Acompanhe-nos nas redes sociais: A Assespro-PR é uma associação civil de direito privado, sem fins lucrativos

CNCiber | Publicada minuta da Lei Geral de Cibersegurança

O Comitê Nacional de Cibersegurança (CNCiber) publicou a minuta da Lei Geral de Cibersegurança. O texto estabelece princípios, diretrizes e regras para a cibersegurança no Brasil e institui o Sistema Nacional de Cibersegurança.

  • Destacamos que o Capítulo VI que deve tratar da criação ou designação do órgão responsável por exercer a função de Autoridade Nacional de Cibersegurança, indicando sua posição como instância central de governança no tema em âmbito nacional. – Contudo, o documento não explicita qual será o órgão competente.

A MINUTA

O dispositivo estabelece, de forma estruturada, os conceitos centrais da minuta da Lei Geral de Cibersegurança e consolida a definição de serviços essenciais, compreendendo setores críticos cuja interrupção pode gerar impactos sistêmicos relevantes para a sociedade e o Estado, incluindo comunicações, defesa nacional e defesa civil, educação, energia, atividades espaciais, sistema financeiro, governo digital, infraestruturas digitais, produção e distribuição de medicamentos e alimentos, proteção ambiental, setor nuclear, saneamento urbano, saúde, segurança pública, justiça e transportes.

Estabelece que a promoção da cibersegurança no Brasil é orientada pelos seguintes princípios:

  • soberania nacional, a autonomia tecnológica e a priorização dos interesses nacionais;
  • inclusão digital e a educação em cibersegurança;
  • apuração, a prevenção e a repressão de ciberincidentes e ciberataques, em especial quando dirigidos a serviços essenciais e infraestruturas críticas nacionais;
  • cooperação entre órgãos e entidades, públicas e privadas, nacionais e internacionais, em matéria de cibersegurança;
  • desenvolvimento econômico, científico, tecnológico e a inovação; e
  • livre iniciativa e a livre concorrência.

No contexto das ações de promoção da cibersegurança no Brasil, destacam-se especialmente os seguintes direitos e garantias fundamentais dos cidadãos:

  • liberdade de expressão;
  • inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
  • inviolabilidade do sigilo das comunicações, salvo por ordem judicial;
  • inviolabilidade e sigilo do fluxo de suas comunicações pela internet;
  • inviolabilidade e sigilo de suas comunicações privadas armazenadas;
  • acesso à informação; e
  • direito à proteção dos dados pessoais, inclusive nos meios digitais.

A minuta define os objetivos estratégicos da política de promoção da cibersegurança, contemplando o fomento a empresas e às Instituições Científicas, Tecnológicas e de Inovação (ICTs) nacionais, inclusive por meio do estímulo às compras públicas de soluções desenvolvidas no País, bem como assegura a proteção dos atributos fundamentais da informação – confidencialidade, integridade, autenticidade, disponibilidade e não repúdio no processamento, armazenamento e transmissão eletrônica de dados.

 Adicionalmente, prioriza a proteção de grupos mais vulneráveis no ciberespaço, como crianças, idosos e pessoas neurodivergentes, ao mesmo tempo em que fortalece as capacidades estatais de prevenção, investigação e repressão a cibercrimes; estabelece diretrizes para a gestão de riscos e o aumento da resiliência de organizações públicas e privadas; promove a formação de capital humano qualificado e o incentivo à pesquisa, desenvolvimento e inovação; fomenta a articulação institucional entre entes federativos, setor privado e sociedade; institui mecanismos regulatórios e de fiscalização baseados em risco; e reforça a cooperação internacional como elemento essencial para o enfrentamento de ameaças cibernéticas.

Define como agentes obrigados em matéria de cibersegurança:

  • os operadores de infraestruturas críticas;
  • os provedores de serviços essenciais; e
  • os entes federativos – União, Estados, Distrito Federal e Municípios com mais de 100 mil habitantes.

 Os quais deverão adotar medidas técnicas, operacionais e organizacionais adequadas para a gestão dos riscos inerentes às suas atividades, com vistas a reduzir e mitigar os impactos decorrentes de incidentes cibernéticos.

