O Projeto de Lei nº 4752 de 2025, em tramitação no Senado, é um marco para a resiliência digital brasileira, elevando a cibersegurança de questão de TI a componente estratégico de soberania nacional. O Brasil operava sob autonomia normativa fragmentada, resultando em incidentes sem consequências estruturais ou responsabilização clara. O Marco Legal visa encerrar essa era de fragmentação.
A Lacuna que Expõe uma Potência Econômica
Apesar de ser a décima maior economia mundial, o Brasil é um dos poucos países entre as 20 maiores que ainda não possui um arcabouço legal específico para cibersegurança. Diferentemente de nações com PIB inferior que já estabeleceram autoridades, padrões e financiamento, o Brasil dependia de políticas sem força legal efetiva.
Essa lacuna normativa gera um risco sistêmico, com a crescente escalada de ataques cibernéticos a órgãos públicos e infraestruturas críticas, expondo dados e desafiando a capacidade de resposta estatal. O PL n° 4752 surge para suprir essa perigosa ausência.
A Autoridade que Faltava
O Marco Legal estabelece formalmente uma Autoridade Nacional de Cibersegurança (ANC) com poder de normatização complementar, fiscalização, auditoria e instrução de processos.
A ANC resolve o problema da ausência de uma liderança central na defesa cibernética, criticada pelo TCU e pelo Senado. Ela atuará como um “maestro” para unificar iniciativas dispersas, estabelecer padrões mínimos obrigatórios (técnicos, organizacionais e processuais), sujeitos a consulta pública, e responsabilizar quem não cumprir. A observância desses padrões será crucial para participar do Programa Nacional de Segurança e Resiliência Digital e ter acesso a recursos da área.
Responsabilidade Compartilhada na Cadeia de Valor
O Marco Legal revoluciona a responsabilidade corporativa em cibersegurança (Art. 13), expandindo-a radicalmente para toda a cadeia de suprimentos. Empresas não podem mais se isentar de culpa por incidentes em fornecedores. A avaliação de risco deve ser contínua e abranger desde terceiros até o ciclo de vida completo do produto/serviço.
Isso muda o paradigma: um incidente grave em um fornecedor de qualquer nível passa de “risco de negócio” para “falha de conformidade punível”. A responsabilidade será compartilhada entre contratantes e fornecedores.
A Autoridade Nacional poderá criar um índice público de classificação de risco e maturidade em cibersegurança dos fornecedores, aumentando a pressão do mercado por conformidade e orientando decisões de contratação.
O Fim da Cultura do Silêncio
O projeto exige a notificação obrigatória de incidentes cibernéticos relevantes à Autoridade Nacional, com critérios e prazos a serem definidos por ela. Isso visa acabar com a prática de “abafamento” de incidentes, promovendo transparência legal, embora informações sensíveis sejam preservadas. Falhas em fornecedores e parceiros também devem ser reportadas. Tal medida cria um sistema nacional de inteligência de ameaças para identificar padrões, corrigir vulnerabilidades sistêmicas e coordenar respostas.
Governança com Nome e Sobrenome
O Art. 3º, XIII, responsabiliza gestores e agentes públicos pela implementação, supervisão e reporte de políticas e incidentes de cibersegurança, conforme suas atribuições e legislação funcional. Isso significa que líderes e executivos não podem alegar desconhecimento. A falha na governança ou no reporte de incidentes resultará em responsabilização direta da alta direção, tornando a cibersegurança um tema de conselho e não mais exclusivo do CIO/CISO/CCYO. Essa mudança é benéfica, pois a responsabilização pessoal, observada em outras jurisdições, aumenta o engajamento da liderança, agiliza investimentos e rigor na implementação de políticas, e transforma a cultura organizacional.
O Programa Nacional de Segurança e Resiliência Digital
O Programa Nacional de Segurança e Resiliência Digital é o cerne do Marco Legal. Inicialmente na administração pública federal, permite adesão voluntária de estados, municípios, setor privado e terceiro setor, mediante acordos.
Os participantes se comprometem a elaborar e implementar planos de cibersegurança (alinhados às diretrizes nacionais), criar ou fortalecer equipes de resposta a incidentes, promover capacitação contínua e adotar procedimentos padronizados de reporte.
Em troca, o programa oferece acesso prioritário a recursos do Fundo Nacional de Segurança Pública (para cibersegurança), capacitação, sistemas de alerta e iniciativas de cooperação técnica. É um modelo que premia o compromisso com padrões mínimos e transparência.
Os planos devem seguir as diretrizes da Autoridade Nacional, incluindo política de continuidade, plano de resposta a incidentes, inventário de ativos críticos, governança definida e plano de adequação aos padrões mínimos.
Financiamento Estrutural: A Inteligência dos Recursos Carimbados
Para garantir o financiamento sustentável da cibersegurança, o Marco Legal propõe alterar a Lei nº 13.756 de 2018. A proposta destina, no mínimo, 3% dos recursos do Fundo Nacional de Segurança Pública e 2% da arrecadação das apostas de “bets” para a área.
Esses fundos serão carimbados para prioridades como modernização tecnológica, formação de recursos humanos, pesquisa, inovação, fortalecimento de equipes de resposta a incidentes, apoio a entes federativos e campanhas de conscientização.
Essa vinculação cria um fluxo de financiamento previsível e robusto, permitindo planejamento de longo prazo, contratação de talentos, aquisição de tecnologia e investimento em P&D, transformando o Brasil em um ecossistema cibernético mais resiliente.
