Especialistas comemoram a minuta da Lei Geral de Cibersegurança

Isabel Butcher

(Imagem: Freepik)

O CNCiber (Comitê Nacional de Cibersegurança) apresentou recentemente a minuta de projeto para a Lei Geral de Cibersegurança. Nela, estabelece princípios, diretrizes e regras para a segurança cibernética. Especialistas ouvidos por Mobile Time comemoram o documento e não somente por ele criar normas e obrigações sobre o tema, mas por: instituir o Sistema Nacional de Cibersegurança (SNCiber); criar a figura da Autoridade Nacional de Cibersegurança, que pode ser a Anatel; e integrar autoridades setoriais e demais órgãos num arranjo cooperativo, inclusive por meio da Rede Nacional de Cibersegurança. O texto funciona como uma espécie de Marco Civil do setor e reduz ambiguidade jurídica ao apresentar definições sobre conceitos como ciberameaça, invasão ética e até mesmo ciberespaço.

“Essa estrutura vem acompanhada de uma lógica regulatória baseada em gestão de riscos e proporcionalidade – as medidas devem ser adequadas ao risco e ao porte da organização –, o que é importante num país tão heterogêneo quanto o Brasil”, afirma Antonielle Freitas, DPO do escritório Viseu Advogados.

“A minuta tem o mérito de tentar criar um marco geral de cibersegurança. Esse marco é estruturado de uma forma muito parecida com o comecinho do Marco Civil da Internet e ele vai organizar o tema em princípios, diretrizes e regras. Isso é positivo porque vai tirar a cibersegurança de uma abordagem fragmentada, que ela tem hoje, e dá ao tema uma moldura jurídica mais ampla”, complementa Vinícius Azevedo, advogado gestor do time de Resposta a Incidentes e Cibersegurança do Opice Blum.

Pontos positivos

Antonielle Freitas, advogada especialista em privacidade e proteção de dados do Viseu Advogados. Crédito: divulgação

O ponto mais citado como positivo do texto é o olhar dado à cadeia de suprimentos: fornecedores diretos e indiretos de infraestruturas críticas e serviços essenciais também entraram no radar da minuta.

“O maior mérito da minuta é organizar, pela primeira vez, uma arquitetura nacional de cibersegurança”, resume Freitas. O texto vai além da criação de obrigações pontuais e institui o Sistema Nacional de Cibersegurança (SNCiber), define o GSI como órgão central e coordenador, cria a figura de uma Autoridade Nacional de Cibersegurança e integra autoridades setoriais e demais órgãos num arranjo cooperativo, inclusive por meio da Rede Nacional de Cibersegurança. “Essa estrutura vem acompanhada de uma lógica regulatória baseada em gestão de riscos e proporcionalidade – as medidas devem ser adequadas ao risco e ao porte da organização –, o que é importante num país tão heterogêneo quanto o Brasil”, complementa.

Atenção aos deveres das empresas

Frederico Tostes, country manager da Fortinet Brasil, destaca dois pontos importantes para que as empresas não se descuidem e fiquem atentas. O primeiro deles é a extensão da lei para a cadeia de suprimentos dos “agentes obrigatórios”, ou seja, os atores que são obrigados a cumprir as disposições da lei.

São agentes de cibersegurança obrigados: operadores de infraestruturas críticas; provedores de serviços essenciais; e União, Estados, Distrito Federal e Municípios com mais de 100 mil habitantes. Há também os fornecedores diretos e indiretos que integram a cadeia de suprimentos dos agentes obrigados “devendo estes observar as normas e diretrizes expedidas pela autoridade competente de cibersegurança, em conformidade ao seu porte, natureza e grau de exposição a riscos”, diz a minuta.

Vale dizer ainda que a responsabilidade pela implementação das medidas se mantém com os agentes, mesmo quando há terceiros envolvidos. Ou seja, a atenção a todo o ciclo de atuação dessas organizações deve ser redobrada e ter processos claros de acompanhamento.

Para Azevedo, as empresas devem prestar atenção ao alcance da proposta. A minuta não fala somente de grandes empresas de tecnologia, mas também operadoras de infraestruturas críticas, provedores de serviços essenciais e a cadeia de suprimento desses agentes.

Na prática, isso significa olhar imediatamente a estrutura de governança e preparação interna. Temos o artigo 7º que vai obrigar os agentes a adotarem medidas de gestão de risco. O artigo 8º fala de governança com definição informal de papeis e responsabilidades, gestão estratégica de risco e ele termina com conscientização e enfrentamento. Faz sentido, em um cenário em que o erro humano segue sendo a causa mais recorrente de incidentes de cibersegurança”, comenta Azevedo.

Freitas alerta para os deveres previstos. Ela destaca os seguintes:

1. obrigação de designar um responsável por cibersegurança integrado à alta administração;
2. adotar medidas técnicas, operacionais e organizacionais proporcionais ao risco;
3. e, com relação ao porte, estruturar ETIRs, manter planos de gestão de ciberincidentes, notificar ciberincidentes relevantes à autoridade competente, vulnerabilidades relevantes ao CENCiber e comunicar usuários afetados.

ETIR é a equipe de prevenção, tratamento e resposta a ciberincidentes. O anteprojeto da Lei Geral de Cibersegurança, uma ETIR é definida como um “grupo de pessoas com a responsabilidade de prestar serviços relacionados à cibersegurança para uma instituição, seja ela pública ou privada.”

