Já não é de hoje que se reconhece, no Brasil, a necessidade de um marco legal nacional para a cibersegurança, bem como da criação de uma agência reguladora. Desde 2023, temos destacado esses pontos em nossas pesquisas, inclusive em obra específica sobre o assunto.
O processo de adoção acelerada de tecnologias digitais, intensificado nos últimos anos, não foi acompanhado, na mesma medida, pela adoção de medidas de segurança, de estruturas de governança e de estratégias coordenadas de prevenção, resposta e resiliência.
Em consequência, a transformação digital brasileira avançou mais rapidamente do que a capacidade institucional do país de organizá-la sob uma perspectiva de segurança digital. Esse diagnóstico não é novo. Ele vem sendo reiterado em diferentes estudos e debates, como evidenciado na recente publicação intitulada “Governança e Regulação da cibersegurança no Brasil”, e decorre da constatação de que a segurança do ciberespaço depende de uma cadeia ampla e interdependente de medidas, que vai desde a concepção segura de sistemas e infraestruturas até a capacitação, o treinamento e a conscientização dos usuários finais.
Em um ecossistema altamente conectado, a ausência de coordenação entre essas diferentes camadas tende a ampliar vulnerabilidades e dificultar respostas eficazes. Foi neste contexto que foi criado o Comitê Nacional de Cibersegurança (CNCiber), como arranjo multissetorial voltado a promover comunicação, coordenação e cooperação entre os atores da cibersegurança, com intuito de se desenvolver uma nova Estratégia, um novo marco regulatório e um novo mecanismo de governança para o Brasil.
Nesta perspectiva, ganhou relevância a notícia recentemente divulgada de que o CNCiber tornou pública uma proposta de Lei Geral de Cibersegurança, elaborada ao longo dos últimos dois anos. O debate – bastante intenso – sobre as possíveis configurações administrativas de uma autoridade reguladora resultou na identificação da Agência Nacional de Telecomunicações (Anatel) como opção mais palatável.
O problema central da cibersegurança brasileira já não é apenas o reconhecimento da sua relevância estratégica. Esse ponto, ao menos, já foi superado. O verdadeiro desafio agora está em definir quem governa essa agenda, com quais competências, com qual grau de autonomia e com quais instrumentos de coordenação. Esses pontos foram debatidos há quase dois anos em um grupo de trabalho que foi instituído no âmbito do CNCiber, do qual esses autores fizeram parte.
O debate da governança no CNCiber
O CNCiber foi instituído no âmbito da Política Nacional de Cibersegurança (PNCiber), como órgão de assessoramento junto à Câmara de Relações Exteriores e Defesa Nacional (Creden) com composição é multissetorial. Sua estrutura busca assegurar que a formulação da política nacional de cibersegurança seja informada por diferentes perspectivas institucionais e por atores diretamente envolvidos na governança do ambiente digital.
Presidido pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR), o Comitê tem entre suas atribuições a possibilidade de instituir Grupos de Trabalho Temáticos (GTTs). A discussão sobre governança exigiu um esforço mais aprofundado e prolongado. Na primeira fase dos trabalhos do GTT de Governança, o foco esteve na identificação e comparação dos arranjos institucionais juridicamente possíveis no sistema brasileiro.
Ao longo dessa primeira etapa, o grupo realizou reuniões periódicas, oficinas de consolidação e análises comparadas. Também foram considerados subsídios provenientes de iniciativas anteriores, o que inclui a proposta de criação de uma Agência Nacional de Cibersegurança originalmente debatida no âmbito do Gabinete de Segurança Institucional (GSI) e em audiência pública.
Ao final desse primeiro momento, formou-se uma percepção relativamente convergente entre os participantes de que a cibersegurança exigiria um arranjo institucional com abrangência nacional, competências regulatórias, capacidade de coordenação entre múltiplos atores e instrumentos para induzir padrões mínimos de segurança em diferentes setores.
Do modelo ideal ao modelo possível
A alternativa considerada mais adequada e, em larga medida, preferida pela maioria dos participantes, era a criação de uma agência reguladora em cibersegurança, dotada de autonomia reforçada, competências normativas, fiscalizatórias e sancionatórias, além de capacidade de coordenação nacional. Essa solução era vista como a que melhor responderia ao caráter estratégico, transversal e permanente da cibersegurança.
À medida que a discussão avançou para instâncias decisórias mais diretamente ligadas ao governo, tornou-se evidente que o debate não poderia se limitar à escolha do modelo institucional ideal em abstrato. Passaram a prevalecer fatores de natureza fiscal, administrativa e políticos, especialmente relacionados ao custo de implementação, à disponibilidade da força de trabalho e ao contexto orçamentário.
