{"id":20567,"date":"2026-02-22T06:05:13","date_gmt":"2026-02-22T09:05:13","guid":{"rendered":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2026\/02\/22\/o-bom-o-mau-e-o-feio-do-pl-4752-25\/"},"modified":"2026-02-22T06:05:13","modified_gmt":"2026-02-22T09:05:13","slug":"o-bom-o-mau-e-o-feio-do-pl-4752-25","status":"publish","type":"post","link":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2026\/02\/22\/o-bom-o-mau-e-o-feio-do-pl-4752-25\/","title":{"rendered":"O bom, o mau e o feio do PL 4752\/25"},"content":{"rendered":"

Desde 2014 houve um crescimento constante e preocupante<\/span><\/a> no n\u00famero de incidentes cibern\u00e9ticos divulgados publicamente no mundo, sendo a regi\u00e3o da Am\u00e9rica Latina e Caribe a que apresentou a maior taxa de crescimento regional da \u00faltima d\u00e9cada, em torno de 25% ao ano. Esses n\u00fameros mostram que o problema n\u00e3o \u00e9 apenas t\u00e9cnico, \u00e9 estrutural e sist\u00eamico e exigir\u00e1 respostas regulat\u00f3rias e institucionais que deem conta da escala e da diversidade das amea\u00e7as.<\/p>\n

O PL 4752 de 2025 surge diante de um cen\u00e1rio em que ataques deixam de ser eventos excepcionais e passam a integrar o funcionamento ordin\u00e1rio das infraestruturas digitais p\u00fablicas e privadas. Contudo, o desafio n\u00e3o est\u00e1 apenas em criar novas obriga\u00e7\u00f5es formais, mas em converter a resposta normativa em capacidade efetiva de preven\u00e7\u00e3o, detec\u00e7\u00e3o e recupera\u00e7\u00e3o.<\/p>\n

Conhe\u00e7a o JOTA<\/span> PRO Poder, plataforma de monitoramento que oferece transpar\u00eancia e previsibilidade para empresas<\/span><\/a><\/p>\n

Ao concentrar na lei os objetivos, princ\u00edpios e deveres estruturantes e deslocar a especifica\u00e7\u00e3o operacional para atos infralegais, o texto cria espa\u00e7o para uma regula\u00e7\u00e3o progressiva, capaz de acompanhar a evolu\u00e7\u00e3o das amea\u00e7as e das arquiteturas digitais.<\/p>\n

Esse desenho \u00e9 relevante porque reconhece que ciberseguran\u00e7a<\/a> n\u00e3o se regula de forma homog\u00eanea, ou seja, sistemas cr\u00edticos, servi\u00e7os essenciais e bases de dados sens\u00edveis demandam n\u00edveis distintos de exig\u00eancia, prazos e mecanismos de supervis\u00e3o.<\/p>\n

Contudo o PL dedica pouca aten\u00e7\u00e3o \u00e0 mensura\u00e7\u00e3o de capacidades concretas de preven\u00e7\u00e3o, detec\u00e7\u00e3o e resposta. Regula\u00e7\u00f5es modernas de ciberseguran\u00e7a t\u00eam avan\u00e7ado no sentido de avaliar resultados e n\u00e3o apenas processos. Exerc\u00edcios de resposta a incidentes, testes peri\u00f3dicos, m\u00e9tricas de tempo de recupera\u00e7\u00e3o e simula\u00e7\u00f5es de crise s\u00e3o exemplos de instrumentos que permitem verificar se a governan\u00e7a declarada corresponde \u00e0 resili\u00eancia efetiva.<\/p>\n

Corre-se o risco de, inadvertidamente, valorizar demais evid\u00eancia formal de conformidade em detrimento da capacidade operacional de resistir a ataques, isso porque embora o art. 3\u00ba liste diretrizes louv\u00e1veis como a \u201cpreven\u00e7\u00e3o e mitiga\u00e7\u00e3o de riscos\u201d e a \u201cresposta coordenada\u201d, o texto poderia ser mais assertivo ao incorporar princ\u00edpios de arquitetura moderna. A tr\u00edade cl\u00e1ssica de confidencialidade, integridade e disponibilidade \u00e9 insuficiente para sistemas cr\u00edticos se n\u00e3o vier acompanhada de pilares como autentica\u00e7\u00e3o forte, autoriza\u00e7\u00e3o e n\u00e3o rep\u00fadio.<\/p>\n