Outro ponto de atenção é com relação ao plano sancionatório, bem semelhante ao desenhado na LGPD. No caso para a cibersegurança, a minuta autoriza a futura autoridade a aplicar, por infração, e na pior das hipóteses, multas que vão até 2% do faturamento da empresa (baseado no último exercício no Brasil), mas limitadas a R$ 50 milhões.

Poderão também ser aplicadas medidas de advertência, obrigação de fazer ou não fazer, suspensão ou proibição de distribuição de produtos e serviços de cibersegurança e restrição ao acesso a financiamentos públicos.

“Isso mostra uma intenção de combinar governança com uma consequência jurídica prática, para que a gente não tenha uma base só principiológica, mas tentar ter ferramentas de garantir o cumprimento da lei”, afirma Azevedo.

“O recado regulatório é claro: temas como gestão de terceiros críticos, governança executiva, plano de resposta, trilha de decisão e documentação deixam de ser apenas boas práticas e passam a fazer parte do núcleo duro da conformidade em cibersegurança para quem se enquadrar na lei”, avalia Freitas.

As empresas deverão ficar atentas ao prazo de 180 dias para a adequação desses agentes obrigados. “Seis meses em um universo de cibersegurança pode ser muito exíguo e exige um esforço muito intenso das companhias para a implementação dessas medidas de cibersegurança”, comenta Azevedo.

A autoridade será a Anatel?

A minuta cita a criação de uma Autoridade Nacional de Cibersegurança, mas deixa em branco qual órgão ocupará o posto. Juridicamente, a escolha está em aberto, mas, nos bastidores, a Anatel desponta como a favorita por já contar com estrutura instalada, capilaridade nacional e experiência regulatória, o que permitiria implementar a autoridade nacional com mais rapidez e menor custo. Por outro lado, por ser uma agência setorial, a advogada do escritório Viseu vê alguns desafios em assumir uma missão transversal: riscos de viés telecom; perda de visão multissetorial; e tensões no exercício do poder sancionador.

“A meu ver, a Anatel pode ser a solução mais viável no curto prazo, dadas as limitações do Estado brasileiro, mas só será uma boa solução em termos de desenho institucional se vier acompanhada de contrapesos robustos de governança, reforço técnico multissetorial e coordenação explícita com o GSI, com a ANPD e com os demais reguladores setoriais.”

Azevedo concorda com Freitas. A agência de telecomunicações é uma candidata institucionalmente muito forte. “Só que essa escolha levanta uma discussão, legítima, sobre, até que ponto uma agência setorial é o melhor local para exercer uma função nacional e transversal de cibersegurança”, indaga o especialista.

Frederico, no entanto, enumera a atuação da Anatel em agendas associadas à segurança cibernética. Entre elas, cita sua atuação junto à homologação de data centers, à regulação de inteligência artificial e ainda seu papel na aplicação do ECA Digital (Estatuto Digital da Criança e do Adolescente) e do acordo de cooperação contra práticas lesivas em concorrência em mercados digitais e telecom.

“Naturalmente, um tema dessa magnitude deve percorrer diferentes perfis analíticos e propositivos. Sabemos das análises que trazem questões de centralização e a necessidade de governança multissetorial. Nesse sentido, uma colaboração com a ANPD poderia trazer a experiência da autarquia às eventuais novas atribuições. Cabe pontuar que esse tipo de atuação conjunta já existe, por exemplo, no âmbito do ECA Digital, em que Anatel e CGI.br compartilham responsabilidades”, exemplifica.

Pontos fracos da minuta ou que foram deixados de lado

Para Antonielli Freitas, o documento concentra muitas funções à autoridade, deixando o órgão sobrecarregado. “Ela acumula competências normativas, fiscalizatórias, sancionatórias, de certificação, de gestão de riscos, de operação do CENCiber e ainda poderes de cooperação internacional e de resposta a incidentes. É um desenho que tende a sobrecarregar institucionalmente o órgão e a tensionar a linha entre função cooperativa e função punitiva”, acredita.

Outro item delicado para a especialista é o poder cautelas para, por até 72 horas, determinar bloqueio de tráfego, remoção de artefatos maliciosos ou mesmo a desconexão e o desligamento de ciberativos.

Frederico Tostes, lembra de alguns aspectos importantes que deveriam ser levados em consideração. A partir de discussões feitas de forma global, tópicos como computação quântica e identidade são pontos importantes a serem analisados pela Lei Geral de Cibersegurança: identidade e computação quântica.

A identidade deve se tornar a base das operações de segurança, pois as organizações precisarão autenticar não apenas pessoas, mas também agentes automatizados, processos de IA e interações máquina a máquina. Gerenciar essas identidades não humanas será fundamental para prevenir a escalada de privilégios em larga escala e a exposição de dados.

Outro ponto importante que o país já está trabalhando e que, começamos a entrelaçar com cibersegurança é a computação quântica. Empresas que lidam com informações confidenciais precisam de criptografia pós quântica agora, uma vez que computadores quânticos podem realizar cálculos complexos em velocidades sem precedentes e podem facilmente quebrar os padrões de criptografia atuais. No acompanhamento que a Fortinet faz globalmente desse cenário, os cibercriminosos já estão armazenando tráfego criptografado para descriptografá-lo no futuro, com foco particular em setores que lidam com dados altamente confidenciais e que permanecem relevantes por longos períodos, como telecomunicações, serviços financeiros, governo e saúde.

https://www.mobiletime.com.br/noticias/10/04/2026/lei-geral-ciberseguranca/