A minuta de projeto da Lei Geral de Cibersegurança, apresentada recentemente pelo CNCiber (Comitê Nacional de Cibersegurança), foi recebida de forma positiva por especialistas ouvidos pelo setor. O texto estabelece princípios, diretrizes e regras para a segurança cibernética no Brasil, cria o Sistema Nacional de Cibersegurança, prevê uma Autoridade Nacional de Cibersegurança e busca organizar um tema que hoje é tratado de forma fragmentada. De acordo com informações do Mobile Time, a proposta também amplia o foco para a cadeia de suprimentos de infraestruturas críticas e serviços essenciais.
Na avaliação dos especialistas citados na reportagem original, um dos principais pontos da minuta é reduzir ambiguidades jurídicas ao definir conceitos como ciberameaça, invasão ética e ciberespaço. O texto também adota uma lógica regulatória baseada em gestão de riscos e proporcionalidade, com exigências ajustadas ao porte da organização e ao grau de exposição aos riscos.
O que os especialistas consideram positivo na minuta?
Entre os pontos mais bem recebidos está a tentativa de criar um marco geral para a cibersegurança no país. Antonielle Freitas, DPO do escritório Viseu Advogados, afirmou que o maior mérito da minuta é organizar, pela primeira vez, uma arquitetura nacional de cibersegurança. Segundo ela, a proposta não se limita a impor obrigações isoladas, mas desenha um sistema com coordenação institucional e integração entre autoridades.
“Essa estrutura vem acompanhada de uma lógica regulatória baseada em gestão de riscos e proporcionalidade – as medidas devem ser adequadas ao risco e ao porte da organização –, o que é importante num país tão heterogêneo quanto o Brasil”
— Publicidade —Google AdSense • Slot in-article
Vinícius Azevedo, advogado gestor do time de Resposta a Incidentes e Cibersegurança do Opice Blum, também avaliou positivamente a proposta por considerar que ela oferece uma moldura jurídica mais ampla para o tema. Na leitura dele, a minuta ajuda a retirar a cibersegurança de uma abordagem fragmentada e a organiza em princípios, diretrizes e regras.
“A minuta tem o mérito de tentar criar um marco geral de cibersegurança. Esse marco é estruturado de uma forma muito parecida com o comecinho do Marco Civil da Internet e ele vai organizar o tema em princípios, diretrizes e regras. Isso é positivo porque vai tirar a cibersegurança de uma abordagem fragmentada, que ela tem hoje, e dá ao tema uma moldura jurídica mais ampla”
Quais empresas e órgãos podem ser afetados pela proposta?
A minuta prevê como agentes obrigados os operadores de infraestruturas críticas, os provedores de serviços essenciais e a União, os estados, o Distrito Federal e os municípios com mais de 100 mil habitantes. Além disso, os fornecedores diretos e indiretos que integram a cadeia de suprimentos desses agentes também entram no alcance da proposta, conforme seu porte, natureza e grau de exposição a riscos.
Frederico Tostes, country manager da Fortinet Brasil, destacou que as empresas devem prestar atenção especial à extensão da lei para a cadeia de suprimentos. Mesmo quando houver terceiros envolvidos, a responsabilidade pela implementação das medidas continua com os agentes obrigados, o que exige processos de acompanhamento mais rigorosos.
Azevedo observou que o texto não se dirige apenas a grandes empresas de tecnologia. Segundo ele, a proposta alcança também operadoras de infraestruturas críticas, provedores de serviços essenciais e seus fornecedores, o que exige revisão imediata de estruturas de governança e preparação interna.
Quais deveres e sanções aparecem na minuta?
Antonielle Freitas destacou alguns dos deveres previstos para os agentes enquadrados na proposta:
- designar um responsável por cibersegurança integrado à alta administração;
- adotar medidas técnicas, operacionais e organizacionais proporcionais ao risco;
- estruturar ETIRs, conforme o porte;
- manter planos de gestão de ciberincidentes;
- notificar ciberincidentes relevantes à autoridade competente;
- comunicar vulnerabilidades relevantes ao CENCiber;
- informar usuários afetados.
ETIR é a equipe de prevenção, tratamento e resposta a ciberincidentes. Na minuta, ela é definida como um grupo de pessoas responsável por prestar serviços relacionados à cibersegurança para uma instituição, pública ou privada.
Outro ponto de atenção é o plano sancionatório, descrito na reportagem como semelhante ao da LGPD. A proposta autoriza a futura autoridade a aplicar advertências, obrigação de fazer ou não fazer, suspensão ou proibição de distribuição de produtos e serviços de cibersegurança e restrição ao acesso a financiamentos públicos. Na hipótese mais grave, as multas podem chegar a 2% do faturamento da empresa no último exercício no Brasil, limitadas a R$ 50 milhões.
“Isso mostra uma intenção de combinar governança com uma consequência jurídica prática, para que a gente não tenha uma base só principiológica, mas tentar ter ferramentas de garantir o cumprimento da lei”
Também há preocupação com o prazo de adequação. Segundo a reportagem, os agentes obrigados teriam 180 dias para cumprir as novas exigências, período considerado curto por parte dos especialistas ouvidos.
“Seis meses em um universo de cibersegurança pode ser muito exíguo e exige um esforço muito intenso das companhias para a implementação dessas medidas de cibersegurança”
A Anatel pode se tornar a Autoridade Nacional de Cibersegurança?
A minuta prevê a criação de uma Autoridade Nacional de Cibersegurança, mas não define qual órgão ocupará essa função. Nos bastidores mencionados pela reportagem, a Anatel aparece como favorita por já ter estrutura instalada, presença nacional e experiência regulatória, o que poderia acelerar a implementação da autoridade.
Ao mesmo tempo, a possibilidade levanta ressalvas. Antonielle Freitas avalia que, por ser uma agência setorial, a Anatel poderia enfrentar desafios para exercer uma missão transversal, com riscos de viés voltado ao setor de telecomunicações e perda de uma visão multissetorial. Ela defende que, caso a agência seja escolhida, a estrutura venha acompanhada de contrapesos de governança, reforço técnico multissetorial e coordenação com o GSI, a ANPD e outros reguladores setoriais.
Azevedo também considera a Anatel uma candidata institucionalmente forte, mas concorda que a escolha exige debate sobre o desenho institucional mais adequado para a nova autoridade.