O texto tamb\u00e9m perde a oportunidade de estabelecer balizas claras para a arquitetura de seguran\u00e7a esperada do setor p\u00fablico e de operadores de servi\u00e7os essenciais. N\u00e3o se trata de impor tecnologias espec\u00edficas, mas de reconhecer princ\u00edpios estruturantes amplamente consolidados, como autentica\u00e7\u00e3o robusta, segrega\u00e7\u00e3o de privil\u00e9gios, registro audit\u00e1vel de eventos e redu\u00e7\u00e3o sistem\u00e1tica de superf\u00edcies de ataque. A aus\u00eancia dessas refer\u00eancias enfraquece a capacidade da autoridade de construir normas coerentes e compar\u00e1veis ao longo do tempo.<\/p>\n

Outro ponto sens\u00edvel est\u00e1 na rela\u00e7\u00e3o entre regula\u00e7\u00e3o e pesquisa em seguran\u00e7a. Um ambiente normativo que n\u00e3o distingue adequadamente atividades maliciosas de pr\u00e1ticas respons\u00e1veis de identifica\u00e7\u00e3o e reporte de vulnerabilidades cria incentivos perversos. A seguran\u00e7a coletiva depende, em larga medida, da atua\u00e7\u00e3o de pesquisadores independentes, equipes de resposta e programas de divulga\u00e7\u00e3o respons\u00e1vel. Ignorar esse ecossistema equivale a reduzir a visibilidade sobre falhas estruturais e aumentar a probabilidade de explora\u00e7\u00e3o silenciosa.<\/p>\n

Nesse contexto, pa\u00edses como o Chile (Lei 21.663\/2024) e Portugal (novo Art. 8\u00ba-A da Lei do Cibercrime) avan\u00e7am ao despenalizar o \u201chacking \u00e9tico\u201d \u2013 a pesquisa de vulnerabilidades com reporte respons\u00e1vel, criando um espa\u00e7o jur\u00eddico seguro para a coopera\u00e7\u00e3o entre pesquisadores, operadores e autoridades p\u00fablicas, fortalecendo a preven\u00e7\u00e3o e reduzindo riscos sist\u00eamicos.<\/p>\n

H\u00e1 ainda o desafio da governan\u00e7a na cadeia de suprimentos. Os arts. 13 e 14 exigem a avalia\u00e7\u00e3o de riscos de terceiros e a demonstra\u00e7\u00e3o de conformidade de solu\u00e7\u00f5es tecnol\u00f3gicas. Obriga\u00e7\u00f5es lineares impostas a fornecedores com capacidades e n\u00edveis de exposi\u00e7\u00e3o distintos tendem a gerar inefici\u00eancias e concentra\u00e7\u00e3o de mercado.<\/p>\n

Regula\u00e7\u00e3o baseada em risco exige diferencia\u00e7\u00e3o por criticidade, depend\u00eancia sist\u00eamica e maturidade t\u00e9cnica. Sem isso, o resultado pode ser a exclus\u00e3o de fornecedores nacionais e o refor\u00e7o de depend\u00eancias tecnol\u00f3gicas externas, justamente em um campo sens\u00edvel \u00e0 soberania digital.<\/p>\n

Por fim, a coordena\u00e7\u00e3o entre \u00f3rg\u00e3os p\u00fablicos permanece como um desafio estrutural. A multiplicidade de autoridades com compet\u00eancias sobrepostas, aliada \u00e0 aus\u00eancia de mecanismos claros de interoperabilidade informacional, compromete a efic\u00e1cia da resposta estatal.<\/p>\n

Em cen\u00e1rios de incidentes em larga escala, a fragmenta\u00e7\u00e3o n\u00e3o \u00e9 apenas ineficiente, ela se torna um fator adicional de vulnerabilidade. Modelos fragmentados de governan\u00e7a tem o potencial de dificultar<\/a> a articula\u00e7\u00e3o de resposta coordenada e a tomada de decis\u00e3o r\u00e1pida durante incidentes cibern\u00e9ticos, porque multiplicam pontos de controle e reduzem a clareza sobre pap\u00e9is e fluxo de informa\u00e7\u00e3o.<\/p>\n

No \u00e2mbito do Poder Executivo, discute-se atualmente, na Casa Civil<\/a>, o modelo da autoridade respons\u00e1vel pela Pol\u00edtica Nacional de Ciberseguran\u00e7a. Para que o marco legal produza efeitos concretos, esse desenho precisa avan\u00e7ar de forma coordenada com o PL 4752, em trilhas ortogonais e complementares, evitando tanto a captura excessiva do texto legal por solu\u00e7\u00f5es administrativas contingentes quanto a cria\u00e7\u00e3o de uma autoridade desconectada das balizas normativas definidas pelo Congresso.<\/p>\n

