Segurança Cibernética nas Leis e Regulamentações Brasileiras

A adoção e a manutenção de programas de segurança cibernética são exigidas por diversas leis e regulamentações que abrangem tanto a iniciativa privada quanto o setor público. Essa exigência decorre do papel estratégico da segurança cibernética na construção de um ambiente digital seguro, confiável e favorável ao desenvolvimento das pessoas, organizações e da própria nação.

Gestores empresariais e profissionais das áreas de segurança da informação, gestão de riscos e compliance precisam estar cientes dessas normas, bem como acompanhar suas atualizações, a fim de garantir a conformidade e mitigar riscos operacionais e reputacionais.

O apoio da área jurídica é fundamental para garantir um mapeamento completo e atualizado das obrigações legais, bem como sua correta aplicação. Como uma breve amostra da complexidade envolvida, seguem algumas das principais leis e regulamentações relacionadas à segurança cibernética:

1. Que se aplicam a todas as organizações em geral: LGPD, Marco Civil, Estratégia Nacional de Segurança Cibernética (E-ciber). Embora esta última seja uma estratégia do governo, tem impacto e diretrizes que alcançam o setor privado.
2. Setor Financeiro: A Resolução 4.893/2021 é o principal marco atual, juntamente com as Circulares e Cartas Circulares do Banco Central (BCB) que a detalham e complementam.
3. Setor de Saúde: A Lei nº 13.787/2018 é a que dispõe sobre a digitalização e a utilização de sistemas informatizados para a guarda de prontuário de paciente, exigindo critérios de segurança e integridade. Com relação à aplicação da LGPD, vale ressaltar que as exigências são muito altas devido à natureza de dados pessoais sensíveis (Art. 5º, II da LGPD) tratados no setor.
4. Setor Elétrico: A Rotina Operacional RO-CB.BR.01 do ONS (Operador Nacional do Sistema Elétrico), que trata dos Controles Mínimos de Segurança Cibernética para o Ambiente Regulado Cibernético (ARCiber), é o principal documento de exigência técnica para este setor.
5. Setor de Transporte: O Decreto nº 9.573/2018 (PNSIC) estabelece as diretrizes para a segurança das infraestruturas críticas, que incluem o setor de transportes (aéreo, aquaviário, terrestre).
6. Setor de Telecomunicações: O R-Ciber (Resolução nº 740/2020 da Anatel) é o principal regulamento para o setor, visando a segurança das redes e serviços de telecomunicações, considerado infraestrutura crítica.
7. Governo Federal: A Política Nacional de Segurança da Informação (PNSI), instituída pelo Decreto nº 9.637/2018 (e posteriormente atualizada/substituída), e a Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) são centrais para a administração pública federal. Há também o Programa de Privacidade e Segurança da Informação (PPSI) do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), que tem o objetivo de aumentar a maturidade de SI no Sistema de Administração dos Recursos de Tecnologia da Informação (SISP).
8. Governos Estaduais e Municipais: Muitos estados e municípios também têm promulgado suas próprias leis e políticas baseadas na LGPD e E-Ciber.

Enfim, investir em segurança cibernética deixou de ser uma escolha estratégica e passou a ser uma exigência inadiável. Em um mundo onde as ameaças digitais são constantes, as leis e regulamentações sobre o tema demonstram que garantir a proteção de dados e sistemas é condição indispensável para a entrega de bens e serviços de qualidade.