Diante do cen\u00e1rio de transforma\u00e7\u00e3o digital e da crescente necessidade de enfrentamento dos riscos de ciberseguran\u00e7a em suas diversas dimens\u00f5es, a publica\u00e7\u00e3o da Pol\u00edtica Nacional de Ciberseguran\u00e7a (PNCiber), lan\u00e7ada em dezembro de 2023, representou um marco importante ao estabelecer princ\u00edpios e objetivos para a ciberseguran\u00e7a em \u00e2mbito federal.<\/p>\n
Entre suas inova\u00e7\u00f5es, destaca-se a cria\u00e7\u00e3o do Comit\u00ea Nacional de Ciberseguran\u00e7a (CNCiber), com atribui\u00e7\u00e3o de acompanhar a implementa\u00e7\u00e3o da pol\u00edtica, o que inclui a formula\u00e7\u00e3o de uma nova estrat\u00e9gia nacional de ciberseguran\u00e7a.<\/p>\n
Apesar do avan\u00e7o institucional representado pela PNCiber, ainda n\u00e3o h\u00e1 um marco regulat\u00f3rio espec\u00edfico voltado exclusivamente \u00e0 ciberserguran\u00e7a no Brasil. O atual cen\u00e1rio normativo \u00e9 fragmentado, caracterizando-se por uma complexa rede de atores, com l\u00f3gicas institucionais aut\u00f4nomas e n\u00e3o hier\u00e1rquicas. Essa fragmenta\u00e7\u00e3o \u00e9 percept\u00edvel na an\u00e1lise de resolu\u00e7\u00f5es normativas expedidas por distintos \u00f3rg\u00e3os e ag\u00eancias, como a Ag\u00eancia Nacional de Telecomunica\u00e7\u00f5es (Anatel), a Ag\u00eancia Nacional de Energia El\u00e9trica (Aneel), o Banco Central, a Comiss\u00e3o de Valores Monet\u00e1rios (CVM), a Susep (Superintend\u00eancia de Seguros Privados) e a Secretaria de Pr\u00eamios e Apostas do Minist\u00e9rio da Fazenda (SPA).<\/p>\n
Tal panorama tona-se mais intrincado quando se adiciona quest\u00f5es relacionadas ao federalismo brasileiro, em que frequentemente se observam compet\u00eancias sobrepostas. A fragmenta\u00e7\u00e3o de poderes, tanto horizontalmente (entre institui\u00e7\u00f5es do mesmo n\u00edvel de governo) quanto verticalmente (entre diferentes n\u00edveis federativos), configura um tra\u00e7o estrutural dif\u00edcil de eliminar, devendo ser enfrentado por formuladores e implementadores da pol\u00edtica nacional de ciberseguran\u00e7a.<\/p>\n
Diante desse cen\u00e1rio, \u00e9 essencial a exist\u00eancia de um arranjo institucional capaz de coordenar as a\u00e7\u00f5es no campo da ciberseguran\u00e7a. A expectativa era de que a nova Estrat\u00e9gia Nacional de Ciberserguran\u00e7a (E-Ciber), promulgada em 4 de agosto, apresentasse ou, ao menos, recomendasse tal arranjo.<\/p>\n
O ideal seria que essa estrutura tivesse compet\u00eancia para regular e fiscalizar agentes econ\u00f4micos, bem como para coordenar os diversos atores que formam esse mosaico regulat\u00f3rio. Contudo, apesar da previs\u00e3o de um eixo tem\u00e1tico chamado de \u201csoberania nacional e governan\u00e7a\u201d (artigos 1\u00ba, IV, c.c 10 do Decreto 12.573\/2025), a E-Ciber\/2025 mostrou-se omissa diante dessa necessidade. Nesse v\u00e1cuo institucional, imp\u00f5e-se a seguinte indaga\u00e7\u00e3o: por que \u00e9 importante a cria\u00e7\u00e3o de um arranjo institucional de governan\u00e7a para a ciberseguran\u00e7a?<\/p>\n
A fragmenta\u00e7\u00e3o regulat\u00f3ria ocorre em espa\u00e7os regulat\u00f3rios (Hancher; Moran, 1998) associados a uma multiplicidade de atores que det\u00eam compet\u00eancia para endere\u00e7ar um problema regulat\u00f3rio, sendo que cada um \u00e9 respons\u00e1vel por solucionar apenas uma parcela desse problema (Marisam, 2011; Pav\u00e3o; Salinas; Vigar, 2021, p. 323).<\/p>\n
