Notícias

Nota Técnica sobre a Instrução Normativa GSI nº 8/2025 e Acordo de Cooperação Técnica

Publicado em 23/10/2025 12h23 Atualizado em 23/10/2025 13h18

Estão sendo veiculadas informações incorretas sobre a nova Instrução Normativa nº 8/2025 e sobre o Acordo de Cooperação Técnica ainda a ser firmado entre o GSI e a AWS, razão pela qual se faz necessário trazer esclarecimentos conceituais e informacionais sobre essas duas importantes iniciativas do GSI.

Instrução Normativa nº 8/2025 – IN GSI nº 8/2025

As instruções normativas do GSI elaboradas pela Secretaria de Segurança da Informação e Cibernética - SSIC possuem a função de estabelecer padrões mínimos de segurança da informação e cibernética para toda a Administração Pública Federal (APF), com o intuito de elevar a maturidade da segurança no tratamento da informação, quando este tratamento está a cargo da APF e, principalmente, aumentar a capacidade de controle soberano que cabe ao Estado.

Para o tratamento de informações classificadas como sigilosas, a Lei de Acesso à Informação - LAI, Lei 12.527/2011, estabeleceu em seu artigo 37 o rol de competências do Núcleo de Segurança e Credenciamento (NSC), instituído no âmbito do GSI, dentre os quais promover e propor a regulamentação para garantir a segurança da informação classificada, decorrente do comando do art. 25 daquela Lei.

Tais competências são pormenorizadas no Decreto 7.845/2012, que estabelece requisitos para o tratamento da informação classificada do Poder Executivo Federal. É importante ressaltar que a informação classificada como definida na LAI são as informações reservadas, secretas e ultrassecretas, em razão de sua imprescindibilidade à segurança do Estado e sociedade. Informações classificadas, portanto, não se confundem com informações que tenham outras hipóteses de sigilo, tais como sigilo fiscal, bancário e segredo de justiça, nem com informações sensíveis como dados pessoais, dados de saúde, etc.

Com essa competência advinda da LAI, a IN GSI nº 8/2025 regulamenta o uso de ambientes de computação em nuvem privada ou comunitária para o tratamento de informações classificadas, no âmbito da Administração Pública Federal, com exceção das informações ultrassecretas, cujo tratamento em nuvem continua vedado.

Nesse ponto, faz-se importante destacar a diferença conceitual entre NUVEM PRIVADA e NUVEM DE EMPRESA PRIVADA, em razão de publicações sem o devido rigor técnico. A IN GSI nº 8/2025 estabelece em seu artigo 2º:
Art. 2º Para os fins desta Instrução Normativa, entende-se como nuvem para tratamento de informação classificada a infraestrutura de computação em nuvem privada ou comunitária gerida exclusivamente por órgãos de registro ou por empresas habilitadas como postos de controle.

Nesse ponto a norma passa a permitir o uso de computação em nuvem privada ou nuvem comunitária, sendo vedado em nuvem pública ou nuvem híbrida. Esses são conceitos tecnológicos já sacramentados na literatura, e integram o GLOSSÁRIO DE SEGURANÇA DA INFORMAÇÃO DO GSI (https://www.gov.br/gsi/pt-br/seguranca-da-informacao-e-cibernetica/glossario-de-seguranca-da-informacao-1).

NUVEM PRIVADA (OU INTERNA) - infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas, ou de entidade composta por múltiplos usuários, e sua propriedade e seu gerenciamento podem ser da própria organização, de terceiros ou de ambos;
NUVEM COMUNITÁRIA - infraestrutura de nuvem dedicada para uso exclusivo de uma comunidade, ou de um grupo de usuários de órgãos ou de entidades não vinculados, que compartilham a mesma natureza de trabalho e obrigações, e sua propriedade e seu gerenciamento podem ser de organizações da comunidade, de terceiros ou de ambos;
NUVEM HÍBRIDA - infraestrutura de nuvem composta por duas ou mais infraestruturas distintas (privadas, comunitárias ou públicas), que permanecem com suas próprias características, mas agrupadas por tecnologia padrão que permite interoperabilidade e portabilidade de dados, serviços e aplicações;
NUVEM PÚBLICA (OU EXTERNA) - infraestrutura de nuvem dedicada para uso aberto de qualquer organização, e sua propriedade e seu gerenciamento podem ser de organizações públicas, privadas ou de ambas;

Assim, as hipóteses de utilização de nuvem previstas na IN GSI nº 8/2025 endereçam uma infraestrutura computacional exclusivamente dedicada a uma única organização (privada) ou a uma comunidade bem definida (comunitária).

