Por Carlos Sampaio
O Projeto de Lei nº 4752, de 2025, institui o Marco Legal da Cibersegurança e o Programa Nacional de Segurança e Resiliência Digital . Essa iniciativa é crucial para preencher a lacuna de suporte legal e financeiro que historicamente afetou a Estratégia Nacional de Cibersegurança (E-Ciber) no Brasil. Com o aumento das ameaças cibernéticas, este novo arcabouço normativo estabelece diretrizes e mecanismos operacionais que impactam o ambiente de negócios e a governança pública.
A Estratégia Nacional de Cibersegurança, formalizada no programa, parte da ideia de que a resiliência nacional depende da cooperação entre o setor público, o setor privado e o terceiro setor. Essa colaboração é fundamental. Ela busca construir parcerias estratégicas e promover o compartilhamento de informações e boas práticas. O Marco Legal estabelece mecanismos que viabilizam essa integração. A adesão ao programa nacional de segurança e resiliência digital deve ser feita por organizações do setor privado e do terceiro setor, por meio de acordos de cooperação, convênios ou parcerias. A colaboração aderente traz benefícios, como acesso prioritário a programas de capacitação e sistemas de alerta.
Os benefícios da resiliência cibernética pela cooperação também podem desencadear acesso a recursos do Fundo Nacional de Segurança Pública (FNSP), destinados à cibersegurança, a serem utilizados em projetos de inovação e pesquisa. A articulação da E-Ciber inclui a participação do setor privado, da academia e da sociedade civil em conselhos e grupos de trabalho. Esses espaços são essenciais para construir consensos técnicos e harmonizar políticas, respeitando as regras de confidencialidade.
Contribuição da E-Ciber para a Competitividade
A E-Ciber pode transformar a cibersegurança em um diferencial competitivo para empresas brasileiras no mercado global. Ao exigir padrões de segurança, a legislação não deve ser vista apenas como um custo regulatório, mas como uma oportunidade de inovação e segurança jurídica para o ambiente de negócios. Quando as empresas implementam práticas robustas de cibersegurança, elas não apenas protegem seus ativos, mas também se posicionam como líderes confiáveis em seus setores. Isso gera atratividade negocial e convida players a o desenvolvimento de inovação, tecnologia e negócios em ambiente de segurança como diferencial competitivo.
A cibersegurança eficaz pode resultar em vantagens competitivas tangíveis. Empresas com altos padrões de segurança podem acessar novos mercados que exigem conformidade rigorosa, como o da União Europeia, que tem regulamentos estritos relacionados à proteção de dados e segurança cibernética. Isso não apenas aumenta a base de clientes, mas também melhora a reputação da empresa, estabelecendo-a como um modelo de melhores práticas em um cenário global cada vez mais competitivo.
Governança de Dados como Ativo Estratégico
A E-Ciber trata a governança de dados, tanto públicos quanto privados, como um ativo estratégico nacional. Isso implica que organizações que concentram grandes volumes de informações sensíveis devem adotar medidas rigorosas de proteção. Veja que há aqui uma relação de volume com medidas. A perspectiva é que o rigor legislativo acompanhe o tamanho do negócio, preservando custos de transação da inovação.
A gestão adequada dos dados fortalece a confiança do consumidor e protege a reputação corporativa. Em um mundo onde os dados são cada vez mais considerados o novo petróleo, garantir a integridade e a confidencialidade é vital para a continuidade dos negócios.
A governança de dados deve ser acompanhada de políticas claras e transparentes sobre como as informações são coletadas, armazenadas e utilizadas. Essa não é uma premissa inovadora, pois já temos regras de proteção de dados no arcabouço jurídico nacional. As organizações que implementam práticas éticas de governança de dados não apenas cumprem as exigências legais, mas também criam um valor agregado para seus clientes.
Em setores sensíveis, como é o caso da saúde e finanças, a confiança do usuário é fundamental. Portanto, a E-Ciber não apenas protege os dados, mas também promove um ambiente onde a transparência e a responsabilidade são valorizadas.