A fragmenta\u00e7\u00e3o pode ser: (i) temporal, a qual se refere \u00e0 dispers\u00e3o das decis\u00f5es e procedimentos regulat\u00f3rios ao longo do tempo, dificultando a coer\u00eancia normativa; (ii) \u00a0vertical, quando \u00a0o dom\u00ednio regulat\u00f3rio \u00e9 partilhado entre diferentes n\u00edveis de governo \u2013 federal, estadual e municipal \u2013 cada um com compet\u00eancias pr\u00f3prias; (iii) horizontal, quando h\u00e1 distribui\u00e7\u00e3o de compet\u00eancia entre institui\u00e7\u00f5es distintas dentro do mesmo n\u00edvel de governo, com base em temas espec\u00edficos; e (iv) institucional, correspondente \u00e0 \u00a0atua\u00e7\u00e3o concomitante de diferentes tipos de institui\u00e7\u00f5es legais ou regulat\u00f3rias que desempenham pap\u00e9is diversos (Buzbee, 2005).<\/p>\n
No Brasil, n\u00e3o h\u00e1 uma legisla\u00e7\u00e3o espec\u00edfica que estabele\u00e7a as compet\u00eancias em mat\u00e9ria de ciberseguran\u00e7a, tampouco tal compet\u00eancia est\u00e1 expressamente prevista na Constitui\u00e7\u00e3o. Na pr\u00e1tica, cada ag\u00eancia ou \u00f3rg\u00e3os federais, dentro da mat\u00e9ria que possui compet\u00eancia origin\u00e1ria e gen\u00e9rica, tem desenvolvido normas para lidar com o problema da ciberseguran\u00e7a no seu setor.<\/p>\n
Al\u00e9m disso, o Gabinete de Seguran\u00e7a Institucional da Presid\u00eancia da Rep\u00fablica (GSI) tem compet\u00eancia para planejar, coordenar e supervisionar a atividade de cibern\u00e9tica em \u00e2mbito federal (artigo 8\u00ba, V, da Lei 14.600\/2023).<\/p>\n
Nesse contexto, j\u00e1 se observa pelo menos dois tipos de fragmenta\u00e7\u00e3o regulat\u00f3ria em ciberseguran\u00e7a: a vertical, com compet\u00eancia distribu\u00edda entre os diferentes n\u00edveis federativos, e a horizontal, com atribui\u00e7\u00f5es tem\u00e1ticas dispersas entre os \u00f3rg\u00e3os e ag\u00eancias por assunto.<\/p>\n
A fragmenta\u00e7\u00e3o regulat\u00f3ria n\u00e3o \u00e9 necessariamente disfuncional (Pav\u00e3o; Salinas; Vigar, 2021, 324), conforme ser\u00e1 apresentado na pr\u00f3xima se\u00e7\u00e3o. Contudo, pode ensejar efeitos adversos significativos, especialmente em mat\u00e9ria de ciberseguran\u00e7a. Entre os principais riscos est\u00e3o a inefici\u00eancia regulat\u00f3ria, o excesso de regula\u00e7\u00e3o e a exist\u00eancia de lacunas regulat\u00f3rias.<\/p>\n
Em cen\u00e1rios regulat\u00f3rios envolvendo bens comuns, como \u00e9 o caso da ciberseguran\u00e7a, h\u00e1 risco de neglig\u00eancia regulat\u00f3ria, o que resulta em omiss\u00f5es que possam comprometer a efic\u00e1cia da seguran\u00e7a de sistemas e redes (Buzbee, 2005). Outro ponto negativo \u00e9 a impossibilidade de qualquer ator regulador, isoladamente, possuir uma vis\u00e3o ampla o suficiente para considerar todos os custos e benef\u00edcios envolvidos nas decis\u00f5es, dado que cada atua apenas sobre parte do problema (Buzbee, 2005).<\/p>\n
A escolha sobre qual tipo de arranjo deve ser criado pode variar e depender de fatores pol\u00edticos; contudo \u00e9 interessante pontuar que a atribui\u00e7\u00e3o a esse arranjo n\u00e3o elimina a atua\u00e7\u00e3o dos demais \u00f3rg\u00e3os em n\u00edvel setorial. A abordagem regulat\u00f3ria deve seguir multifacetada, pois cada entidade regulat\u00f3ria det\u00e9m expertise em seu setor econ\u00f4mico e compreende de maneira mais aprofundada como tecnologias digitais est\u00e3o sendo aplicadas. Dessa forma, uma entidade regulat\u00f3ria consolidada pode supervisionar de forma mais efetiva os riscos cibern\u00e9ticos, considerando o contexto \u00fanico de seu setor.<\/p>\n
