O Marco Legal da Cibersegurança e Resiliência Digital e a necessidade de integração entre Segurança da Informação, Proteção de Dados e Cibersegurança
A transformação digital e a migração de processos críticos para plataformas eletrônicas aumentaram exponencialmente os riscos de caráter cibernético: ataques sofisticados, ransomware, vazamentos de dados, ameaças persistentes avançadas (APT) e até efeitos físicos derivados de ciberincidentes em infraestrutura crítica. Para enfrentar esse cenário, não basta tecnologia isolada: são necessários marcos jurídicos e estruturas institucionais que garantam governança, responsabilidade, padrões mínimos de segurança, procedimentos de resposta e mecanismos de coordenação entre os diversos domínios envolvidos.
No Brasil, nos últimos anos, houve avanço na regulação relacionada à proteção de dados (Lei Geral de Proteção de Dados – LGPD) e também no campo da política nacional de segurança cibernética (Política Nacional de Cibersegurança – PNCiber). No entanto, observa-se que, em muitos casos, a segurança da informação — tradicionalmente entendida como a disciplina interna de proteger a confidencialidade, integridade e disponibilidade de ativos de informação — ainda opera de forma relativamente isolada das exigências legais de proteção de dados e dos desafios propriamente cibernéticos. Essa dissociação pode gerar lacunas regulatórias, ineficiências e riscos residuais.
Este artigo argumenta que a eficácia real de um marco legal de cibersegurança depende da harmonização e da integração coerente entre os domínios da segurança da informação, da proteção de dados e da cibersegurança operativa (incluindo resiliência digital). Após revisar o panorama legal e conceitual, são discutidos desafios e proposições para promover essa integração.
Marco Legal da Cibersegurança no Brasil – Panorama conceitual
Segurança da Informação, Proteção de Dados e Cibersegurança: distinções e pontos de interseção
Para fundamentar a argumentação, cabe diferenciar os três conceitos e demonstrar suas interligações:
1. Segurança da Informação Tradicionalmente, é o domínio da gestão de riscos de informação dentro de uma organização, baseado nas famosas premissas de confidencialidade, integridade e disponibilidade (CID). Abrange controles técnicos, organizacionais, de políticas, auditorias, classificação da informação etc.
2. Proteção de Dados (Pessoais) Diz respeito à regulação legal e ao direito dos indivíduos sobre seus dados pessoais: como são coletados, tratados, armazenados, compartilhados e eliminados. Implica princípios como finalidade, adequação, necessidade, transparência, responsabilização e segurança. No Brasil, a LGPD (Lei n.º 13.709/2018) é o marco principal deste domínio. A proteção de dados exige que os controladores e operadores adotem medidas de segurança compatíveis com os riscos para proteger os dados pessoais, o que aproxima essa disciplina da segurança da informação.
3. Cibersegurança e Resiliência Digital A cibersegurança foca nos aspectos técnicos, operacionais e estratégicos para proteger sistemas, redes, infraestruturas críticas e ambientes digitais contra ataques, acesso não autorizado, ataques de negação de serviço, exploração de vulnerabilidades etc. A resiliência digital adiciona a capacidade de detectar, resistir, responder e recuperar-se de incidentes cibernéticos, minimizando impactos e restaurando operações. A integração desses elementos representa o chamado ciclo de resiliência (prevenção, detecção, resposta, recuperação).
Existe, portanto, um espaço de sobreposição entre esses domínios: por exemplo, a proteção de dados impõe que mecanismos de segurança da informação (criptografia, controle de acesso, monitoramento) sejam adotados, e essas medidas dependem de uma arquitetura cibernética segura. Da mesma forma, uma estratégia de cibersegurança eficaz deve observar requisitos regulatórios para dados pessoais e garantir que os controles técnicos sejam adequados ao risco legal.
Sem essa integração, emergem problemas: controles excessivamente técnicos podem ignorar requisitos legais de privacidade; políticas de privacidade podem ser formuladas sem considerar os ataques cibernéticos reais; regulamentos cibernéticos podem focar em tecnologia sem estabelecer obrigações de transparência, consentimento ou responsabilização própria à proteção de dados.
