E-Ciber - Estratégia Nacional de Cibersegurança

A nova Estratégia Nacional de Cibersegurança (E-Ciber) foi instituída pelo decreto 12.573, de 4 de agosto de 2025. Trata-se da segunda versão do documento brasileiro nessa temática (a primeira datava de 2020), trazendo novo nível de maturidade e governança para a cibersegurança do País. Em contexto, a E-Ciber surge a partir da Política Nacional de Cibersegurança e foi proposta pelo Comitê Nacional de Cibersegurança, que reúne 25 instituições, entre órgãos do Governo Federal, representantes de entidades da sociedade civil, de instituições científicas e do setor empresarial, todos relacionados à área de cibersegurança.

Como destaques, a nova E-Ciber:

• propõe uma governança centralizada, promovendo o desenvolvimento de mecanismos de regulação, fiscalização, coordenação e controle;
• fortalece a soberania e independência do Brasil ao promover o desenvolvimento tecnológico nacional e a redução de dependência de tecnologias estrangeiras;
• promove a inclusão e a diversidade, ao incentivar a proteção e conscientização de grupos vulneráveis;
• promove a estruturação de uma maturidade cibernética, evoluindo estruturalmente a cibersegurança no Brasil;
• melhora a proteção de serviços essenciais e infraestruturas críticas, ao promover preparação e resiliência dos serviços essenciais e infraestruturas críticas, incluindo padrões mínimos e seguros e a certificação de produtos e serviços;
• fomenta a inovação em Pequenas e Micro Empresas e Startups, incluindo ações específicas para criar um ambiente de inovação para empresas de menor porte;
• propõe o incremento de atividades de cooperação internacional para o fortalecimento conjunto de cibercapacidades;
• promove educação e conscientização, ao perseguir uma cultura de cibersegurança sustentável e enraizada na sociedade;
• favorece a comunicação e resposta a incidentes, ao promover a gestão de riscos e da proteção e resposta a ciberincidentes;
• enfatiza a adoção de tecnologias emergentes, promovendo a redução do débito tecnológico do País em tecnologias emergenciais e disruptivas;
• desbloqueia período de vigência (agora indeterminada), passando a considerar objetivos e ações de curto, médio e longo prazos, ajustável por meio de planos anuais.

São objetivos da E-Ciber:

• Garantir confidencialidade, integridade, autenticidade e disponibilidade dos hardwares, softwares e dados utilizados para processamento, armazenamento e transmissão eletrônicos ou digitais de informações;
• Promover a soberania nacional, a priorização dos interesses nacionais e a diligência devida no ciberespaço;
• Estimular a adoção de medidas de proteção cibernética e gestão de riscos para prevenir, evitar, mitigar, reduzir e neutralizar vulnerabilidades, ataques e incidentes cibernéticos e seus impactos;
• Desenvolver a educação, a cultura e a capacitação técnico-profissional em cibersegurança na sociedade brasileira;
• Incrementar a atuação coordenada e o intercâmbio de informações de cibersegurança entre:
    a) União, estados, Distrito Federal e municípios;
    b) Poderes Executivo, Legislativo e Judiciário;
    c) setor privado; e
    d) sociedade em geral;
• Promover a autonomia produtiva e tecnológica na área de cibersegurança;
• Propiciar o desenvolvimento nacional de produtos, serviços e tecnologias voltados à cibersegurança;
• Intensificar o combate aos crimes cibernéticos;
• Implementar estratégias de colaboração para desenvolver a cooperação internacional; e
• Fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à cibersegurança.

A proteção e a conscientização do cidadão e da sociedade têm como objetivo garantir o uso seguro dos serviços digitais, com atenção especial às pessoas em situação de vulnerabilidade, como crianças e adolescentes, pessoas idosas e pessoas neurodivergentes. Para tanto, foram priorizadas as seguintes ações estratégicas:

• Atuação segura no ciberespaço: incentivo à adoção de comportamentos responsáveis e seguros por parte dos usuários ao utilizarem ferramentas digitais, com a promoção de práticas que reduzam ciber-riscos.
• Apoio às vítimas: promoção da ampliação de serviços de apoio às pessoas afetadas por crimes e outras práticas ilícitas no ambiente digital, com foco no acolhimento e na orientação.
• Identificação e autenticação: estímulo ao uso de mecanismos de identificação e autenticação de usuários conforme a necessidade de cada serviço digital, sempre respeitando a privacidade.
• Capacitação de professores e gestores: busca da qualificação de profissionais da educação, tanto da rede pública quanto privada, para habilitá-los a ensinarem tópicos relacionados à cibersegurança.
• Cibersegurança na educação: incentivo à inclusão de conteúdos sobre cibersegurança nos currículos escolares de todos os níveis, promovendo a formação de cidadãos digitalmente mais conscientes.
• Participação em fóruns e eventos: integração de estudantes, profissionais e pesquisadores em fóruns, congressos e atividades técnicas voltadas à cibersegurança.
• Orientação a pequenas empresas: orientação de microempresas, empresas de pequeno porte e startups quanto à gestão de ciber-riscos e à recuperação após ciberincidentes.
• Planos de conformidade flexíveis: avaliação de modelos adaptáveis de conformidade em cibersegurança para que órgãos públicos possam implementá-los de acordo com sua realidade.
• Planos de contingência e testes: incentivo ao desenvolvimento de planos institucionais de resposta a incidentes e a realização de testes e simulações para avaliar o nível de segurança cibernética.
• Combate aos cibercrimes: promoção da atuação integrada entre diferentes setores da sociedade para prevenir e combater crimes digitais, fraudes e outras ameaças no ciberespaço.
• Divulgação de tratados internacionais: disseminação da Convenção sobre o Crime Cibernético (Convenção de Budapeste) e de outros instrumentos nacionais e internacionais em vigor no país.
• Ações contra o cibercrime: apoio a iniciativas que aumentem a eficácia das operações de combate ao cibercrime, aprimorando investigações e respostas.
• Canais de notificação: estímulo ao aprimoramento legal e técnico das estruturas disponíveis para a denúncia de cibercrimes, visando torná-las mais acessíveis e eficazes.
• Capacitação de órgãos de persecução penal: incentivo à formação contínua de profissionais que atuem em instituições responsáveis pela investigação e repressão ao cibercrimes, para melhorar sua capacidade de atuação.

A segurança e a resiliência dos serviços essenciais e das infraestruturas críticas visam oferecer instrumentos eficazes para prevenir e responder a ciberincidentes, buscadas por meio das seguintes ações estratégicas:

• Promoção da gestão de riscos pelos reguladores: estímulo para que entidades com funções regulatórias promovam a gestão de ciber-riscos e adotem medidas de proteção e resposta a ciberincidentes em seus respectivos setores.
• Fortalecimento da regulação e controle: desenvolvimento de mecanismos regulatórios, de fiscalização, de coordenação e de controle para garantir a segurança, a resiliência e a continuidade dos serviços essenciais, com foco especial na utilização segura de tecnologias da informação e operacionais.
• Mecanismos de alerta de risco: adoção de sistemas de alerta que avisem sobre riscos relevantes na prestação de serviços digitais, possibilitando respostas rápidas e eficazes.
• Lista de alto risco de cibersegurança: criação e manutenção de uma lista de alto risco que sirva como base para a gestão setorial de ciber-riscos.
• Padrões mínimos para dados sensíveis: estímulo à definição e adoção de padrões mínimos de cibersegurança para a proteção de dados relevantes e sensíveis, especialmente em contextos críticos.
• Selo nacional de cibersegurança: instituição de um selo nacional de certificação para indicar o nível de segurança de ciberativos, conferindo maior confiabilidade aos produtos, serviços e sistemas certificados.
• Seguro contra ciberincidentes: incentivo para que prestadores de serviços essenciais e operadores de infraestruturas críticas elevem suas medidas de resiliência, a exemplo da contratação de seguros específicos para cobrir danos decorrentes de ciberincidentes.
• Exercícios e simulações: promoção da realização periódica de exercícios e simulações, tanto em setores específicos quanto em contextos multissetoriais, com o objetivo de testar e fortalecer a ciber-resiliência dos serviços essenciais.
• Aprimoramento normativo contínuo: estímulo à constante atualização das normas relacionadas à cibersegurança, incluindo a definição de padrões mínimos de controle e a elaboração de guias técnicos.
• Segurança na interoperabilidade de dados: busca do fortalecimento da segurança na troca e no compartilhamento de dados entre sistemas, bem como nos canais digitais utilizados para a prestação de serviços.
• Apoio às empresas brasileiras: incentivos para que empresas nacionais busquem e utilizem produtos e serviços que estejam alinhados com padrões mínimos de cibersegurança, promovendo um ecossistema digital mais seguro.