Inovação em Setores Dinâmicos
Há o risco de que a E-Ciber seja percebida como uma barreira à inovação em setores dinâmicos, como fintechs, healthtechs e govtechs. Esses setores, que dependem de agilidade e inovação constante, podem se sentir sobrecarregados por regulamentações que exigem conformidade rigorosa. Para equilibrar compliance e agilidade, é essencial que as regulamentações sejam flexíveis e adaptáveis. A colaboração entre reguladores e empresas pode facilitar a criação de um ambiente que fomente a inovação sem comprometer a segurança.
Uma abordagem colaborativa pode incluir a criação de “sandbox regulatórios”, onde startups e empresas inovadoras podem testar suas soluções em um ambiente controlado. Isso permite que as empresas experimentem novas ideias sem o medo de penalidades imediatas. Além disso, a regulamentação deve ser revista periodicamente, levando em consideração a evolução rápida das tecnologias e as novas ameaças cibernéticas. Dessa forma, a E-Ciber pode se tornar um facilitador da inovação em vez de um obstáculo.
Fomento a Inovações e Parcerias
A E-Ciber pretende fomentar a criação de fundos ou parcerias público-privadas voltadas para financiar inovações em segurança, especialmente para startups e deep techs. Essas iniciativas são importantes, pois a inovação em cibersegurança muitas vezes requer investimentos significativos e tempo para desenvolvimento. O apoio financeiro do governo pode ajudar a acelerar a pesquisa e o desenvolvimento de soluções inovadoras, criando um ecossistema favorável ao crescimento.
De fato as parcerias com instituições de pesquisa podem levar a descobertas significativas em cibersegurança. Ao conectar o setor privado com acadêmicos e pesquisadores, o Brasil pode se posicionar como um líder em inovação cibernética. Tais colaborações podem resultar em novos produtos e serviços que não apenas atendem às necessidades nacionais, mas também têm potencial para exportação, contribuindo para o crescimento econômico.
Certificação e Credibilidade
A estruturação do processo de criação e governança do selo nacional de certificação de ciberativos de alto nível de segurança deve garantir legitimidade e credibilidade no cenário internacional. Para que o selo seja efetivo, é crucial que os critérios de certificação sejam estabelecidos com base em padrões reconhecidos globalmente. Isso permitirá que empresas brasileiras demonstrem sua conformidade com as melhores práticas internacionais, aumentando sua competitividade no exterior.
A transparência no processo de certificação é essencial. As organizações devem ser informadas sobre os requisitos e o processo de avaliação de forma clara e acessível. Neste ponto o aspecto concorrencial também é fundamental. Os mecanismos de certificação não podem ser indutores da criação de monopólios econômicos que aproveitam oportunidade indutora de política pública para ganhos exponenciais. Aqui, como já dito, o aspecto colaborativo entre instituições públicas e privadas é fundamental, assim como a destacada atuação do Conselho de Defesa Econômica brasileiro como órgão vigilante da liberdade concorrencial nacional
Quanto a criação de um órgão independente para gerenciar a certificação é possível que aumente a confiança no selo. É importante, no entanto, que se discutam os custos para que o destaque a ser oferecido no mercado seja uniforme, transparente e transversal.
Governança Corporativa e Maturidade Cibernética
A efetividade do Marco Legal e do Programa Nacional de Segurança e Resiliência Digital depende, em grande medida, da capacidade das organizações de traduzirem as diretrizes públicas da eCIBER em práticas concretas de governança corporativa. A segurança cibernética, quando incorporada à estrutura de gestão, deixa de ser um componente meramente técnico e passa a integrar o próprio modelo de negócios, um ativo de confiança, reputação e competitividade. Nesse contexto, frameworks consolidados como ISO/IEC 27001, ISO/IEC 27701, NIST Cybersecurity Framework, CIS Controls e OWASP SAMM oferecem um léxico comum e metodologias testadas para estruturar políticas, definir controles, priorizar investimentos e mensurar resultados.