Essas considerações trouxeram uma saudável injeção de pragmatismo e deslocaram o debate de uma pergunta sobre qual seria o arranjo ideal para outra: existe uma opção realista para que a agenda de cibersegurança avance no Brasil? A partir daí, o próprio GTT passou a trabalhar não apenas com uma proposta única, mas com alternativas institucionais distintas, destinadas a subsidiar os tomadores de decisão.
Os modelos discutidos pelo CNCiber
Ao final da primeira fase dos trabalhos, três modelos principais foram consolidados: (i) agência reguladora, (ii) autarquia não especial e (iii) secretaria de governo. A comparação entre esses modelos é importante porque ajuda a compreender que o debate institucional em cibersegurança não se resume a uma escolha nominal entre órgãos, mas envolve diferenças substantivas de alcance, autonomia, capacidade de coordenação e potencial regulatório.
A agência reguladora representava o modelo de maior densidade institucional. Sua criação dependeria de lei, teria alcance nacional e permitiria atuação mais ampla tanto sobre o setor público quanto sobre o setor privado. Esse modelo pressupunha autonomia reforçada, diretoria com maior estabilidade institucional, mecanismos de governança mais protegidos contra interferências conjunturais e estrutura administrativa mais robusta. Além disso, seria o modelo mais apto a exercer, de forma articulada, funções normativas, fiscalizatórias, sancionatórias e de coordenação nacional. Porém é também o modelo mais oneroso fiscalmente.
A autarquia surgiu como uma alternativa intermediária. Assim como a agência, também dependeria de lei e teria alcance nacional, podendo exercer competências relevantes de regulação, fiscalização e coordenação. A diferença central estaria no menor grau de autonomia institucional, sem o mesmo desenho de garantias orgânicas, estabilidade decisória e proteção institucional típicos das autarquias especiais.
A secretaria de governo, por sua vez, representava o modelo de menor densidade. Sua implementação seria mais simples e menos onerosa, podendo, em tese, ser feita com menor custo político e administrativo. Contudo, sua atuação tenderia a se concentrar no Executivo federal, se criado por meio de decreto, e teria autonomia e estabilidade institucional limitada.
A escolha do arranjo institucional não é uma questão meramente organizacional, mas uma decisão que condiciona a própria capacidade de implementação efetiva da política nacional de cibersegurança.
Uma escolha pragmática
Na etapa seguinte dos trabalhos, já em 2025, o GTT aprofundou suas discussões e formalizou propostas alternativas a partir do reconhecimento de que a criação de uma nova entidade poderia não ser viável no contexto fiscal e político atual.
O debate passou, então, a considerar a adaptação de uma instituição já existente, com aproveitamento de capacidades estatais instaladas. Foi nesse contexto que a Anatel passou a figurar com mais concretude como alternativa. A entrada da agência nesse debate resulta de uma combinação de fatores políticos, institucionais, econômicos e, essencialmente, pragmáticos.
De um lado, a Anatel é uma das poucas agências reguladoras brasileiras que já atua, há anos, com cibersegurança de redes eletrônicas, infraestrutura crítica, continuidade de serviços e integridade operacional de sistemas de telecomunicações. De outro, trata-se de uma autarquia especial já estruturada, com corpo técnico, capilaridade institucional, experiência regulatória consolidada e instrumentos formais de fiscalização e supervisão.
Isso não significa, evidentemente, que a ampliação da competência da Anatel não exigia aprofundamento e escrutínio público. Ao contrário, como já destacamos nesta coluna, nos parece que este processo ofereça uma oportunidade de ouro para implementar boas práticas de melhoria regulatória que poderiam ser extremamente saudáveis para fortalecer e legitimar ainda mais a atuação da Anatel.
Além disso, a eventual transformação da Anatel em autoridade nacional de cibersegurança levanta perguntas importantes: como se dará a articulação com reguladores setoriais já existentes? Como evitar sobreposições e conflitos regulatórios de outras infraestruturas digitais críticas? E, como equilibrar coordenação nacional com especialização setorial?
O que está realmente em jogo
A divulgação da proposta de Lei Geral de Cibersegurança pelo CNCiber é, portanto, um marco importante. Mas seu principal mérito talvez não esteja apenas em apresentar uma minuta legislativa. O que ela faz, sobretudo, é explicitar aquilo que já estamos discutindo: a cibersegurança brasileira, bem como nenhuma outra área de regulação digital, não poderá ser estruturada de forma séria e efetiva sem uma decisão clara sobre o seu arranjo institucional de governança. Esse é o ponto central.
A preferência inicial por uma nova agência reguladora não foi abandonada por perda de relevância técnica, mas reavaliada à luz de condições pragmáticas. O deslocamento do debate para a hipótese de aproveitamento de uma estrutura já existente, como a Anatel, revela justamente esse esforço de compatibilização entre ambição institucional e capacidade de implementação.