Políticas Públicas
A segurança cibernética é abordada em normativos e políticas públicas no Brasil, sob diversos enfoques e competências.
Cibersegurança é definida como “conjunto de ferramentas, salvaguardas, diretrizes, abordagens de gestão de riscos, ações, treinamentos, melhores práticas, garantias e tecnologias, entre outras medidas usadas para proteger o ciberespaço e os ciberativos do usuário e da organização”, nos termos da Estratégia Nacional de Cibersegurança, aprovada pelo Decreto n° 12.573, de 4 de agosto de 2025.
As competências da Agência quanto ao tema são definidas pela Lei Geral de Telecomunicações (LGT) - Lei nº 9.472, de 16 de Julho de 1997 e por diversas políticas públicas relacionadas à cibersegurança, conforme segue.
Estratégia Brasileira para a Transformação Digital
Aprovada pela Portaria do então Ministério das Ciência, Tecnologia, Inovações e Comunicações (MCTIC) nº 1.556/2018, a primeira Estratégia Brasileira para a Transformação Digital (E-Digital) ofereceu um diagnóstico sobre os desafios da transformação digital da sociedade brasileira e estabeleceu as ações estratégicas para a concretização da visão de futuro que ela apresentou, identificando a confiança no ambiente digital como um dos seus eixos, desdobrando-se em duas áreas: a) proteção de direitos e privacidade; e b) defesa e segurança no ambiente digital.
O Ministério da Ciência, Tecnologia e Inovações, na Portaria nº 6.543, de 16 de novembro de 2022, aprovou a atualização da E-Digital para o ciclo 2022-2026. A E-Digital Ciclo 2022-2026 manteve a confiança no ambiente digital como um dos seus eixos, alicerçada tanto na proteção de direitos e privacidade quanto na defesa e segurança no ambiente digital.
Como ações estratégicas do eixo de confiança no ambiente digital, a E-Digital Ciclo 2022-2026 definiu quatorze ações, entre as quais se destaca:
Promover, por meio da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), mecanismos de cooperação e de compartilhamento de informações entre instituições públicas e privadas para prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação;
Editar uma política nacional de segurança cibernética, incluindo a definição de uma instância nacional responsável pela articulação de um sistema nacional de segurança cibernética, envolvendo os setores público e privado;
Fortalecer o ecossistema de segurança cibernética do País, por meio da criação de um conselho nacional no âmbito de uma política nacional de segurança cibernética, com a participação do poder público e de representantes da sociedade envolvidos com segurança cibernética, a fim de aumentar a resiliência da segurança cibernética da sociedade e da economia como um todo;
Editar planos nacionais e subnacionais de prevenção, tratamento e resposta a incidentes cibernéticos, inclusive no âmbito de infraestruturas críticas;
Fomentar campanhas educacionais amplas para expandir a conscientização da população sobre o tema da segurança da informação; e
Consolidar o marco legal sobre crimes cibernéticos, harmonizando as disposições de direito penal e processual já existentes na legislação brasileira e avançando na previsão de novos instrumentos de investigação para o mundo digital.
Política Nacional de Segurança da Informação
A Política Nacional de Segurança da Informação (PNSI) foi instituída pelo Decreto n° 12.572, de 4 de agosto de 2025, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no País.
Nos termos da PNSI, segurança da informação abrange a segurança de dados, de ativos de informação e dos processos organizacionais; do ambiente físico e eletrônico que contenha ativos de informação; e do pessoal envolvido no ciclo de vida da informação. Dentre os objetivos destaca-se a salvaguarda das infraestruturas críticas e dos serviços essenciais.
Política Nacional de Cibersegurança
No final de 2023 foi instituída a Política Nacional de Cibersegurança (PNCiber pelo Decreto nº 11.856/2023.
A PNCiber tem a finalidade de orientar a atividade de segurança cibernética no Brasil, apresentando os princípios, objetivos e instrumentos da Política, configurando a primeira política nacional específica de segurança cibernética do país.
Como princípios são listados: soberania nacional e priorização dos interesses nacionais; garantias dos direitos fundamentais; prevenção de incidentes e ataques cibernéticos, especialmente dirigidos às infraestruturas críticas; resiliência cibernética; educação e desenvolvimento tecnológico em cibersegurança; cooperação multissetorial e cooperação técnica internacional.
Ademais, a PNCiber aponta como seus instrumentos a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança e estabelece os seguintes objetivos:
Promoção do desenvolvimento de produtos, serviços e tecnologias nacionais em segurança cibernética;
Garantia da confidencialidade, integridade e autenticidade das soluções e dos dados utilizados para o processamento, o armazenamento e a transmissão eletrônica ou digital de informações;
Fortalecimento da atuação diligente no ambiente digital, especialmente por crianças, adolescentes e idosos;
Contribuição para o combate aos crimes cibernéticos;
Estímulo à adoção de medidas de proteção cibernética e de gestão dos riscos cibernéticos; · Incremento da resiliência cibernética das organizações;
Desenvolvimento da educação e capacitação na área;
Fomento das atividades de pesquisa, desenvolvimento e inovação em cibersegurança;
Incremento da atuação coordenada e do intercâmbio de informações entre entes da Federação,Poderes, setor privado, e sociedade;
Desenvolvimento de mecanismos de regulação, fiscalização e controle para o aprimoramento da cibersegurança e resiliência cibernética; e
Implementação de estratégias de colaboração para cooperação internacional.
Um importante marco do Decreto nº 11.856/ 2023 foi a instituição do Comitê Nacional de Cibersegurança (CNCiber), no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo (CREDEN), com a finalidade de acompanhar a implementação e a evolução da PNCiber.