A especializa\u00e7\u00e3o setorial deve, todavia, ser acompanhada de expertise em ciberseguran\u00e7a. E, por isso, para que o Poder Executivo desempenhe uma fun\u00e7\u00e3o efetiva de coordena\u00e7\u00e3o regulat\u00f3ria entre os diversos atores que j\u00e1 produzem normas sobre ciberseguran\u00e7a e para promover a articula\u00e7\u00e3o nacional entre os diversos n\u00edveis federativos, seria necess\u00e1ria a cria\u00e7\u00e3o de um arranjo institucional para a governan\u00e7a.<\/p>\n
Dois elementos centrais devem ser considerados: a entidade deve atuar em n\u00edvel nacional e deve possuir compet\u00eancias regulat\u00f3rias abrangentes, como poderes normativos, fiscalizat\u00f3rios e sancionat\u00f3rios, al\u00e9m de compet\u00eancias de coordena\u00e7\u00e3o e articula\u00e7\u00e3o nacional. Tais compet\u00eancias, inclusive, foram reconhecidas como necess\u00e1rias pela nova E-Ciber no artigo 6\u00ba, II, do Decreto 12.573\/25.<\/p>\n
O Brasil j\u00e1 adota, desde a Reforma Gerencial do Estado, o modelo de ag\u00eancias reguladoras para a governan\u00e7a de pol\u00edticas p\u00fablicas em setores estrat\u00e9gicos. Trata-se de um arranjo institucional que privilegia o Estado Regulador, mais voltado \u00e0 normatiza\u00e7\u00e3o e ao monitoramento do que \u00e0 produ\u00e7\u00e3o de bens ou servi\u00e7os (Majone, 1998). Esse modelo possui caracter\u00edsticas importantes para aplica\u00e7\u00e3o no modelo de governan\u00e7a da ciberseguran\u00e7a, o que n\u00e3o significa estar isento de desafios[1]<\/a>.<\/p>\n As ag\u00eancias reguladoras s\u00e3o autarquias especiais dotadas de autonomia funcional, t\u00e9cnica e financeira, caracter\u00edsticas que as tornam aptas a atuar com maior grau de tecnicidade e estabilidade institucional, considerando que a ciberseguran\u00e7a deve ser um tema relacionado a pol\u00edtica de Estado. Essa independ\u00eancia \u00e9 garantida por uma autonomia refor\u00e7ada, prevista no artigo 3\u00ba da Lei 13.848\/19, e pela concess\u00e3o de garantias org\u00e2nicas, tais como inamovibilidade do dirigente, mandato por prazo certo, dentre outras.<\/p>\n A concentra\u00e7\u00e3o das fun\u00e7\u00f5es de governan\u00e7a em uma autoridade nacional facilitaria a coordena\u00e7\u00e3o entre os diversos setores que formam a rede de atores envolvidos no tema, tendo a capacidade de contribuir para a redu\u00e7\u00e3o da fragmenta\u00e7\u00e3o existente e harmoniza\u00e7\u00e3o do estoque regulat\u00f3rio.<\/p>\n Ao mesmo tempo, o referido arranjo teria compet\u00eancia para produzir padr\u00f5es m\u00ednimos de ciberseguran\u00e7a para setores que ainda n\u00e3o s\u00e3o regulados, desempenhar um papel de apoio, auxiliando as entidades reguladoras, bem como poderia atuar ativamente na promo\u00e7\u00e3o da literacia digital. Tais recomenda\u00e7\u00f5es v\u00e3o ao encontro dos incisos V e IX do artigo 6\u00ba da E-ciber\/25, que prev\u00ea a necessidade de ado\u00e7\u00e3o de padr\u00f5es m\u00ednimos de ciberseguran\u00e7a e o aprimoramento dos atos normativos relacionados a mat\u00e9ria.