Vale lembrar que o debate sobre modelos de governan\u00e7a n\u00e3o \u00e9 restrito ao caso brasileiro. Pa\u00edses que passaram por processos similares de desenvolvimento de marcos regulat\u00f3rios em ciberseguran\u00e7a enfrentaram tens\u00f5es entre m\u00faltiplas autoridades com mandatos sobre prote\u00e7\u00e3o de dados, seguran\u00e7a de infraestruturas cr\u00edticas, defesa nacional e regula\u00e7\u00e3o setorial.<\/p>\n

Na Uni\u00e3o Europeia e seu sistema de governan\u00e7a multin\u00edvel, a Diretiva sobre Seguran\u00e7a de Redes e Informa\u00e7\u00e3o evoluiu para o Regulamento NIS2, aprovado em 2024, justamente porque a vers\u00e3o original da NIS mostrou lacunas de coordena\u00e7\u00e3o entre os Estados-membros e entre autoridades setoriais<\/a>. A NIS2 estabelece estruturas nacionais de ciberseguran\u00e7a com pap\u00e9is claros, mas exige que cada Estado-membro adote \u00f3rg\u00e3os com compet\u00eancia centralizada para coordena\u00e7\u00e3o de incidentes, notifica\u00e7\u00e3o e supervis\u00e3o uniforme.<\/p>\n

Na Austr\u00e1lia, o Autoridade de Seguran\u00e7a Cibern\u00e9tica da Austr\u00e1lia (Australian Cyber Security Centre) tamb\u00e9m foi estabelecida com a miss\u00e3o de integrar capacidades de resposta, investiga\u00e7\u00e3o e pol\u00edtica de ciberseguran\u00e7a com vistas a combater as limita\u00e7\u00f5es que uma governan\u00e7a fragmentada gerava<\/a> para a resposta nacional a incidentes complexos, levando ao redesenho institucional que consolidou fun\u00e7\u00f5es antes dispersas por ag\u00eancias diversas.<\/p>\n

A experi\u00eancia internacional mostra que pa\u00edses que enfrentaram esse desafio com seriedade optaram por modelos de governan\u00e7a integrados, regula\u00e7\u00e3o baseada em risco e autoridades com capacidade t\u00e9cnica real de articula\u00e7\u00e3o.<\/p>\n

Assine gratuitamente a newsletter \u00daltimas Not\u00edcias do JOTA<\/span> e receba as principais not\u00edcias jur\u00eddicas e pol\u00edticas do dia no seu email<\/span><\/a><\/p>\n

Desse modo, o desafio regulat\u00f3rio est\u00e1 em estruturar capacidades institucionais capazes de operar sob press\u00e3o, com clareza de pap\u00e9is, interoperabilidade informacional e tomada de decis\u00e3o coordenada. Marcos legais que privilegiam conformidade formal, fragmentam compet\u00eancias ou deixam indefinida a arquitetura de governan\u00e7a tendem a falhar justamente quando mais s\u00e3o necess\u00e1rios.<\/p>\n

O PL 4752 representa uma oportunidade relevante para reorganizar a resposta estatal \u00e0 ciberseguran\u00e7a, mas seu sucesso depender\u00e1 menos da extens\u00e3o das obriga\u00e7\u00f5es previstas e mais da qualidade do desenho institucional que sustenta sua implementa\u00e7\u00e3o.<\/p>\n

O sucesso, por\u00e9m, depende de um c\u00e1lculo pol\u00edtico e regulat\u00f3rio complexo. E, como sempre em ciberseguran\u00e7a, o aprendizado mais caro \u00e9 o que vem depois do incidente.<\/p>","protected":false},"excerpt":{"rendered":"

Desde 2014 houve um crescimento constante e preocupante no n\u00famero de incidentes cibern\u00e9ticos divulgados publicamente no mundo, sendo a regi\u00e3o da Am\u00e9rica Latina e Caribe a que apresentou a maior taxa de crescimento regional da \u00faltima d\u00e9cada, em torno de 25% ao ano. Esses n\u00fameros mostram que o problema n\u00e3o \u00e9 apenas t\u00e9cnico, \u00e9 estrutural […]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/20567"}],"collection":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/comments?post=20567"}],"version-history":[{"count":0,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/20567\/revisions"}],"wp:attachment":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/media?parent=20567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/categories?post=20567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/tags?post=20567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}