Esses frameworks são mais do que referências técnicas de reputação confirmada: funcionam como instrumentos de governança estratégica, alinhando a segurança à gestão de riscos corporativos e aos objetivos de negócio. A partir deles, é possível identificar lacunas, estabelecer prioridades e construir planos de ação que evoluam de forma contínua e mensurável. Assim, a eCIBER ganha expressão prática, transformando-se em um mecanismo de gestão e responsabilidade executiva, com indicadores tangíveis, gerenciamento mensurável e processos auditáveis.
Um modelo nacional de maturidade cibernética, interoperável com frameworks internacionais, pode servir como bússola prática para orientar organizações de diferentes portes e setores na implementação das diretrizes da eCIBER. Esse modelo poderia se inspirar na estrutura de Tiers, semelhante à adotada pelo NIST Cybersecurity Framework (NIST CSF), que classifica o grau de maturidade de uma organização de acordo com a formalização de seus processos e sua capacidade de resposta a riscos. Os níveis variam de um estágio Inicial ou Parcial, em que as práticas são reativas e pouco padronizadas, até um estágio Adaptativo ou Resiliente, no qual a segurança está plenamente integrada à estratégia corporativa e aos processos de negócio.
Ao aplicar o conceito de Tiers ao contexto brasileiro, seria possível definir padrões de referência proporcionais ao porte, ao setor e à criticidade dos ativos de cada organização, permitindo que micro e pequenas empresas evoluam de forma gradativa, sem sobrecarga regulatória, enquanto grandes instituições alcancem patamares mais exigentes de controle e governança. Essa abordagem progressiva promoveria harmonização nacional e reconhecimento internacional, evitando a fragmentação de esforços e reduzindo custos de conformidade. Além disso, possibilitaria ao governo e aos órgãos de coordenação da eCIBER mensurar a maturidade do ecossistema nacional como um todo, estabelecendo indicadores de evolução setorial e incentivando investimentos públicos e privados alinhados ao aumento da resiliência digital do país.
A maturidade cibernética pode ser observada em dimensões complementares:
- Governança: estrutura decisória clara, com papéis e responsabilidades definidos (como o Executivo Chefe de Segurança Cibernética e da Informação, ou CISO, e o Comitê de Segurança da Informação), políticas aprovadas pela alta direção e integração entre segurança, conformidade e auditoria.
- Gestão de riscos: inventário de ativos, classificação de criticidade, avaliação contínua de ameaças e vulnerabilidades, planos de tratamento e indicadores de exposição.
- Controles técnicos: proteção de identidades e acessos, criptografia, gestão de vulnerabilidades, backup e recuperação, monitoramento contínuo e resposta a incidentes.
- Privacidade e dados: governança alinhada à Lei Geral de Proteção de Dados (LGPD), controle de fluxos de dados, políticas de retenção e mecanismos de minimização de exposição.
- Cultura e capacitação: treinamento contínuo, campanhas de conscientização e exercícios práticos, medindo o engajamento e a eficácia das ações educativas.
Essas dimensões podem ser mensuradas em níveis de maturidade: inicial, gerenciado, integrado e resiliente, que refletem o grau de institucionalização das práticas. O uso de indicadores-chave de desempenho (KPIs) e indicadores de risco (KRIs) permite acompanhar a evolução de forma objetiva. Exemplos incluem o tempo médio de detecção e resposta a incidentes (MTTD/MTTR), a taxa de remediação de vulnerabilidades críticas dentro do prazo, a cobertura de autenticação multifator em contas sensíveis e o percentual de sistemas com backup testado e validado periodicamente. Esses indicadores dão visibilidade à alta direção e fortalecem o alinhamento entre segurança, conformidade e desempenho organizacional, garantindo visibilidade na cultura de melhoria contínua.