Cultura, Capacitação e o Fator Humano
O Marco Legal dedica uma seção à formação, pesquisa e inovação em cibersegurança, reconhecendo que a resiliência cibernética depende do capital humano. Os participantes devem criar programas contínuos de capacitação para servidores e profissionais, além de fomentar parcerias com o Sistema S, universidades, institutos e setor privado para ampliar a oferta de cursos e incluir cibersegurança nas grades curriculares. As políticas públicas de ciência e tecnologia devem fomentar o desenvolvimento de soluções inovadoras, apoiando P&D, criando centros de excelência, concedendo bolsas e incentivando o empreendedorismo na área. Essa ênfase no fator humano é estratégica para suprir a escassez global de profissionais e posicionar o Brasil na exportação de conhecimento e atração de investimentos.
Transparência, Monitoramento e Prestação de Contas
O programa será monitorado continuamente, com indicadores, metas e resultados publicados periodicamente. A Autoridade Nacional revisará planos e metas a cada ciclo plurianual, ajustando-os com base em avaliações e na evolução das ameaças.
A avaliação considerará adesão dos entes, maturidade cibernética, tempo de resposta a incidentes, redução de incidentes, capacitação, implementação de planos setoriais, conformidade com boas práticas, eficiência, participação em treinamentos, integração com redes e promoção da cultura de cibersegurança.
Essa abordagem transparente e focada em resultados é crucial para evitar burocracia. Indicadores serão acessíveis, com históricos e metas. A sociedade civil e especialistas participarão da avaliação.
Os órgãos responsáveis pela aplicação de recursos devem publicar anualmente relatórios detalhados (receitas, despesas, resultados), submeter contas à auditoria (interna e externa), disponibilizar informações em portais públicos e garantir o controle social.
O Que Isso Significa para o Setor Privado
Embora o Marco Legal seja obrigatório para a administração pública federal e voluntário para outros setores, a adesão privada será incentivada por vantagens competitivas: acesso a financiamento, capacitação subsidiada, inteligência de ameaças e diferenciação em licitações e contratações.
Setores críticos (saúde, educação, finanças, energia, telecomunicações e transportes) terão maior pressão. O mercado exigirá conformidade com os padrões da Autoridade Nacional. Além disso, fornecedores que fazem negócios com o setor público precisarão atender aos requisitos mínimos de cibersegurança da cadeia de suprimentos para evitar dificuldades na contratação.
Linha do Tempo e Implementação
Embora o Marco Legal entre em vigor na data de sua publicação, a alteração no Fundo Nacional de Segurança Pública só terá efeito a partir do primeiro dia do quarto mês subsequente, dando às organizações um prazo limitado para adequação. A implementação será gradual, com a Autoridade Nacional primeiro estabelecendo padrões e prazos. No entanto, o processo já começou. Organizações que se anteciparem (mapeando cadeias, avaliando gaps, estruturando a governança de cibersegurança e capacitando equipes) sairão na frente; quem esperar a publicação enfrentará uma corrida contra o tempo, escassez de profissionais e custos mais altos.
A Questão da Soberania Tecnológica
O Marco Legal de cibersegurança prioriza a soberania tecnológica e fornecedores nacionais, visando a independência e segurança digital, em vez de protecionismo. Ao fomentar soluções nacionais, o Brasil reduz riscos geopolíticos e impulsiona a economia.
Regulamentações como esta geram oportunidades, como a alta demanda por profissionais certificados e o crescimento exponencial do setor de cibersegurança, estimulado por recursos públicos e um índice de maturidade de fornecedores.
Para empresas já em conformidade, a lei eleva o padrão da concorrência, focando em qualidade e inovação, não mais em preço baixo à custa da segurança.
O Marco Legal complementa a LGPD, promovendo a integração entre segurança da informação, proteção de dados e cibersegurança (Art. 2º, III). Essa sinergia simplifica o compliance, alinhando investimentos já feitos.
O Marco Legal da Cibersegurança destaca a transversalidade (Art. 3º, XII): cibersegurança deve permear todos os setores, políticas e níveis da administração pública, exigindo esforço e responsabilidade compartilhados.
Isso significa que a segurança digital não é isolada; ela afeta compras, RH, operações, atendimento, gestão de dados e comunicação. Um incidente pode surgir de falhas em qualquer área (compras, RH sem treinamento, comunicação inadequada).
A transversalidade exige uma mudança cultural, incorporando a cibersegurança em decisões, treinamentos, auditorias e avaliações. Ela se torna critério para aprovação de projetos, seleção de fornecedores e desenho de processos.
A Resiliência como Novo Normal
O “Programa Nacional de Segurança e Resiliência Digital” foca na resiliência, reconhecendo a inevitabilidade de incidentes, ao invés da prevenção total da segurança. Resiliência é a capacidade de detectar, responder, recuperar e aprender rapidamente.
Organizações resilientes mantêm operações críticas e se fortalecem após ataques. O Marco Legal visa essa resiliência sistêmica.
O Art. 3º, X, promove parcerias nacionais e internacionais em cibersegurança. A natureza global das ameaças exige coordenação. Além da cooperação operacional (resposta e inteligência), a dimensão diplomática (marcos legais robustos) aumenta o respeito e a influência do Brasil em fóruns globais, tornando-o um parceiro mais confiável.
Reflexão Final: Da Reação à Antecipação
O Marco Legal da Cibersegurança marca a transição do Brasil de uma postura reativa para antecipatória em segurança digital, visando identificar riscos, construir capacidades, estabelecer protocolos e formar profissionais antes que as crises ocorram.
Para líderes, a cibersegurança deixa de ser um gasto opcional para se tornar um componente essencial de operação, conformidade legal e competitividade. A questão principal não é o ataque, mas sim a robustez e auditabilidade da governança da organização.