Dentre o rol de competências do CNCiber destacam-se a proposição de atualizações para a PNCiber, Estratégia e Plano Nacional; a avaliação e proposição de medidas para incremento da cibersegurança; a formulação de propostas para aperfeiçoamento do tratamento de incidentes cibernéticos; a proposição de medidas de educação; a promoção de interlocução com entes federativos e sociedade; e a proposição de estratégias de colaboração para cooperação técnica internacional na matéria.
O CNCiber é presidido pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) e composto por representantes de órgãos e entidades que compõem a Administração Pública Federal, Comitê Gestor da Internet no Brasil (CGI.br), da sociedade civil, de instituições científicas, tecnológicas e de inovação e do setor privado.
Em função do reconhecimento do papel estratégico da Agência e do setor de telecomunicações para o ecossistema digital e para a cibersegurança no Brasil, a Anatel compõe o CNCiber, como a única Agência Reguladora com vínculo ministerial com assento permanente.
O CNCiber já está operacional desde 2024 e foram criados diversos Grupos de Trabalho Temáticos (GTT) para avanço dos trabalhos, com ativa participação e, até mesmo, liderança da Agência. Mais informações sobre o CNCiber, sua composição, GTTs e atas podem ser encontradas na página do Comitê.
Estratégia Nacional de Segurança Cibernética
Em atendimento à PNCiber, foi editada a Estratégia Nacional de Cibersegurança (E-Ciber), aprovada pelo Decreto n° 12.573, de 4 de agosto de 2025. É importante salientar que a E-Ciber é um dos primeiros frutos do CNCiber, visto que foi gestada em um GTT criado com a finalidade de elaborar a sua proposta.
A E-Ciber estrutura-se em quatro eixos temáticos: proteção e conscientização do cidadão e da sociedade; segurança e resiliência dos serviços essenciais e das infraestruturas críticas; cooperação e integração entre os órgãos e entidades, públicas e privadas; e soberania nacional e governança. Cada eixo é acompanhado de um conjunto mínimo de ações sugeridas para a implementação dos objetivos estabelecidos na PNCiber.
No primeiro eixo de proteção e conscientização do cidadão e da sociedade, com destaque especial à proteção de crianças e adolescentes, pessoas idosas, e pessoas neurodivergentes, estão previstas ações como: incentivo à atuação segura no ciberespaço; à capacitação de professores e gestores, públicos e privados, em cibersegurança; à inclusão de temas relacionados à cibersegurança nos currículos de todos os níveis educacionais; às iniciativas de orientação a microempresas, empresas de pequeno porte e startups na gestão de riscos e na retomada das atividades pós-incidentes cibernéticos; ao desenvolvimento de planos de contingência institucionais; e à realização de testes e simulações para verificação do nível de cibersegurança no órgão ou na entidade; dentre outras.
No segundo eixo, de segurança e resiliência dos serviços essenciais e das infraestruturas críticas, estão contempladas as seguintes ações:
estímulo às entidades dotadas de competências regulatórias para promover a gestão de riscos e adotar medidas de proteção e resposta a ciberincidentes nos seus setores;
desenvolvimento de mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança, a resiliência e a continuidade dos serviços essenciais e das infraestruturas críticas, em especial quanto à adoção de ferramentas de tecnologia da informação e de tecnologia operacional;
adoção de mecanismos de alerta de risco na prestação de serviços digitais;
desenvolvimento e manutenção de lista de alto risco de cibersegurança a ser utilizada como fundamentação para a gestão de ciber-riscos setoriais;
estímulo à adoção de padrões mínimos de segurança para categorias de dados relevantes e sensíveis;
criação e manutenção de selo nacional de certificação de alto nível de segurança de ciberativos;
estímulo à adoção de mecanismos de mitigação de riscos, como seguros contra ciberincidentes, por prestadores de serviços essenciais e operadores de infraestruturas críticas;
incentivo à realização de exercícios e simulações setoriais e multissetoriais regulares destinados ao aprimoramento da resiliência dos serviços essenciais e das infraestruturas críticas;
incentivo ao aprimoramento contínuo dos atos normativos relacionados à cibersegurança, inclusive em relação a padrões mínimos de controle e guias;
estímulo ao aperfeiçoamento da segurança na interoperabilidade de dados e de canais digitais; e
incentivo às empresas brasileiras na contratação de produtos e serviços que adotem padrões mínimos de cibersegurança.
Quanto ao terceiro eixo de cooperação e integração entre os órgãos e entidades, públicas e privadas, as ações abrangem: estímulo à criação e ao desenvolvimento de ETIRs, centros de análise e compartilhamento de informações e laboratórios especializados em cibersegurança; à criação de mecanismo nacional de notificação de ciberincidentes; à cooperação e à construção da confiança multissetorial; ao fortalecimento da capacidade de cibersegurança dos países do entorno estratégico brasileiro; e à participação do País em organizações e fóruns internacionais que tratem de cibersegurança.
Finalmente, o quarto eixo, de soberania nacional e de governança, tem por objetivo atender e proteger os interesses da sociedade brasileira no ciberespaço e garantir um ambiente cibernético confiável que assegure o crescimento econômico e tecnológico do País. Nesse sentido, no rol de ações estão incluídas, dentre outras, a atualização e implementação da PNCiber; a elaboração de modelo nacional de maturidade em cibersegurança; a formação e capacitação técnico-profissional; a redução do débito tecnológico do País em tecnologias emergentes; o incentivo ao desenvolvimento de capacidade de avaliação continuada de conformidade de produtos, serviços e tecnologias de cibersegurança; o estímulo ao estabelecimento de parcerias com institutos brasileiros de pesquisa; e o incentivo ao desenvolvimento de produtos, serviços e tecnologias nacionais.