A adoção sistemática desses mecanismos de governança traz benefícios concretos. Empresas que demonstram maturidade cibernética comprovada passam a ter melhores condições de acesso a seguros, linhas de crédito e certificações, uma vez que exibem dados e evidências de controle. Além disso, a precificação de seguros cibernéticos pode se tornar mais justa e baseada em métricas de risco real, criando incentivos econômicos para a melhoria contínua. A própria certificação nacional de ciberativos, prevista no Marco Legal, ganha legitimidade quando respaldada por métricas de maturidade reconhecidas e comprovadas internacionalmente.
É importante destacar que a governança cibernética não é apenas um conjunto de procedimentos, mas um processo cultural que envolve todos os níveis da organização. A segurança precisa ser percebida como uma extensão natural da estratégia corporativa e não como um entrave à inovação. Nesse sentido, a eCIBER pode servir de catalisadora para uma nova mentalidade: aquela em que o investimento em cibersegurança é entendido como investimento em resiliência, confiança e valor de marca.
Ao incorporar frameworks de referência, medir resultados e promover melhoria contínua, o Brasil cria as condições para consolidar um ecossistema de governança cibernética robusto, competitivo e internacionalmente reconhecido. É assim que a eCIBER deixa de ser apenas uma política pública e se transforma em uma ferramenta de gestão estratégica nacional, capaz de sustentar a confiança digital e fortalecer a posição do país na economia global.
Seguros contra Incidentes Cibernéticos
A contratação de seguros contra incidentes cibernéticos pode evoluir para um requisito obrigatório em setores críticos. Isso é especialmente relevante em um cenário em que os custos associados a incidentes de segurança estão aumentando. Para garantir a eficácia dessa abordagem, é necessário estabelecer parâmetros claros, como a avaliação de risco e a adequação das coberturas aos diferentes contextos setoriais. Esses critérios devem ser definidos em colaboração com especialistas do setor, garantindo que as soluções sejam práticas e viáveis.
A educação das empresas sobre a importância da proteção contra incidentes cibernéticos é fundamental. Muitas vezes, as organizações não percebem o valor de um seguro até que enfrentam um incidente. Campanhas de conscientização podem ajudar a enfatizar a importância de estar preparado e protegido. Assim, a evolução da obrigatoriedade dos seguros pode ser acompanhada por um esforço educativo que prepare as empresas para enfrentar os desafios da cibersegurança.
A cogência de regulamentação securitária que garanta sanidade e segurança no mercado é fundamental para cobrir eventuais ocorrências de risco e socorro às vítimas de eventuais ataques cibernéticos.
Autonomia das Agências Reguladoras
O grau de autonomia das agências reguladoras para definir padrões setoriais de segurança deve ser suficientemente robusto para garantir a eficácia, mas também deve permitir a harmonia entre diferentes setores, como energia e telecomunicações. A cooperação interagências será crucial para resolver divergências e garantir decisões rápidas. Isso implica que as agências precisam trabalhar juntas desde o início para desenvolver um entendimento comum e evitar regulamentações conflitantes.
A primeira ideia seria criar uma agência reguladora de cibersegurança no Brasil que centralizasse o controle e garantisse respostas rápidas. A dificuldade tem duas questões que precisam ser organizadas. A primeira é o possível aumento do custo de transação para eventuais adequações que sombreiam com regulamentações preexistentes e finalísticas como é o caso da ANTT, ANEEL, ou ANA por exemplo. A segunda é o conhecido problema orçamentário dos sucessivos governos que precisam se equilibrar em equações fiscais comumente deficitárias.
Há no PL a alternativa de criar um fórum interagências como solução eficaz para promover a colaboração entre regulaladores. Esse fórum pode facilitar a troca de informações, experiências e melhores práticas entre as agências. Além disso, deve incluir representantes de setores privados e acadêmicos, garantindo que as regulamentações sejam informadas por uma ampla base de conhecimento. Com essa abordagem, as agências reguladoras poderão definir padrões que atendam às necessidades de segurança, sem comprometer a eficiência operacional.
