Evolução da Cibersegurança no Cenário brasileiro

No Brasil, a cibersegurança evoluiu de um conjunto disperso de normas técnicas para uma política pública estruturante de soberania digital. A arquitetura institucional inclui o Gabinete de Segurança Institucional (GSI), que é o órgão superior do governo brasileiro, com status de ministério, responsável pela segurança do Presidente e Vice-Presidente, seus familiares e palácios, além de assessorar em temas de segurança, inteligência, cibersegurança, nuclear e espacial.

No âmbito do GSI, foi instituído, pelo Decreto nº 11.856/2023, o Comitê Nacional de Cibersegurança (CNCiber), cuja criação representa um marco institucional relevante, pois estabelece instância permanente de articulação estratégica entre órgãos governamentais, setor produtivo e comunidade acadêmica. Dentre as atribuições do CNCiber estão propor diretrizes para a Política Nacional de Cibersegurança e acompanhar a implementação da Estratégia Nacional de Segurança Cibernética (E-Ciber), além de fomentar a cooperação internacional, e promover a cultura de segurança cibernética no país.

Soma-se ao desenho institucional a dimensão de defesa cibernética exercida pelo Comando de Defesa Cibernética (ComDCiber), voltada à proteção de interesses estratégicos nacionais. O ComDCiber é o órgão central do Sistema Militar de Defesa Cibernética do Brasil, responsável por planejar, coordenar e executar ações de defesa e proteção de redes, sistemas de computadores e infraestruturas críticas contra ataques cibernéticos. É um comando militar conjunto, que reúne especialistas da Marinha, Exército e Força Aérea, trabalhando em parceria com órgãos governamentais. O ComDCiber monitora ameaças, desenvolve sistemas de proteção e realiza treinamentos, como o ‘Exercício Guardião Cibernético’ para fortalecer a segurança do país. Está subordinado ao Departamento de Ciência e Tecnologia (DCT) do Exército e funciona como parte essencial do poder de defesa brasileiro.

Ademais, a prevenção e resposta a incidentes cibernéticos na Administração Pública Federal é coordenada pelo Centro Integrado de Segurança Cibernética do Governo Digital (CISC gov.br), vinculado à Secretaria de Governo Digital (Ministério da Gestão e Inovação) e integra a REGIC (Rede Federal de Gestão de Incidentes Cibernéticos), instituída pelo Decreto nº 10.748/2021. Fruto de uma parceria da RNP (Rede Nacional de Ensino e Pesquisa) e do BID (Banco Interamericano de Desenvolvimento) com o governo federal, o CISC atua no monitoramento, na análise de vulnerabilidades e no suporte técnico, visando a fortalecer a resiliência digital dos serviços federais, por meio de testes de intrusão, monitoramento de redes, análise de vulnerabilidades e resposta rápida a incidentes em sites e plataformas da Plataforma Gov.br. O CISC gov.br reestrutura a segurança digital, tornando obrigatória a notificação de incidentes por parte dos órgãos federais para aumentar a detecção precoce de ataques.

Ainda deve ser citado o Laboratório de Operações Cibernéticas (Ciberlab) da Diretoria de Operações Integradas e Inteligência (Diopi), vinculado ao Ministério da Justiça e Segurança Pública (MJSP). O Ciberlab atua no assessoramento de investigações sobre crimes virtuais no país.

Apesar do desenho de governança já existente, e, especialmente, da institucionalização do CNCiber, o Brasil ainda enfrenta desafios importantes, especialmente ligados à fragmentação normativa e regulatória, com sobreposição de competências. Mais a mais, o Brasil ainda não possui uma Lei Geral de Cibersegurança equivalente, por exemplo, à NIS2 europeia, ou a um framework federal integrado como de outros países. O modelo brasileiro permanece fragmentado entre normas setoriais (financeiro, telecom, energia, etc) e instrumentos estratégicos (E-Ciber).

Outro desafio é a necessidade de harmonização entre cibersegurança e proteção de dados pessoais. A Agência Nacional de Proteção de Dados (ANPD), responsável por fiscalizar medidas técnicas e administrativas de segurança previstas na LGPD, desempenha papel regulatório e sancionatório, embora não com uma atribuição específica de cibersegurança.

No plano setorial, Banco Central, CVM^[1], Susep, Aneel^[2] e Anatel^[3] impõem requisitos próprios de segurança cibernética e continuidade de negócios, em setores considerados infraestruturas críticas. Assim, o modelo brasileiro caracteriza-se por uma governança multinível e interagências, ainda em consolidação, mas cada vez mais orientada por gestão de riscos e cooperação público-privada.

Ressalte-se que a cibersegurança é concebida não apenas como defesa contra ataques, mas como instrumento de confiança institucional, estabilidade econômica e atração de investimentos, especialmente relevantes em setores como open finance, saúde, governo digital e data centers. Nesse sentido, a soberania digital brasileira se constrói por meio de fortalecimento regulatório, amadurecimento institucional e alinhamento a padrões internacionais. O Brasil ainda tem um caminho considerável a seguir.

