Em setembro de 2025, foi proposto o PL 4752/2025 (Marco Legal da Cibersegurança), que visa a cooperação entre diferentes setores que hoje são responsáveis pela segurança digital. O Programa Nacional de Segurança e Resiliência Digital, criado a partir do PL, visa fortalecer a segurança digital tanto no setor público quanto no privado. Ou seja, deixa de ser apenas ‘proteger o computador’ para passar a proteger o país.

O projeto de lei inicia a transição da cibersegurança no Brasil, passando de um tema técnico para uma questão central de Estado, ligada à regulação, à economia e à soberania digital. Impulsionado pela digitalização e ataques cibernéticos, o país avançou significativamente na estrutura institucional, mas ainda não possui um marco legal unificado.

Apesar de já ter avançado no Congresso, inclusive com aprovação na Comissão de Constituição e Justiça, permanece em tramitação. Nesse contexto, a cibersegurança se consolida como fator-chave de confiança, governança e atração de investimentos. Esse movimento eleva o nível de exigência sobre as empresas e requer que elas se adequem.

A cibersegurança funciona por meio de vários órgãos, não há uma autoridade única no Brasil. O GSI (Gabinete de Segurança Institucional) age como coordenador estratégico, definindo políticas nacionais e articulando ações entre órgãos federais. Em seguida, o CNCiber (Comitê Nacional de Cibersegurança) atua como um órgão mais consultivo e estratégico, reunindo governo, empresas e academias e propondo políticas e recomendações.

Já o DTC (Comando de Defesa Cibernética) tem a função de ser uma cibersegurança militar, agindo diante de ameaças digitais contra o país, ligado às Forças Armadas. O CTIR Gov (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo) fica encarregado da resposta a ataques no governo, porém, diferente do anterior, monitora incidentes em órgãos públicos e atua quando há invasões ou vazamentos. E ainda há a ANPD (Autoridade Nacional de Proteção de Dados), órgão que fiscaliza a LGPD, exige medidas de segurança da informação e pode aplicar sanções. É importante mencionar que a ANPD não cuida de toda cibersegurança, apenas do que envolve dados pessoais.

Ainda mais, há o Banco Central do Brasil monitorando o setor financeiro, a Anatel (Agência Nacional de Telecomunicações) para o setor de telecomunicação e a ANEEL (Agência Nacional de Energia Elétrica) para o setor elétrico. Esse modelo deixa de ser eficaz quando há um problema que abrange vários órgãos juntos, devido a isso, a criação de uma autoridade central se fez urgente.

Beatriz Haikal, sócia do BBL Advogados, acrescenta: "Esse modelo é relevante para tratar particularidades técnicas, mas não resolve desafios que ultrapassam fronteiras setoriais. Por exemplo, a proteção de infraestruturas críticas interdependentes ou a resposta coordenada a incidentes de grande escala".

O avanço do PL reflete uma tendência mundial dos Estados preocupados com a proteção das infraestruturas críticas e serviços essenciais de cada país, que podem ficar vulneráveis a ataques cibernéticos. Segundo Flávia Rebello, sócia do Trench Rossi Watanabe, é importante que o Estado garanta padrões mínimos de segurança, comunicação e inteligência sobre possíveis ataques, para proteger a continuidade dos serviços essenciais e a população.

"Já se vê em muitos casos ataques cibernéticos direcionados a infraestruturas críticas de um determinado país como parte de uma estratégia maior de guerra ou ataque a um país e à sua população. Os Estados precisam se antecipar a esses riscos e adotar medidas de segurança e planos de respostas ágeis", complementa a sócia.

O principal ponto de atenção jurídica em cibersegurança é a preparação. As empresas precisam revisar suas medidas técnicas, de segurança e organizacionais de tempos em tempos para acompanhar a evolução da tecnologia. De acordo com Rebello, treinar seus funcionários para prevenir tentativas de ataque e evitar que se tornem portas de entrada. Além disso, ter um plano de resposta a incidentes robusto, com equipe treinada para implementá-lo na velocidade que um ataque ou incidente de cibersegurança exige.

Embora o projeto seja voltado principalmente à administração pública, impacta de forma direta o setor privado, em especial, empresas que possuem contratos com o governo ou que fazem parte de cadeias de serviços essenciais. Na prática, isso inclui desde grandes fornecedores de tecnologia até empresas que prestam serviços indiretos para o setor público. O projeto não cria uma lista clássica de obrigações, mas muda completamente o padrão esperado das empresas.

Tiago Furtado, sócio do Opice Blum Advogados, afirma que, para empresas, passa a ser necessário demonstrar governança mínima em cibersegurança, com gestão estruturada de riscos, capacidade de resposta a incidentes e controle sobre fornecedores. "Um ponto central é a cadeia de suprimentos. A empresa deixa de ser avaliada apenas pelo seu ambiente interno e passa a ser cobrada também pela forma como gerencia riscos de terceiros.

A cibersegurança já deixou de ser um tema técnico. Hoje se trata de um risco de negócio, e o PL reforça esse movimento. Um incidente não é mais só um problema de TI. Ele pode interromper operações, gerar impacto regulatório e afetar diretamente a reputação e o valor da empresa. Nesse contexto, o tema evolui naturalmente para o nível estratégico e o jurídico passa a ter um papel central.

"O jurídico deixa de atuar apenas de forma reativa e passa a participar da construção da governança, ajudando a estruturar responsabilidades, contratos com fornecedores e a tradução de riscos técnicos em riscos jurídicos. Também ganha protagonismo na gestão de crises, especialmente na comunicação com reguladores e na definição de posicionamento público. Na prática, o jurídico se torna um ponto de integração entre tecnologia, negócio e regulação", destaca Furtado.

O sócio do Opice Blum diz que, à medida que a cibersegurança passa a ser um critério de contratação, empresas mais maduras se destacam naturalmente. Isso pode gerar vantagem competitiva, especialmente em contratos com o setor público e em cadeias mais exigentes.

Além disso, o projeto prevê mecanismos de incentivo e financiamento para iniciativas de segurança digital, o que pode abrir espaço para inovação e desenvolvimento de soluções. Há também um efeito de mercado. Empresas passam a escolher parceiros com melhor nível de segurança, o que cria um ciclo de seleção baseado em maturidade. As empresas que se anteciparem tendem a transformar a cibersegurança de custo em vantagem competitiva.

Haikal aconselha que a primeira medida que as empresas deveriam adotar é a estruturação de um programa de governança em cibersegurança baseado em risco. Com identificação de ativos críticos, definição clara de responsabilidades internas e envolvimento da alta administração. Esse é o ponto de partida para atender às exigências previstas na minuta e sustentar qualquer modelo regulatório futuro.

A segunda frente trata do fortalecimento da capacidade de resposta a incidentes, com a exigência de equipes dedicadas (ETIRs), planos estruturados, fluxos claros de atuação e comunicação, além de testes periódicos e integração entre áreas técnicas, jurídicas e de compliance.

Já a terceira envolve a revisão da gestão de terceiros e da cadeia de fornecedores, ampliando a responsabilidade ao longo da cadeia e com avaliação de riscos. Assim como a inclusão de cláusulas contratuais de segurança da informação e garantia de padrões mínimos por prestadores de serviço.

"Essas medidas não apenas antecipam exigências regulatórias futuras, como também fortalecem a resiliência operacional das empresas em um cenário já marcado pelo aumento da sofisticação dos ataques cibernéticos", conclui Haikal.