cibersegurança para todos os setores; (iii) garantir coordenação e comunicação entre órgãos reguladores, atores operacionais e entidades privadas; (iv) articular mecanismos de resposta a incidentes e prevenção de riscos, em conjunto com CSIRTs e ISACs; (v) fomentar capacitação, educação e cultura de cibersegurança, fortalecendo a formação de profissionais; (vi) facilitar a integração entre setores, promovendo harmonização normativa e colaboração interinstitucional.
A criação de um Sistema Nacional de Cibersegurança, coordenado por uma Agência Nacional de Cibersegurança, surge como solução estratégica. Nesse sistema, a agência teria o papel de coordenar atores públicos e privados, promover harmonização regulatória, viabilizar canais de comunicação seguros e incentivar a inovação e a capacitação. A implementação desse sistema garantiria uma governança participativa, inclusiva e efetiva, capaz de reduzir a fragmentação, otimizar a resposta a incidentes e fortalecer a soberania digital do país.
Diante desse contexto, a pergunta que permanece é: mesmo que um novo marco de cibersegurança seja adotado, quanto tempo e recurso público precisarão ser investidos para que a futura agência consiga desempenhar adequadamente suas funções regulatórias? Em nossa opinião, o ideal não deve se sobrepor ao bom.
No atual momento de reformas, em que a Autoridade Nacional de Proteção de Dados (ANPD) está sendo reestruturada para fortalecer sua estrutura institucional e regulatória, com a criação de novos cargos de servidores públicos efetivos por meio da MP 1317/25, que transforma a ANPD em agência reguladora, há outra autarquia especial que poderia se beneficiar de um upgrade e acelerar a implementação de uma Lei Geral sobre Cibersegurança: a Agência Nacional de Telecomunicações (Anatel).
A Anatel é a única agência reguladora que já fiscaliza cibersegurança com sucesso há anos. Conta com mais de 1.300 funcionários e uma estrutura robusta, capaz de construir uma governança e regulação efetivas, contando com vários escritórios estaduais. Tal estrutura parece comportar mais atribuições do que as competências atualmente listadas pela sua lei de regência. Nesse sentido, a própria agência buscou novas oportunidades para se reposicionar como regulador de plataformas ou até de inteligência artificial.
Dessa forma, a melhor maneira de aproveitar os ativos da Anatel e conferir à agência maior utilidade estratégica seria transformá-la em uma Agência Nacional de Telecomunicações e Cibersegurança. A realidade orçamentária e administrativa se impõe: reestruturar a Anatel surge como uma solução que potencializa o arcabouço político-institucional existente, reduz custos e pode ser implementada quase imediatamente. Simplesmente, não há alternativa que ofereça igual eficiência, economia e agilidade.
Por fim, essa reestruturação parece uma oportunidade de ouro não somente para aprimorar as funções da Anatel, mas também para implementar boas práticas de melhoria regulatória que, na opinião dos autores, poderiam ser extremamente saudáveis para fortalecer e legitimar ainda mais a atuação do regulador.
[1] BELLI, Luca; MEDEIROS, Breno; COUTO, Natália; BAKONYI, Erica; GASPAR, Walter; LAGE, Daniel. Governança e Regulação da Cibersegurança no Brasil: proteção da infraestrtura crítica, segurança da informação e construção da soberania digital. Rio de Janeiro: Lumen Juris, 2025. O estudo será lançado no seguinte evento https://direitorio.fgv.br/eventos/webinar-lancamento-do-livro-governanca-e-regulacao-da-ciberseguranca-no-brasil-protecao-da
[2] Foram três os grupos de trabalhos: (i) atualizar a Estratégia Nacional de Cibersegurança (E-Ciber); (ii) elaborar proposta de criação de órgão de governança da atividade de cibersegurança no Brasil; e, (iii) definir parâmetros para a atuação internacional do Brasil em segurança cibernética.
[3] O texto do projeto, em nossa opinião, ainda precisa ser aprimorado. Apesar de estar alinhado com as ideias principais estabelecidas pela PNCiber (Decreto 11.856/2023) e E-Ciber (Decreto 12.573/2025), o referido projeto apresenta algumas incongruências. A título de exemplo, parece desconsiderar a existência do CNCiber como parte importante da governança atual em cibersegurança e não esclarece a função do Programa Nacional de Segurança e Resiliência Digital. Tais questões, contudo, ainda serão objeto de debates no Parlamento e podem ser devidamente ajustadas.