A cooperação e a integração entre órgãos e entidades públicas e privadas visam promover o debate e o intercâmbio de informações sobre cibersegurança, tanto no cenário nacional quanto internacional, com base nas seguintes ações estratégicas:

• Criação de estruturas especializadas em cibersegurança: estímulo ao estabelecimento de equipes de prevenção e resposta a incidentes cibernéticos, essenciais para atuação rápida em um cenário de ciberameaças crescentes. Ainda, a promoção da criação de centros de análise e compartilhamento de informações (ISACs, da sigla em inglês) que contribuem para uma resposta coordenada. Também inclui o incentivo à instalação de laboratórios especializados, capazes de realizar testes, pesquisas e desenvolvimentos na área de cibersegurança.
• Notificação nacional de ciberincidentes: criação de um mecanismo unificado para a notificação de ciberincidentes no país, facilitando a resposta rápida, o mapeamento de ameaças e a coordenação entre atores públicos e privados.
• Cooperação com instituições acadêmicas e agências: fortalecimento das relações de confiança e colaboração entre instituições acadêmicas e agências nacionais e internacionais, buscando o desenvolvimento de ações conjuntas de cibersegurança e ciberdefesa, o fomento ao compartilhamento de informações e experiências, a promoção da divulgação coordenada de vulnerabilidades e a atuação no combate a cibercrimes e outros ilícitos no ambiente digital.
• Fortalecimento da cibersegurança nos países vizinhos: apoio à ampliação da capacidade de cibersegurança dos países do entorno estratégico do Brasil, por meio de iniciativas bilaterais ou multilaterais, com o objetivo de promover a estabilidade e a cibersegurança regionais.
• Participação internacional do Brasil: estímulo à presença ativa do Brasil em fóruns e organizações internacionais voltados à cibersegurança, favorecendo a troca de experiências, a definição de boas práticas e o alinhamento com padrões globais de proteção digital.

A soberania nacional e a governança da cibersegurança têm como objetivo a proteção dos interesses da sociedade brasileira no ciberespaço e a garantia de um ambiente digital confiável, que favoreça o crescimento econômico e tecnológico do Brasil, pautando-se nas seguintes ações estratégicas:

• Política Nacional de Cibersegurança: atualização, divulgação e implementação da Política Nacional de Cibersegurança, conforme estabelecida pelo Decreto nº 11.856/2023, a qual orienta as ações estratégicas do país no campo da cibersegurança.
• Modelo nacional de maturidade em cibersegurança: elaboração de um modelo que permita medir a evolução do setor e avaliar o grau de maturidade em cibersegurança no Brasil, que também sirva de referência para ajustes no planejamento estratégico nacional.
• Formação técnica e profissional: ampliação da formação e capacitação técnica em cibersegurança em uma escala que atenda às demandas reais do país, incluindo a preparação de profissionais qualificados para atuar em todos os setores da economia.
• Redução do déficit tecnológico: busca por ações afirmativas e progressivas para diminuir a dependência externa em tecnologias emergentes e disruptivas, fortalecendo a base tecnológica nacional.
• Avaliação de conformidade em segurança: estímulo ao desenvolvimento da capacidade de avaliar, de forma contínua, a conformidade em segurança de produtos, serviços e tecnologias ligados à cibersegurança, aumentando a confiabilidade e a qualidade das soluções utilizadas no país.
• Sistemas seguros de troca de informações: incentivo ao uso de sistemas seguros para o compartilhamento de informações sensíveis no campo da cibersegurança, promovendo maior proteção e integridade dos dados.
• Incentivo ao setor privado: apoio ao setor privado na criação e oferta de produtos, serviços e tecnologias voltadas à cibersegurança, com especial atenção às microempresas, pequenas empresas e startups.
• Parcerias com institutos de pesquisa: estímulo ao estabelecimento de parcerias com institutos brasileiros de pesquisa e desenvolvimento para o fortalecimento da produção científica e tecnológica nacional na área de cibersegurança, por meio de residências tecnológicas.
• Linhas de pesquisa e bolsas de estudo: promoção da criação de linhas de pesquisa em cursos de graduação e pós-graduação stricto sensu, além da concessão de bolsas para formar especialistas e professores brasileiros em cibersegurança.
• Desenvolvimento de soluções nacionais: incentivo à produção de produtos, serviços e tecnologias nacionais que contribuam para o aprimoramento da cibersegurança no Brasil, reduzindo a dependência externa e promovendo a inovação local.

Decreto 12.573, de 4 de agosto de 2025, institui a Estratégia Nacional de Cibersegurança.