Marco Legal da Cibersegurança – O panorama legal brasileiro: marcos, instrumentos e lacunas
Marcos legais e estratégicos no Brasil:
-
- Marco Civil da Internet (Lei n.º 12.965/2014) Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, incluindo neutralidade de rede, liberdade de expressão, privacidade e proteção de dados. O Marco Civil não regula de forma aprofundada a cibersegurança, mas serve como base de direitos e deveres no ambiente digital.
- Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018) Estabelece normas para tratamento de dados pessoais, define conceitos de controlador e operador, obriga adoção de medidas de segurança e prevê sanções administrativas. Um dos seus dispositivos requer que o agente de tratamento adote segurança, integridade e confidencialidade dos dados pessoais, o que obriga a associar práticas de segurança da informação ao cumprimento regulatório.
- Decretos e políticas nacionais de segurança e cibernética O Decreto nº 10.222/2020 aprovou a Estratégia Nacional de Segurança Cibernética. O Decreto nº 10.569/2020 aprovou a Estratégia Nacional de Segurança de Infraestruturas Críticas. O Decreto nº 11.856/2023 instituiu a Política Nacional de Cibersegurança (PNCiber), com o objetivo de orientar a segurança cibernética no país, criando o Comitê Nacional de Cibersegurança (CNCiber), alinhando princípios como soberania nacional, prevenção de incidentes e cooperação nacional e internacional. Em 2025, foi instituída a nova Estratégia Nacional de Cibersegurança (E-Ciber) por meio do Decreto nº 12.573/2025, representando evolução da estratégia anterior. No âmbito da Política Nacional de Segurança da Informação (PNSI), há normas e governança para segurança da informação nos órgãos públicos federais, inclusive Instruções Normativas do GSI (Gabinete de Segurança Institucional). Também há legislação setorial e regras para atuação de agências reguladoras (ex.: Agência Nacional de Telecomunicações — Anatel) no âmbito da segurança cibernética em telecomunicações e infraestrutura digital.
Essa estrutura normativa revela um esforço crescente para dotar o país de uma arquitetura de segurança cibernética. Contudo, persistem lacunas, ambiguidades, fragmentação de competências e desafios de operacionalização.
Projetos de lei e lacunas regulatórias
-
- Existe proposta de lei (PL 428/2024) para alterar o Marco Civil da Internet e inserir disposições sobre “segurança cibernética material” e comunicação de incidentes de cibersegurança pelos prestadores de serviço digital.
- Há lacuna no tratamento unificado de incidentes cibernéticos e na responsabilização objetiva das entidades em face de danos — muitas vezes a responsabilização recai sobre a regulação de dados pessoais, sem abordar adequadamente a resposta a ataques complexos.
- A atuação dos entes federativos (estados e municípios) em cibersegurança e proteção de dados ainda carece de normas claras, de recursos e de coordenação com o plano federal.
- A governança de segurança cibernética depende fortemente de cooperação institucional entre ministérios, órgãos reguladores, agências de ciberdefesa, empresas privadas e sociedade civil, o que nem sempre ocorre de forma eficiente.
Principais desafios regulatórios e institucionais:
1. Fragmentação e desalinhamento entre domínios regulatórios As normas de proteção de dados (LGPD) não necessariamente cobrem todos os requisitos técnicos de resiliência digital; os decretos de cibersegurança não sempre definem obrigações específicas para agentes privados de pequeno porte; há sobreposição entre competências de órgãos públicos; e ausência de uma autoridade central de supervisão com poder real de coordenação.
2. Falta de clareza nas obrigações de reporte e penalidades no âmbito cibernético Muitos regimes legais de cibersegurança não definem prazos claros para reporte de incidentes, nem critérios mínimos para classificação de gravidade, nem sanções bem definidas.
3. Burocracia e barreiras para adoção por empresas Em especial para pequenas e médias empresas, os custos e complexidade para conformidade técnica e legal podem ser proibitivos, especialmente quando há múltiplas regulamentações setoriais.