<\/p>\n \u00c0 disposi\u00e7\u00e3o desse arranjo institucional devem estar previstas ferramentas de coordena\u00e7\u00e3o regulat\u00f3ria, que podem assumir diferentes formatos. N\u00e3o existe um rol taxativo apontado pela literatura (Biber, 2008; Bradley, 2011). Entre os mecanismos formais, pode-se mencionar: (i) ferramentas de consulta, que s\u00e3o instrumentos usados quando uma ag\u00eancia precisa ouvir outra antes de agir, podendo ser obrigat\u00f3rios ou facultativos; (ii) acordos interag\u00eancias, instrumentos utilizados para definir responsabilidades e procedimentos entre ag\u00eancias, reduzindo conflitos entre ag\u00eancias com compet\u00eancias relacionadas; (iii) produ\u00e7\u00e3o normativa conjunta, ferramenta que gera normas com maior for\u00e7a jur\u00eddica e promove pol\u00edticas mais uniformes e diminui a possibilidade de conflitos t\u00e9cnicos; e, (iv) exist\u00eancia de um \u00f3rg\u00e3o supervisor, como \u00e9 o caso da OIRA, nos Estados Unidos, em que uma ag\u00eancia atua na revis\u00e3o e coordena\u00e7\u00e3o regulat\u00f3ria gerando ganhos de qualidade e efici\u00eancia (Rossi; Freeman, 2012).<\/p>\n Considerando os desafios postos, espera-se que, em um futuro pr\u00f3ximo, seja poss\u00edvel contemplar o estabelecimento de um marco regulat\u00f3rio de ciberseguran\u00e7a, com ado\u00e7\u00e3o do desenho institucional para a governan\u00e7a em n\u00edvel nacional que possa desenvolver mecanismos mais robustos para a coordena\u00e7\u00e3o em ciberseguran\u00e7a.<\/p>\n BIBER, Eric. Too Many Things to Do: How to Deal with the Dysfunctions of Multiple-Goal Agencies. SSRN Electronic Journal<\/strong>, 2008.<\/p>\n BRADLEY, Keith. The Design of Agency Interactions. Columbia Law Review<\/strong>, v. 111, n. 4, p. 745\u2013794, 2011.<\/p>\n BUZBEE, William W. The Regulatory Fragmentation Continuum, Westway, and the Challenges of Regional Growth<\/strong>. Rochester, NYSocial Science Research Network, , 10 nov. 2005. Dispon\u00edvel em: <https:\/\/papers.ssrn.com\/abstract=842145>. Acesso em: 6 ago. 2025<\/p>\n HANCHER, L.; MORAN, M. Organizing Regulatory Space. In<\/em>: BALDWIN, Robert; SCOTT, Colin; HOOD, Christopher (Orgs.). A Reader on Regulation<\/strong>. [S.l.]<\/em>: Oxford University Press, 1998. p. 0.<\/p>\n JORD\u00c3O, Eduardo; RIBEIRO, Maur\u00edcio Portugal. COMO DESESTRUTURAR UMA AG\u00caNCIA REGULADORA EM PASSOS SIMPLES. REI \u2013 REVISTA ESTUDOS INSTITUCIONAIS<\/strong>, v. 3, n. 1, p. 180\u2013209, 20 ago. 2017.<\/p>\n MAJONE, G. The Rise of the Regulatory State in Europe. In<\/em>: BALDWIN, Robert; SCOTT, Colin; HOOD, Christopher (Orgs.). A Reader on Regulation<\/strong>. [S.l.]<\/em>: Oxford University Press, 1998. p. 0.<\/p>\n MARISAM, Jason. Duplicative Delegations. Administrative Law Review<\/strong>, v. 63, n. 2, p. 181\u2013244, 2011.<\/p>\n PAV\u00c3O, Bianca Borges Medeiros; SALINAS, Natasha Schmitt Caccia; VIGAR, Thauany do Nascimento. Regula\u00e7\u00e3o das \u00e1guas: uma an\u00e1lise emp\u00edrica da produ\u00e7\u00e3o normativa dos \u00f3rg\u00e3os reguladores federais. Revista Brasileira de Pol\u00edticas P\u00fablicas<\/strong>, v. 11, n. 1, 2 abr. 2021.<\/p>\n ROSSI, Jim; FREEMAN, Jody. Agency Coordination in Shared Regulatory Space. Harvard Law Review<\/strong>, v. 125, 2012.<\/p>\n SALINAS, Natasha Schmitt Caccia. A INTERVEN\u00c7\u00c3O DO CONGRESSO NACIONAL NA AUTONOMIA DAS AG\u00caNCIAS REGULADORAS. REI \u2013 REVISTA ESTUDOS INSTITUCIONAIS<\/strong>, v. 5, n. 2, p. 586\u2013614, 6 out. 2019.<\/p>\nInforma\u00e7\u00f5es direto ao ponto sobre o que realmente importa: assine gratuitamente a JOTA<\/span> Principal, a nova newsletter do JOTA<\/span><\/a><\/h3>\n