O avanço na legislação de segurança cibernética no Brasil está concentrado no Projeto de Lei nº 4752/2025^[4], que estabelece o novo Marco Legal da Cibersegurança e cria o Programa Nacional de Segurança e Resiliência Digital. O referido PL cria uma autoridade centralizadora para definir padrões, auditar sistemas, fiscalizar e aplicar sanções.

Em 17 de dezembro de 2025, o Comitê Nacional de Cibersegurança (CNCiber) deliberou pelo encaminhamento à Casa Civil de anteprojeto da Lei Geral de Cibersegurança, após a conclusão dos trabalhos desenvolvidos pelo Grupo de Trabalho Técnico (GTT), cujo texto do anteprojeto é complementar ao PL nº 4752/2025 e consolida a proposta apresentada pelo Gabinete de Segurança Institucional e aperfeiçoada pelo GTT, estabelecendo princípios, deveres, sanções administrativas e a estrutura do Sistema Nacional de Cibersegurança, contendo proposta de criação de autoridade reguladora no assunto.

Enquanto aguarda-se a construção de um marco legal, o Brasil segue com elevada produção normativa setorial. O ano passado, por exemplo, o setor financeiro passou por uma significativa carga de novas normas relacionadas a cibersegurança. O setor financeiro possui o arcabouço mais robusto em matéria de cibersegurança, hoje no Brasil.

Refletindo a crescente digitalização das operações financeiras, a expansão de sistemas de pagamento instantâneo (como o PIX) e a necessidade de resiliência operacional frente ao aumento de incidentes cibernéticos, em 18 de dezembro de 2025, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram Resolução CMN nº 5.274/2025 e Resolução BCB nº 538/2025, que atualizam e detalham os requisitos de segurança cibernética originalmente previstos na Resolução CMN nº 4.893/2021 e na Resolução BCB nº 85/2021, elevando o padrão mínimo de controles técnicos, governança e rastreabilidade exigidos para instituições autorizadas a funcionar pelo BCB. Essas atualizações reforçam a política de segurança como processo contínuo, documentado e auditável, ampliando a responsabilidade sobre terceiros (incluindo serviços de processamento, armazenamento de dados e computação em nuvem) e enfatizando ambientes críticos conectados à Rede do Sistema Financeiro Nacional (RSFN), com foco especial em PIX e STR (Sistema de Transferência de Reservas).

Além dessas atualizações, ao longo de 2025 o Banco Central consolidou um conjunto de normas que reforçam a governança e a resiliência cibernética do SFN. Destaca-se a Resolução BCB nº 498/2025, que disciplina os requisitos, procedimentos e condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTIs) que prestam serviços à RSFN, incluindo a exigência de qualificação técnica, planos de resposta a incidentes, monitoramento contínuo, trilhas de auditoria e até a contratação de seguro cibernético como componente de mitigação de riscos. Outras resoluções (como as séries nº 494 a 497) introduziram requisitos de governança robusta, controles técnicos alinhados a padrões internacionais e critérios específicos para ambientes críticos, refletindo uma visão integradora da cibersegurança dentro da gestão de riscos do SFN.

No conjunto, essas normas evidenciam a transição do Brasil para um modelo de cibersegurança que agrega governança corporativa, controles técnicos detalhados e supervisão regulatória proativa, alinhando-se às melhores práticas internacionais e à necessidade de proteger o sistema financeiro contra ameaças cibernéticas crescentes.

^[1] Resolução CVM nº 35/2021.

^[2] Resolução Aneel nº 964/2021. Portaria Aneel nº 7.062/2026 e 7.058/2026.

^[3] Resolução Anatel nº 740/2020 (atualizada pela Resolução ANATEL nº 767/2024).

^[4] De autoria do Senador Esperidião Amin (PP/SC), Senador Jorge Seif (PL/SC), Senador Chico Rodrigues (PSB/RR), Senador Astronauta Marcos Pontes (PL/SP), e Senador Sergio Moro (UNIÃO/PR).

INTELIGÊNCIA JURÍDICA

Evolução da Cibersegurança no Cenário brasileiro

Autores

Segurança da Informação

Integridade

INTELIGÊNCIA JURÍDICA

Evolução da Cibersegurança no Cenário brasileiro

Autores

Assuntos Relacionados

Monetização dos saldos credores de ICMS: desafios na transição para o IBS

Gestoras projetam impacto nos investimentos

RFB atualiza lista de benefícios tributários preservados da redução da LC 224/25

RFB e Encat atualizam Nota Técnica sobre vinculação entre documentos fiscais e split payment

MP 1.340/26 estabelece subvenção ao diesel e imposto de exportação sobre petróleo

Carf: leite corporal Monange deve ser classificado como hidratante e não desodorante

Preenchimento do código de benefício fiscal na NF-e e na NFC-e passa a ser obrigatório em SP a partir de abril

Boletim Tributário - 11/3/2026

Segurança da Informação

Integridade

Categorias