Infelizmente, um grave equívoco conceitual que vem sendo propagado é depreender que a IN GSI nº 8/2025 permitirá que empresas privadas operadoras de serviços de nuvem pública, tal como a AWS, possam vir a hospedar as informações classificadas. Essa hipótese não é permitida pela IN GSI nº 8/2025, visto que somente ambientes de nuvem privada ou comunitária são autorizados. Além disso, o fornecimento de ambientes de nuvem privada e comunitária é um modelo de negócio que não é comercializado no Brasil pelas grandes provedoras de serviços de nuvem pública, como AWS e Google.

É possível que empresas privadas possam prestar o serviço de nuvem privada ou comunitária para o tratamento de informação classificada. Porém, conforme descrito no Art. 2º da IN GSI nº 8/2025, a infraestrutura de computação em nuvem privada ou comunitária deve ser gerida exclusivamente por órgãos de registro ou por empresas habilitadas como postos de controle. Essa qualificação demanda o cumprimento de um processo definido na legislação relacionada ao tratamento de informação classificada.

Órgão de registro, nos termos estabelecidos pelo decreto n° 7.845/2012, que regulamentou o art. 25 da LAI, é o nome dado aos órgãos e entidades públicos que necessitam realizar o tratamento de informações classificadas. Quando um órgão ou entidade público, no exercício de suas atribuições, produz, recebe e utiliza essas informações sigilosas, o regulamento determina que deverão ser submetidos a um processo de credenciamento denominado habilitação de segurança de órgão ou entidade.

Da mesma forma, empresas privadas que, por força de contrato com poder público, necessitem tratar informações classificadas, devem ser submetidas a processo de habilitação de segurança.

Postos de controle, por sua vez, por força do mesmo decreto, são unidades de órgão de registro ou entidades privadas habilitadas responsáveis pelo armazenamento de informações classificadas. Essas frações são as responsáveis pela guarda das informações mais sensíveis da República e, portanto, devem cumprir diversos requisitos de segurança para sua habilitação.

Além desses processos de habilitação obrigatória, a IN GSI nº 8/2025 estabelece em seu Artigo 4º que as informações classificadas em grau de sigilo reservado ou secreto e seus documentos preparatórios deverão ser transitados em redes localizadas exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas.

O ecossistema nacional que trata informação classificada é composto de um conjunto de órgãos públicos com atividades tipicamente relacionadas à inteligência, segurança pública, defesa e relações exteriores, como os órgãos do Sistema Brasileiro de Inteligência (SISBIN), Forças Armadas e empresas privadas nacionais atuantes em projetos estratégicos de interesse à segurança do Estado e defesa nacional.

A IN GSI nº 8/2025 estabelece no Artigo 4º que preferencialmente deverão ser utilizadas infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas, como SERPRO e DATAPREV. Vale destacar que a APF tem optado por utilizar essas empresas públicas para sustentar seus sistemas e as informações neles contidas. Todavia, para as organizações privadas que tratam informação classificada, seria descabido fazer a exigência de que elas utilizassem tais infraestruturas, uma vez que muitas delas já possuem suas nuvens privadas ou comunitárias.

Acordo de Cooperação Técnica ainda a ser firmado entre o GSI e a AWS

Com relação ao Acordo de Cooperação Técnica (ACT) entre o GSI e AWS que ainda será firmado, outra informação incorreta que está sendo veiculada relata que “A Amazon Web Services (AWS) está perto de assinar um acordo com o Gabinete de Segurança Institucional da Presidência da República (GSI) para o armazenamento de dados sensíveis do governo brasileiro”. Tal alegação é incorreta porque o ACT em questão não tem a finalidade de armazenamento de quaisquer tipos de dados, nem do GSI nem do Governo.

A Secretaria de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional da Presidência da República (SSIC/GSI), no exercício de sua função de coordenação das ações de segurança cibernética no âmbito do Governo Federal, tem entre suas prioridades a promoção de ações de estímulo a capacitação contínua e ao fortalecimento das competências técnicas voltadas à proteção do Estado brasileiro no Espaço Cibernético.