4. Desatualização frente à evolução tecnológica Novas ameaças — como ataques via inteligência artificial, riscos de cadeia de suprimentos (supply chain), IoT e computação quântica — exigem que o marco legal seja dinâmico e capaz de adaptação rápida, algo que a legislação tradicional dificilmente consegue acompanhar.
5. Capacidade institucional limitada Falta de quadros técnicos especializados, orçamento, integração entre as agências e estruturação de mecanismos de auditoria e fiscalização robustos.
Racional para integração entre os domínios e proposta de modelo
Por que integrar?
A integração entre segurança da informação, proteção de dados e cibersegurança não é mera conveniência: é exigência para que o marco legal funcione de modo coerente e eficaz. Eis alguns argumentos centrais:
-
- Cobertura completa de risco: ameaças cibernéticas exploram vulnerabilidades técnicas, mas os danos frequentemente se realizam via vazamento ou uso indevido de dados pessoais. Um controle puramente técnico pode falhar se não considerar obrigações legais de privacidade, consentimento, transparência e direitos dos titulares.
- Eficiência regulatória e operacional: evitar duplicidade de regras conflitantes e reduzir a carga regulatória sobre as entidades que já têm diretrizes de segurança da informação.
- Responsabilização clara e apuração de ilícitos: quando se incentivam práticas integradas, torna-se mais fácil determinar responsabilidades (técnicas, legais, administrativas) diante de incidentes.
- Cultura organizacional unificada: uma abordagem integrada facilita a construção de uma cultura de segurança e privacidade dentro das instituições, com governança articulada, comitês unificados e métricas compartilhadas.
- Resiliência sistêmica: a resiliência digital de redes, cadeias de infraestrutura e ecossistemas exige coordenação entre proteção de dados, segurança técnica e resposta cibernética em escala.
Esboço de modelo de integração:
A seguir uma proposta conceitual (inspirada em boas práticas internacionais) de modelo integrado:
1. Estrutura de governança unificada Criar, em cada organização ou setor, um comitê ou instância conjunta de Governança de Segurança e Privacidade, com representantes de TI, jurídico, compliance, segurança da informação e operacional. Esse comitê define estratégias, prioridades, métricas e responsabilidades.
2. Matriz unificada de risco Em vez de tratar separadamente risco cibernético, risco de violação de dados e risco de disrupção tecnológica, adotar uma matriz de risco unificada, priorizando controles que atendam múltiplos vetores (ex: controle de acesso robusto, monitoramento, resposta a incidentes, testes de penetração, backup seguro, criptografia de dados em repouso e em trânsito etc.).
3. Política e padrões integrados Documentos de segurança (políticas, normas, procedimentos) elaborados de modo que já considerem requisitos legais de proteção de dados e exigências de resiliência cibernética. Por exemplo: uma política de backup que define retenção, criptografia e segregação de dados pessoais sensíveis.
4. Plano de resposta a incidentes unificado (CSIRT interno) O plano de resposta deve contemplar: identificação da natureza técnica do incidente (invasão, ransomware, negação de serviço), análise de impacto em dados pessoais (se aplicável), comunicação legal de incidente (autoridades, titulares), conforme requisitos legais, medidas emergenciais de mitigação, contenção e recuperação, e lições aprendidas e aperfeiçoamento contínuo.
5. Auditoria e monitoramento contínuos Implementar mecanismos de monitoramento (SIEM, EDR, logs, detecção de intrusão) que alimentem relatórios de conformidade, que são avaliados sob a ótica legal (relatórios de incidente, obrigações de notificação) e técnica (tempos de detecção, recuperação, falhas).
6. Treinamento e cultura Programas de conscientização que envolvam segurança cibernética, privacidade e boas práticas operacionais de forma integrada. Simulações de incidentes devem contemplar cenários que envolvem vazamento de dados e resposta regulatória.
7. Interação com órgãos reguladores e comissões nacionais As entidades reguladoras devem fomentar diretrizes técnicas normativas (por exemplo, requisitos mínimos de resiliência), mas também coordenar com autoridade de proteção de dados para alinhar obrigações de reporte, penalidades e auditoria.