Estabelece que os agentes de cibersegurança obrigados e as autoridades setoriais devem, entre outros, instituir e implementar a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), responsável por comunicar imediatamente ao CENCiber a ocorrência de vulnerabilidades ou ciberincidentes relevantes, capacitar continuamente sua equipe, manter a infraestrutura atualizada e corrigir com urgência vulnerabilidades, especialmente aquelas indicadas em alertas e recomendações oficiais.

Do Sistema Nacional de Cibersegurança

O Sistema Nacional de Cibersegurança (SNCiber), conjunto de órgãos e entidades da União, dos Estados, do Distrito Federal e dos Municípios, que atuam na promoção de cibersegurança, terá como objetivos:

  • promover a harmonização e a colaboração entre os seus integrantes nos temas de cibersegurança;
  • subsidiar o Conselho Nacional de Cibersegurança no exercício das suas competências; e
  • compartilhar informações sobre: (i) medidas de prevenção, tratamento e resposta a ciberincidentes; (ii) alertas sobre ameaças e vulnerabilidades cibernéticas; (iii) fatos relacionados às suas competências regulatória e sancionatória; e (iv) outros assuntos relacionados à cibersegurança.

Integram o SNCiber:

  • o Gabinete de Segurança Institucional (GSI/PR), – como órgão central e coordenador;
  • Autoridade Nacional de Cibersegurança;
  • as Autoridades Setoriais de Cibersegurança; e
  • os órgãos e as entidades públicos federais, estaduais, distritais e municipais que atuam na promoção de cibersegurança.

Os integrantes do SNCiber participarão da Rede Nacional de Cibersegurança (RENCiber), – cujo funcionamento será definido em regulamento – que tem a finalidade de:

  • divulgar medidas de prevenção, tratamento e resposta a ciberincidentes;
  • compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas;
  • divulgar informações sobre ciberataques;
  • promover a cooperação entre os integrantes da Rede; e
  • promover a celeridade na resposta a ciberincidentes.

Da Autoridade Nacional de Cibersegurança

Compete à Autoridade Nacional de Cibersegurança exercer as funções de regulação, fiscalização, coordenação e controle da cibersegurança no País, sendo essas atribuições também aplicáveis às tecnologias computacionais emergentes, salvo quando houver legislação específica dispondo de forma diversa. Caberá à Autoridade, por exemplo:

  • emitir normas gerais sobre regras e padrões técnicos de cibersegurança;
  • monitorar o cumprimento das normas, aplicando sanções em caso de infrações, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • expedir e reconhecer a certificação: (i) de produtos, serviços, tecnologias e esquemas de etiquetagem; (ii) dos agentes de cibersegurança obrigados, conforme o nível de maturidade em cibersegurança; e (iii) da cadeia de suprimentos dos agentes obrigados;
  • promover e estabelecer mecanismos para prevenção, tratamento e resposta a ciberincidentes no País por meio das seguintes ações, dentre outras: (i) manutenção e operação de um centro de agregação e análise de informações sobre ataques e ciberincidentes; (ii) suporte à prevenção, ao tratamento e à resposta a ciberincidentes nos serviços essenciais e infraestruturas críticas; e (iii) suporte ao desenvolvimento das capacidades de prevenção, tratamento e resposta a ciberincidentes em todos os entes da federação;
  • manter padrões e canais de comunicação seguros com setores de serviços essenciais e infraestruturas críticas para o compartilhamento de informações para prevenção e tratamento e resposta a ciberincidentes;
  • contribuir para o desenvolvimento de uma cultura de cibersegurança no País;
  • estabelecer ambientes regulatórios experimentais para teste e observação de inovações, avaliação de seus riscos e benefícios, e posterior avaliação da necessidade de alteração do arcabouço regulatório;
  • determinar, em caráter cautelar, por até 72 horas, o bloqueio de tráfego, a remoção de artefatos maliciosos, a desconexão ou o desligamento de ciberativos, desde que presentes os seguintes requisitos: (i) risco iminente de dano irreparável à confidencialidade, à integridade, à autenticidade ou à disponibilidade de ciberativos dos agentes de cibersegurança, ou à estabilidade do ciberespaço nacional; e (ii) elevada possibilidade de aplicação de sanção por prática de atividade ilícita relacionada à cibersegurança.

