Diante da necessidade de promover a transformação digital como agente de desenvolvimento e endereçar os riscos de cibersegurança, na sua concepção mais abrangente e diversas dimensões, diferentes políticas públicas vêm sendo elaboradas ao longo das últimas duas décadas, as quais são destacadas nesta primeira parte do artigo
Nesse contexto, Barbara Marchiori de Assis –Gerente de Transformação Cibernética e Estratégica da Deloitte, com experiência em apoiar países na melhoria de suas capacidades em cibersegurança – e Vanessa Cravo
Especialista em Regulação de Telecomunicações, atuando na Anatel desde 2005, com formação jurídica e doutorado em Estudos Estratégicos Internacionais pela UFRGS, com foco em pesquisa em segurança cibernética – destacam como importantes as publicações do Livro Verde: segurança cibernética no Brasil de 2010; da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015/2018 em 2015; da Política Nacional de Segurança da Informação de 2018; da Estratégia Nacional de Segurança Cibernética (E-Ciber) de 2020; a criação da Rede Federal de Gestão e Incidentes Cibernéticos de 2021; e, mais recentemente, a aprovação da Política Nacional de Cibersegurança (PNCiber) de 2023, além de diversos outros instrumentos relacionados abordando segurança de infraestruturas críticas, defesa nacional e proteção de dados.
Essas políticas são necessárias diante de uma realidade cada vez mais complexa e dinâmica de ameaças e ataques, focados inclusive nas infraestruturas críticas nacionais e utilizados largamente em conflitos interestatais.
A PNCiber estabeleceu os princípios, objetivos e instrumentos da política e instituiu o Comitê Nacional de Cibersegurança (CNCiber), no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber.
O CNCiber possui composição multissetorial, com 15 membros representando a Administração Pública Federal, 1 representante do Comitê Gestor da Internet no Brasil e 9 assentos destinados à representação institucionalizada da sociedade, especificamente em três grupos, com 3 assentos cada: sociedade civil, instituições científicas, tecnológicas e de inovação, e setor empresarial, baseados na pertinência temática.
O CNCiber é presidido pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e pode instituir grupos de trabalho temáticos (GTT). Inicialmente, foram instituídos três, com foco (i) na atualização da Estratégia Nacional de Cibersegurança; (ii) na elaboração de proposta de criação de Órgão de Governança da Atividade de Cibersegurança no Brasil; e (iii) na definição de parâmetros para a atuação internacional do Brasil em cibersegurança.
A Ata da última reunião ordinária do CNCiber, realizada em 9 de abril de 2025,confirma a finalização do trabalho do GTT destinado a propor o modelo institucional para realizar a governança de cibersegurança no país, com a apresentação de três propostas distintas de autoridade: agência reguladora, autarquia não especial e secretaria de governo.
Os debates refletidos na Ata esclarecem que as propostas não são análogas, e há clara preferência dos representantes da sociedade civil pelo modelo institucional de agência reguladora e/ou autarquia não especial. As três propostas foram enviadas à Casa Civil para análise jurídica e de governo para posterior deliberação sobre o encaminhamento pelo CNCiber.
Na mesma reunião foram aprovados quatro novos GTTs para: (i) elaboração de Plano Nacional de Cibersegurança; (ii) identificação ou elaboração de materiais educativos de cibersegurança e de estratégias de divulgação; (iii) elaboração de guia para provedores e operadores de serviços essenciais e de infraestruturas críticas, e (iv) elaboração de guia para a criação e operação de Centros de Análise e Compartilhamento de Informações (Information Sharing and Analysis Centers).
A edição da PNCiber e a instituição do CNCiber são um importante marco no desenvolvimento das capacidades brasileiras, especialmente o reconhecimento da característica multissetorial do tema, refletida na composição do Comitê. No entanto, deve-se destacar que, como política pública federal, a fragmentação da resposta institucional no país permanece e não pode ser resolvida sem uma lei que estabeleça um marco nacional de cibersegurança e uma instituição nacional.
A aprovação da PNCiber por decreto presidencial foi precedida, em 2023, por uma tentativa liderada pelo GSI de apresentação de projeto de lei buscando instituir essa política e um sistema nacional de cibersegurança, com a criação de uma agência reguladora de cibersegurança. A minuta foi objeto de audiência pública, recebendo contribuições dos setores público e privado, sociedade civil e academia. Entretanto, o resultado foi a aprovação da PNCiber por decreto e o diferimento da discussão de criação de uma entidade para o âmbito do CNCiber.
O racional para a demanda por uma lei e uma instituição nacional é muito claro: a relevância do tema é tamanha que exige que todos os entes da federação, todos os poderes, setor privado e toda a sociedade sejam abarcados por um marco que estabeleça princípios, direitos e deveres associados à promoção da cibersegurança no país.
Para ilustrar essa premissa, pode-se imaginar o caos que a indisponibilidade do meio de pagamento mais utilizado pelos brasileiros, o Pix, causaria, não apenas ao sistema financeiro como um todo, mas ao setor privado e à população brasileira.
Adicionalmente, é necessária a criação de uma instituição que tenha a atribuição legal e os recursos necessários para a implementação desse marco, sendo imprescindível que possua as competências necessárias de coordenação e articulação nacional, bem como de normatização, acompanhamento e controle.
Cibersegurança não é um problema do governo federal. Cibersegurança e a Resiliência Cibernética são temas de Estado, que ultrapassam governos e mandatos. São temas que abarcam dimensões como crimes cibernéticos e defesa nacional, mas também o cotidiano da população brasileira que utiliza a tecnologia para comunicação, educação, lazer, trabalho, serviços públicos e fruição de diversos outros direitos e garantias fundamentais. São temas estratégicos que demandam, no sistema jurídico brasileiro, lei aprovada pelo Parlamento e uma entidade com as competências e recursos para implementar a lei e as políticas públicas estabelecidas.
O trabalho dos GTTs iniciais do CNCiber e a criação de novos grupos apontam para um aumento da priorização no tema no âmbito do governo federal com o suporte das diversas entidades que integram o Comitê. O tema também ganhou relevância no Congresso Nacional, com a criação da Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética, no final de março, e instalação dos trabalhos no final de maio deste ano.
Embora o contexto político e a questão fiscal preocupem, os impactos da inação são catastróficos. Para além do risco à soberania nacional, o Cybersecurity Ventures estimava já em 2020 custos econômicos anuais na ordem de US$ 10,5 trilhões; e o Banco Mundial aponta a perda de quase 2,4% do PIB da Costa Rica em face do ataque de ransomware sofrido em 2022. No contexto americano, o Government Accountability Office estimou entre US$ 233 bilhões a US$ 521 bilhões as perdas anuais do governo federal devido a fraudes. O Brasil vive um momento ímpar para pensar e construir um modelo nacional para promover a cibersegurança do ecossistema digital que considere a nossa realidade a atenda aos nossos interesses, com a convergência da prioridade do tema emergindo no âmbito dos Poderes Executivo e Legislativo.
O tema precisa ser tratado com a seriedade que merece e demanda. A fim de contribuir para essa reflexão, traremos, no próximo artigo, a experiência chilena e as principais lições aprendidas, visto que o Chile foi o primeiro país na América Latina a aprovar seu marco legal e a criar uma agência nacional.
