A mais recente Estratégia Nacional de Cibersegurança 

Em 2020, publicamos o texto Conheça a Estratégia Nacional de Segurança Cibernética, E-Ciber, ocasião em que especificamos o conteúdo do programa, que abrange tanto o diagnóstico da situação brasileira a respeito da segurança virtual quanto as orientações em prol da melhoria do cenário verificado. 

Agora, o Decreto nº 10.222, de 05 de fevereiro de 2020, que aprovou a primeira E-Ciber, foi revogado pelo Decreto  nº 12.573, de 04 de agosto de 2025. 

A mudança legislativa se deu em decorrência do prazo definido para o instrumento inaugural de apoio ao planejamento dos órgãos e entidades do Governo, qual seja, o quadriênio que terminou  em 2023. 

A Estratégia Nacional de Segurança Cibernética 

A Estratégia Nacional de Segurança Cibernética de 2020 foi o primeiro módulo de estratégia nacional de segurança da informação a ser elaborada no país. Ela foi planejada e realizada pelo Gabinete de Segurança Institucional da Presidência da República, com a participação de órgãos e entidades do Governo, além de instituições privadas e do setor acadêmico.  

Estabelece princípios de segurança, ações estratégicas de segurança institucional, abrangendo a segurança e a defesa cibernética, a segurança física e a proteção de dados organizacionais, sempre alinhada com a LGPD. Autoridades e empresas relacionadas a órgãos e entidades da administração pública federal devem se guiar pela Estratégia (e pela lei de proteção de dados) desde que ela foi concebida e publicada.  

Quando da publicação do decreto antecedente, várias críticas foram feitas em relação a lacunas quanto à sua execução. A sociedade civil cobrou aprofundamento das regras e leis para que houvesse uma política efetiva de Estado, como já acontece nos Estados Unidos e em países da União Europeia. 

Um apontamento constante foi a falta de um órgão central para fiscalizar as questões da ciber-segurança, o que não ocorre, por exemplo, no nosso vizinho Chile.   

A nova Estratégia Nacional de Cibersegurança  - E-Ciber 

O novo decreto, sendo a segunda versão do documento relativo ao tema,  apresenta um maior nível de maturidade e governança para a cibersegurança.

Ele foi publicado em um momento de certa forma crítico, em que ainda se sentem os impactos de um recente ataque ao Banco Central, cuja origem foi um fornecedor terceirizado de tecnologia. Na ocasião, ficou evidenciada a fragilidade nas conexões entre instituições públicas e seus fornecedores, o que gerou  uma série de prejuízos. O alerta, então, para a urgência de ações estruturadas foi definitivamente acionado.

É bom frisar que a Estratégia é direcionada para todos os entes da federação, mas também impacta, direta ou indiretamente, particulares que se relacionam com a administração pública. Porque ela pretende organizar políticas públicas em torno da segurança da informação, estabelecer diretrizes claras para os setores público e privado e criar um ambiente regulatório mais maduro e exigente.

Um dos seus pontos de destaque é a criação de um selo de compliance que deverá ser obtido por empresas que desejam prestar serviços ao governo brasileiro. 

O selo foi inspirado no NIST CSF (National Institute of Standards and Technology Cybersecurity Framework), modelo de referência global em gestão de riscos virtuais adotado pelo governo dos Estados Unidos em 2014. Da mesma forma que o E-Ciber, o NIST CSF foi publicado após uma série de ataques de grande monta que também tiveram origem em falhas de segurança nos sistemas de fornecedores terceirizados conectados a redes críticas do governo e de grandes corporações. 

O Brasil tende a seguir o mesmo caminho com a mudança na regulação, ou seja, criar um novo paradigma na exigência para as empresas que desenvolvem relações com o setor público: quem pretender fornecer para o governo ou com ele tratar de outras maneiras deve estar em conformidade com padrões rígidos de segurança e comprovar maturidade cibernética. 

E mais: a empresa que contrata com o governo precisa conhecer a cadeia de fornecedores que trabalha pra ela, sejam médias ou pequenas. Afinal, se uma pequena empresa fura o sistema de segurança, o ecossistema digital desanda, prejudicando as grandes organizações, muitas vezes robustas em seus controles internos. 

A consequência é óbvia: pequenas e médias empresas, que são as que compõem a maioria dos fornecedores no Brasil, também serão obrigados às boas práticas reconhecidas internacionalmente, como a ISO 27001 e o próprio NIST CSF.

Os padrões ajudam as empresas a estruturarem processos, controles, governança e cultura de cibersegurança. O esforço de adaptação trará maior proteção digital. 

Pesquisa nas IES  

As Instituições de Ensino Superior podem contribuir para a nova Estratégia Nacional de Cibersegurança  ao participar de pesquisas sobre maturidade digital, como o Índice de Maturidade em Cibersegurança. A pesquisa tem como objetivo principal compreender o nível de preparação do setor diante das ameaças digitais, permitindo às instituições comparar seus indicadores com a média nacional e regional, e estabelecer estratégias de melhoria.

As IES também podem desenvolver programas e cursos que abordem a importância da cibersegurança; incentivar a conscientização e a adoção de boas práticas de segurança cibernética em toda a comunidade acadêmica e no ambiente universitário, bem como promover a formação de profissionais qualificados para a área, hoje em déficit no país, alinhando o ensino às diretrizes e desafios da e-Ciber.

Por fim, importante ressaltar que a nova estratégia não inclui a limitação de vigência presente no decreto anterior.

Nesta nova normativa, adota-se um horizonte de curto, médio e longo prazos, podendo haver ajustes periódicos por meio de Planos Nacionais de Cibersegurança. Eles serão as ferramentas operacionais que conterão as iniciativas específicas, cronogramas e estruturas de governança para sua implementação.

Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.

Temos cursos regulares, já consagrados, dos quais já participaram mais de 800 profissionais das IES. Também modelamos cursos in company sobre temas gerais relacionados ao Direito da Educação Superior, ou mais específicos. Conheça nossas opções e participe de nossos eventos.