Padrão Nacional de Interoperabilidade
Um padrão nacional de interoperabilidade em cibersegurança deve ser estabelecido de forma a ser robusto e inclusivo para empresas com diferentes níveis de maturidade tecnológica. Isso é essencial para garantir que pequenas e médias empresas possam integrar-se ao ecossistema de cibersegurança sem enfrentar barreiras excessivas. Diretrizes claras e flexíveis permitirão que empresas de diferentes tamanhos adotem práticas de segurança adequadas ao seu contexto.
Além disso, a criação de um suporte técnico acessível, como consultorias ou workshops, pode ajudar as empresas a entender e implementar os padrões de interoperabilidade. Isso não apenas facilita a adesão, mas também promove um ambiente colaborativo onde as empresas podem aprender umas com as outras. Com um padrão nacional que seja inclusivo e acessível, o Brasil pode avançar significativamente na construção de uma infraestrutura de cibersegurança mais forte e resiliente.
Integração com Frameworks Internacionais
Um modelo brasileiro de maturidade em cibersegurança deve dialogar com frameworks internacionais, como NIST, ISO ou CIS. Essa integração pode fornecer uma base sólida para o desenvolvimento de políticas nacionais e facilitar a colaboração internacional. Ao alinhar as práticas nacionais com padrões globais, o Brasil pode se beneficiar de experiências e conhecimentos já estabelecidos, evitando a reinvenção da roda.
Além disso, a integração com frameworks internacionais pode facilitar a participação do Brasil em iniciativas globais de cibersegurança. Isso inclui colaboração em pesquisas, intercâmbio de informações sobre ameaças e desenvolvimento conjunto de soluções. Com uma abordagem proativa, o Brasil pode se tornar um membro ativo na comunidade internacional de cibersegurança, contribuindo para a segurança global e, ao mesmo tempo, aprimorando suas práticas internas.
Inclusão de Micro e Pequenas Empresas
Para micro e pequenas empresas (MPEs), a adesão à E-Ciber deve ser facilitada para não causar sobrecarga regulatória. Muitas dessas empresas operam com recursos limitados e podem não ter acesso a especialistas em cibersegurança. Portanto, é fundamental desenvolver diretrizes que sejam adaptáveis às suas capacidades. Isso pode incluir a simplificação dos requisitos de conformidade e a oferta de recursos acessíveis que ajudem na implementação de práticas de segurança.
Além disso, iniciativas de capacitação e conscientização devem ser promovidas para equipar as MPEs com as ferramentas necessárias para atender às diretrizes da E-Ciber. Programas de treinamento e workshops podem ajudar a criar uma cultura de segurança desde o início. Dessa forma, mesmo as empresas menores poderão aderir às melhores práticas de cibersegurança, contribuindo para um ambiente de negócios mais seguro e robusto.
Conclusão
O Marco Legal da Cibersegurança e o Programa Nacional de Segurança e Resiliência Digital representam um avanço significativo na proteção dos ativos digitais e na promoção da segurança cibernética no Brasil. A implementação eficaz dessas diretrizes não apenas mitigará os riscos cibernéticos, mas também criará um ambiente mais favorável à inovação e ao crescimento econômico. Ao transformar a cibersegurança em um diferencial competitivo, o Brasil pode se destacar no cenário global e atrair investimentos que são essenciais para o desenvolvimento de um mercado digital robusto.
Entretanto, o sucesso dessa iniciativa dependerá da colaboração efetiva entre todos os setores envolvidos. O engajamento do setor público, privado e da sociedade civil será fundamental para garantir que as diretrizes sejam adaptativas e inclusivas. Assim, será possível construir uma infraestrutura de cibersegurança que não apenas proteja os dados e sistemas, mas também promova a confiança e a transparência nas relações comerciais e sociais. O futuro da cibersegurança no Brasil depende da capacidade de todos os atores em trabalharem juntos para criar um ecossistema de segurança que seja resiliente e inovador.
Carlos Sampaio é Líder do GT Cybersecurity da ABES