Nesse esforço, o GSI vem ampliando a cooperação técnica com instituições públicas, privadas, acadêmicas e governos de outros países, reconhecendo que a colaboração entre diferentes setores é essencial para o fortalecimento da resiliência cibernética nacional. Essa diretriz está alinhada às orientações da Estratégia Nacional de Cibersegurança (E-Ciber), que destaca a importância de parcerias multissetoriais como instrumento para o desenvolvimento das capacidades do País em segurança cibernética.

O conjunto de ações previstas no ACT entre GSI e AWS inclui iniciativas voltadas à colaboração e ao desenvolvimento de competências estratégicas de cibersegurança, tais como:

Workshops temáticos sobre segurança cibernética e computação em nuvem;
Exercícios práticos de simulação e resposta a incidentes;
Troca de boas práticas com foco em ambientes em nuvem; e
Adoção de referências internacionais baseadas nos principais frameworks de segurança da informação.

O principal beneficiário do ACT será o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), vinculado ao Departamento de Segurança Cibernética da SSIC/GSI, cuja missão, conforme o Decreto nº 11.676/2023, inclui a formação de recursos humanos, a coordenação da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) e o apoio às ações de prevenção e resposta a incidentes.

Entre os resultados esperados do ACT, destacam-se:

O aprimoramento de atividades de capacitação (webinários, tabletop exercises, colóquios) voltadas a cerca de 300 organizações da Administração Pública Federal, agências reguladoras e infraestruturas críticas;
o fortalecimento do compartilhamento de inteligência de ameaças cibernéticas, em apoio à atuação do CTIR Gov como ponto focal nacional para disseminação de alertas e informações de segurança;
o aumento da capacidade técnica de apoio do CTIR Gov em situações que envolvam serviços em nuvem.

Reitera-se que não há qualquer hipótese de armazenamento de dados decorrente do ACT a ser firmado. A informação veiculada nesse sentido é, portanto, incorreta. Além disso, não haverá transferência voluntária de recursos financeiros ou doação de bens entre os Partícipes para a execução do ACT, pois os serviços decorrentes serão prestados em regime de cooperação mútua.

Vale destacar que os instrumentos de cooperação em cibersegurança são fundamentais para a proteção do ecossistema digital, uma vez que os criminosos cibernéticos possuem uma extensa rede de cooperação. É equivocado acreditar que as parcerias público-privadas em cibersegurança são uma ameaça à Segurança do Estado.

Além do ACT com a AWS, o Gabinete de Segurança Institucional da Presidência da República (GSI) conduz diversos acordos de cooperação técnica e memorandos de entendimento com instituições públicas e privadas, universidades, centros de pesquisa, associações setoriais e organizações sem fins lucrativos.

Essas parcerias refletem o compromisso do GSI em promover uma abordagem multissetorial e colaborativa para o fortalecimento da segurança cibernética nacional, em consonância com as diretrizes da Estratégia Nacional de Cibersegurança (E-Ciber).

Os instrumentos de cooperação abrangem diferentes campos de atuação estratégica, entre os quais:

Setor acadêmico e de pesquisa – desenvolvimento de estudos aplicados, formação de especialistas e fomento à inovação em cibersegurança;
Setor privado de tecnologia e cibersegurança – troca de inteligência sobre ameaças, capacitação técnica e aprimoramento de mecanismos de resposta a incidentes;
Setor de telecomunicações e infraestrutura digital – ações conjuntas voltadas à mitigação de ataques, detecção de vulnerabilidades e proteção de infraestruturas críticas;
Associações e organizações sem fins lucrativos – promoção da cultura de segurança, disseminação de boas práticas e fortalecimento de comunidades técnicas de cooperação;
Órgãos e entidades públicas nacionais e internacionais – articulação de esforços de prevenção, coordenação de resposta a incidentes e intercâmbio de boas práticas em governança cibernética.

Essas iniciativas consolidam o papel do GSI como órgão articulador e coordenador da segurança cibernética do Estado brasileiro, fortalecendo a capacidade técnica e a resiliência institucional da Administração Pública Federal, em um cenário global cada vez mais desafiador e interconectado.

Categoria