8. Feedback legislativo e revisão normativa dinâmica Os marcos legais devem prever revisões periódicas, mecanismo de adaptação tecnológica (cláusula de atualização automática ou delegação normativa), e canais de consulta e participação da sociedade técnica.
Referências internacionais e boas práticas:
-
- O Cybersecurity Framework do NIST é uma referência consolidada que organiza o gerenciamento de risco cibernético em cinco grandes funções: identificar, proteger, detectar, responder e recuperar.
- A subcomissão ISO/IEC JTC 1/SC 27 desenvolve normas internacionais para técnicas de segurança da informação, privacidade e segurança cibernética.
- A União Europeia aprovou recentemente o Cyber Resilience Act (CRA), que impõe requisitos de segurança para produtos digitais ao longo de seu ciclo de vida e exige notificação de incidentes e vulnerabilidades.
Esses modelos demonstram que os requisitos de segurança, privacidade e resiliência podem e devem convergir em normas unificadas e coerentes.
Estudo de caso hipotético (exemplo ilustrativo)
Imagine uma empresa de saúde que mantém prontuários eletrônicos sensíveis contendo dados pessoais e informações médicas, acessíveis via sistemas pela internet e integrados a dispositivos médicos (IoTM). Se essa empresa adotar apenas medidas de segurança da informação (firewalls, backups) sem considerar requisitos de proteção de dados (consentimento do paciente, anonimização, retenção mínima) nem um plano de resiliência cibernética (detecção de invasão, recuperação rápida, resposta a ransomware), ocorrem riscos:
-
- Em um ataque via ransomware, toda a operação é interrompida (impacto operacional), enquanto dados sensíveis podem ser exfiltrados ou publicados — gerando dano à reputação, responsabilidade legal e obrigação de notificação à autoridade de proteção de dados.
- Sua resposta pode estar atrasada por falta de plano definido que relacione resposta técnica com obrigações legais de notificação, auditoria e proteção de titulares.
- Se o marco legal exigir reporte imediato a autoridade (por exemplo, em 72 horas) e isso não estiver integrado ao plano de resposta técnico, a empresa pode incorrer em multa ou punição legal mesmo após remediar o ataque.
Esse exemplo ilustra a necessidade da estrutura de governança integrada proposta no modelo anterior.
A consolidação de um marco legal de cibersegurança e resiliência digital no Brasil representa passo estratégico para aumentar a segurança, a confiabilidade e a soberania digital do país. No entanto, sua eficácia dependerá diretamente da integração entre segurança da informação, proteção de dados e cibersegurança operativa, de modo que as normas não operem de forma isolada ou contraditória.
Entre as recomendações para aprimorar o arcabouço legal e institucional, destacam-se:
1. Prever expressamente nos marcos legais (Decretos, leis) obrigações de reporte de incidentes cibernéticos, com prazos e modalidades, integrando obrigações da LGPD com exigências técnicas de resiliência.
2. Fomentar diretrizes ou normas técnicas mínimas de segurança e resiliência aplicáveis a setores públicos e privados, em diálogo com entidades técnicas e padrão internacional.
3. Estabelecer mecanismos de coordenação entre autoridades reguladoras, autoridade de proteção de dados, órgãos de segurança cibernética e instâncias de fiscalização.
4. Prever mecanismos legais de adaptação legislativa contínua (revistas regulares, delegação normativa subsidiária ou normas complementares).
5. Incentivar o apoio institucional a pequenas e médias empresas (lineamentos, padrões mínimos, certificações simplificadas), de modo que não fiquem desprotegidas por falta de capacidade técnica ou recursos.
6. Fomentar pesquisa, desenvolvimento e capacitação técnica em cibersegurança, privacidade e resiliência, promovendo parcerias entre academia, setor público e iniciativa privada.
7. Estabelecer canais participativos de consulta pública com especialistas técnicos para subsidiar a atualização normativa.
Autor: Cel. Daniel Costa Lima
