O governo federal publicou, em 27 de dezembro, o Decreto 11.856/23, que institui a Política Nacional de Cibersegurança (PNCiber).

Os objetivos da PNCiber são:

• promover o desenvolvimento de produtos, serviços e tecnologias destinados à segurança cibernética;
• garantir o cumprimento dos princípios da segurança da informação (confidencialidade, integridade, autenticidade e disponibilidade);
• fortalecer a atuação diligente no ambiente digital, especialmente em relação aos grupos vulneráveis (crianças, adolescentes e idosos);
• contribuir para o combate a crimes e ações maliciosas no ambiente digital;
• estimular a adoção de medidas de proteção cibernética e de gestão de riscos;
• incrementar a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;
• desenvolver a educação e a capacitação técnico-profissional em segurança cibernética;
• fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética;
• incrementar a atuação coordenada e o intercâmbio de informações de segurança cibernética entre governo, setor privado e sociedade em geral;
• desenvolver mecanismos de regulação, fiscalização e controle para aprimorar a segurança e a resiliência cibernéticas nacionais;
• implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.

A Política Nacional de Cibersegurança tem como fundamento a soberania nacional e a priorização dos interesses nacionais. Além disso, deverá ser balizada pela garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação.

O decreto dá atenção especial à prevenção de incidentes e de ataques cibernéticos dirigidos a infraestruturas críticas nacionais,^[1] como de comunicações, energia, transportes, finanças, águas, defesa, entre outras, cujos setores desempenham papel essencial tanto para a segurança nacional como para a integração e o desenvolvimento econômico sustentável do país.

A Política Nacional de Cibersegurança também dá destaque à prevenção a incidentes e a ataques cibernéticos em serviços essenciais prestados à sociedade. Estão compreendidos nessa categoria as atividades necessárias para garantir a sobrevivência, saúde, abastecimento e segurança dos cidadãos brasileiros.

A educação – como efetivo instrumento de crescimento econômico e transformação social – e o desenvolvimento tecnológico são reconhecidos como princípios fundamentais da norma. Dessa forma, a educação em segurança cibernética deverá ser objeto de políticas públicas adequadas e constar do treinamento de funcionários que servem à Administração Pública.

O reconhecimento do desenvolvimento tecnológico como fator fundamental deverá se refletir em investimentos em pesquisa no país, incluindo as pesquisas científicas e aplicadas.

Todo esse esforço deverá contar com a cooperação entre órgãos e entidades públicas e privadas em termos de segurança cibernética, além da cooperação técnica internacional na área de segurança cibernética.

O Decreto 11.856/23 também instituiu o Comitê Nacional de Cibersegurança (CNCiber), que será composto por representantes do governo, da sociedade civil, de instituições científicas e de entidades do setor empresarial.^[2] Caberá ao CNCiber:

• avaliar e propor medidas para incremento da segurança cibernética no país;
• formular propostas para o aperfeiçoamento da prevenção, detecção, análise e resposta a incidentes cibernéticos;
• propor medidas para o desenvolvimento da educação em segurança cibernética;
• promover a interlocução com os entes federativos e a sociedade para tratar de segurança cibernética;
• propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e
• manifestar-se sobre assuntos relacionados à segurança cibernética.

O texto do decreto aprovado e publicado difere em alguns pontos do texto proposto pela Secretaria de Segurança da Informação e Cibernética, que previa em seu anteprojeto:

• a inclusão de um representante da Agência Nacional de Telecomunicações (Anatel) na composição do CNCiber;
• a exclusão do representante da Autoridade Nacional de Proteção de Dados (ANPD) do CNCiber;
• a simplificação da estrutura da PNCiber, que inicialmente contemplava um “Sistema Nacional de Cibersegurança” composto pela Agência Nacional de Cibersegurança (ANCiber), pelo Gabinete de Gerenciamento de Cibercrises, pelo Complexo Nacional de Cibersegurança e pelo Comitê Nacional de Cibersegurança (CNCiber). No texto final do anteprojeto, porém, manteve-se apenas o CNCiber.

Apesar das alterações, espera-se que o CNCiber possa, no cumprimento da PNCiber, promover a unificação da regulação existente no país sobre práticas de proteção cibernética – que hoje é feita de forma esparsa e setorial. Há expectativa também de reduza o crescente número de incidentes de segurança cibernética no Brasil, diminua o déficit tecnológico nacional no setor de prevenção a fraudes e a ataques no ciberespaço e amplie a participação brasileira na cooperação internacional sobre o tema.

^[1] O Decreto 9.573/18 aprovou a Política Nacional de Segurança de Infraestruturas Críticas – PNSIC, que define como infraestruturas críticas instalações, serviços, bens e sistemas cuja interrupção ou destruição, total ou parcial, provoque sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade. Da mesma forma, caracteriza a segurança das infraestruturas críticas como um conjunto de medidas, de caráter preventivo e reativo, destinadas a preservar ou restabelecer a prestação dos serviços relacionados às infraestruturas críticas.

^[2] Diferentemente do projeto que deu origem ao Decreto 11.856/23, que sugeria a criação de um órgão central nacional (Agência Nacional de Cibersegurança), de um ente fiscalizador (Comitê Nacional de Cibersegurança) e de um Gabinete de Gerenciamento de (Ciber)Crises, não há indicações até o momento de que o CNCiber terá competência fiscalizatória ou sancionatória.