Das Autoridades Setoriais de Cibersegurança

As Autoridades Setoriais de Cibersegurança podem, de forma motivada, adaptar as normas gerais estabelecidas pela autoridade nacional – flexibilizando, dispensando ou ampliando seu rigor – , desde que comuniquem tais decisões à instância central; nesse contexto, compete exercer funções regulatórias, fiscalizatórias, sancionatórias, de certificação e de representação internacional no âmbito de seus setores, promover a adoção de boas práticas e a gestão adequada de riscos, instituir equipes setoriais de prevenção, tratamento e resposta a incidentes (ETIR), notificar o CENCiber sobre incidentes relevantes e identificar serviços essenciais e infraestruturas críticas que demandem atenção em cibersegurança.

Do Conselho Nacional de Cibersegurança

Instituí o Conselho Nacional de Cibersegurança (CNCiber) com a finalidade de acompanhar a implementação da Lei, da Política Nacional de Cibersegurança (PNCiber), da Estratégia Nacional de Cibersegurança (E-Ciber) e do Plano Nacional de Cibersegurança (P-Ciber). Ao CNCiber compete, principalmente:

  • propor atualizações para a PNCiber, E-Ciber; e P-Ciber;
  • avaliar e propor medidas, inclusive de educação, para incremento da cibersegurança no País;
  • formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a ciberincidentes;
  • manifestar-se, mediante solicitação, sobre assuntos relacionados à cibersegurança; e
  • manifestar-se sobre ações de fomento às empresas e ICTs brasileiras que desenvolvem, no País, produtos, serviços e tecnologias destinados à cibersegurança.

O CNCiber será composto por:

  • 1 representante do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), – que o presidirá;
  • 1 representante da Autoridade Nacional de Cibersegurança;
  • 15 representantes do Poder Executivo Federal;
  • 1 representante do Senado Federal;
  • 1 representante da Câmara dos Deputados;
  • 1 representante do Conselho Nacional de Justiça (CNJ);
  • 1 representante do Conselho Nacional do Ministério Público (MPU);
  • 1 representante do Comitê Gestor da Internet no Brasil (CGI.br);
  • 3 representantes de organizações da sociedade civil com atuação relacionada à cibersegurança;
  • 3 representantes de instituições científicas, tecnológicas e de inovação relacionadas à área de cibersegurança;
  • 3 representantes do setor empresarial relacionados à área de cibersegurança;
  • 1 representante de prestadores de serviços essenciais ou operadores de infraestruturas críticas; e
  • 1 representante de entidades estaduais e públicas de tecnologia da informação.

Os agentes de cibersegurança obrigados, em razão das infrações cometidas às normas gerais emitidas pela autoridade nacional de cibersegurança, ficam sujeitos às seguintes sanções administrativas:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% do faturamento do último exercício da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, excluídos os tributos, limitada, no total, a R$50 milhões por infração;
  • multa diária;
  • obrigação de fazer ou não fazer;
  • suspensão da distribuição de produtos ou fornecimento de serviços e tecnologias de cibersegurança a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
  • proibição parcial ou total da distribuição de produtos ou fornecimento de serviços de cibersegurança a que se refere a infração; e
  • proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos de órgãos ou entidades públicas e de instituições financeiras públicas ou controladas pelo poder público, pelo prazo mínimo de 1 e máximo de 5 anos.

Os agentes de cibersegurança obrigados terão o prazo de 180 dias para adequação às disposições legais.

Clique aqui e acesse a íntegra da minuta.

Atenciosamente

Deybson de S. Cipriano  – Presidente da Federação Assespro

Adriano Krzyuy – Presidente da Assespro-PR

Veja também:

Medidas legais de 22 de abril de 2026

Boletim Político, Medidas Legais
Confira as Medidas legais de 22 de abril de 2026.
Continue lendo

Câmara dos Deputados 2026 – Eleitos Presidentes das Comissões e Definidas Lideranças Partidárias

Boletim Político, Comunicados do Presidente e Diretorias
Foi publicada no Diário Oficial da União a Portaria SEB/MEC nº 130, de 9 de abril de 2026 que estabelece os critérios para o repasse de recursos financeiros às escolas públicas de educação básica no âmbito da Política de Inovação Educação Conectada no ano de 2026.
Continue lendo

Newsletter Foco no Planalto – Edição 16.2026

Boletim Político, Foco no Planalto
Confira a newsletter exclusiva “Foco no Planalto”, relativa a semana de 20 a 24 de abril de 2026.
Continue lendo
Back To Top