O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84,caput, inciso VI, alínea “a”, da Constituição,

D E C R E T A:

Art. 1º Fica instituída a Política Nacional de Cibersegurança – PNCiber, com a finalidade de orientar a atividade de segurança cibernética no País.

Comentário: Este artigo institui a Política Nacional de Cibersegurança (PNCiber), um marco na segurança digital do país. A importância de uma política abrangente como essa não pode ser subestimada. Em um mundo cada vez mais digitalizado, onde ameaças cibernéticas evoluem rapidamente, a PNCiber serve como um farol, orientando todas as atividades relacionadas à segurança cibernética no Brasil. Ela é essencial para estabelecer um ambiente digital seguro e resiliente, protegendo infraestruturas críticas, dados pessoais e corporativos e, por fim, a soberania nacional.

Exemplo: O ataque cibernético ao sistema do Superior Tribunal de Justiça em 2020, que paralisou suas atividades e acessos a processos, ilustra dramaticamente a necessidade de uma política robusta. Este incidente não apenas interrompeu as operações judiciais, mas também expôs vulnerabilidades que poderiam ter consequências desastrosas se informações sensíveis fossem comprometidas. A PNCiber visa prevenir tais cenários, estabelecendo uma estrutura de proteção e resposta.

Art. 2º São princípios da PNCiber:

I – a soberania nacional e a priorização dos interesses nacionais;

II – a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

III – a prevenção de incidentes e de ataques cibernéticos, em particular aqueles dirigidos a infraestruturas críticas nacionais e a serviços essenciais prestados à sociedade;

IV – a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

V – a educação e o desenvolvimento tecnológico em segurança cibernética;

VI – a cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética; e

VII – a cooperação técnica internacional na área de segurança cibernética.

Comentário: Aqui são delineados os princípios orientadores da PNCiber, fundamentais para garantir que a política seja implementada de maneira eficaz e ética. Entre eles, destacam-se a soberania nacional, a defesa da democracia, a proteção de dados pessoais e a cooperação técnica internacional. Cada princípio atua como um pilar, sustentando a integridade e a eficácia da política nacional de cibersegurança. A soberania nacional, por exemplo, garante que o Brasil mantenha o controle e a autonomia sobre sua infraestrutura e dados digitais, enquanto a cooperação internacional abre caminho para a troca de informações e melhores práticas com outros países.

Exemplo: O princípio da proteção de dados pessoais é especialmente relevante no contexto do General Data Protection Regulation (GDPR) da União Europeia, uma legislação que redefine a gestão e proteção de dados pessoais globalmente. O Brasil, ao adotar princípios similares através do Marco Civil da Internet e da Lei Geral de Proteção de Dados (LGPD), ressalta sua dedicação em proteger os direitos dos cidadãos e em se alinhar com padrões internacionais, promovendo um ambiente digital seguro e confiável.

Art. 3º São objetivos da PNCiber:

I – promover o desenvolvimento de produtos, serviços e tecnologias de caráter nacional destinados à segurança cibernética;

II – garantir a confidencialidade, a integridade, a autenticidade e a disponibilidade das soluções e dos dados utilizados para o processamento, o armazenamento e a transmissão eletrônica ou digital de informações;

III – fortalecer a atuação diligente no ciberespaço, especialmente das crianças, dos adolescentes e dos idosos;

IV – contribuir para o combate aos crimes cibernéticos e às demais ações maliciosas no ciberespaço;

V – estimular a adoção de medidas de proteção cibernética e de gestão de riscos para prevenir, evitar, mitigar, diminuir e neutralizar vulnerabilidades, incidentes e ataques cibernéticos, e seus impactos;

VI – incrementar a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

VII – desenvolver a educação e a capacitação técnico-profissional em segurança cibernética na sociedade;

VIII – fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética;

IX – incrementar a atuação coordenada e o intercâmbio de informações de segurança cibernética entre:

a) a União, os Estados, o Distrito Federal e os Municípios;

b) os Poderes Executivo, Legislativo e Judiciário;

c) o setor privado; e

d) a sociedade em geral;

X – desenvolver mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernéticas nacionais; e

XI – implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.

Comentário: Este artigo apresenta os objetivos da PNCiber, que são ambiciosos e multifacetados. Eles incluem promover a segurança cibernética nacional, fortalecer a capacidade de prevenir e responder a incidentes cibernéticos, e proteger infraestruturas críticas e serviços essenciais. Ao estabelecer esses objetivos, o decreto reconhece a complexidade e a natureza multifacetada da cibersegurança, abordando desde a prevenção até a resposta a incidentes, e enfatizando a importância de proteger recursos vitais para o funcionamento da sociedade e da economia.

Exemplo : O objetivo de proteger infraestruturas críticas é particularmente ilustrativo. Considere, por exemplo, o ataque de ransomware ao Colonial Pipeline nos Estados Unidos em 2021, que resultou na interrupção do fornecimento de combustível em grande parte do país. Este incidente ressalta a vulnerabilidade das infraestruturas críticas a ataques cibernéticos e a importância de protegê-las para garantir a segurança nacional e o bem-estar da população.

Art. 4º São instrumentos da PNCiber:

I – a Estratégia Nacional de Cibersegurança; e

II – o Plano Nacional de Cibersegurança.

Comentário: O Artigo 4º introduz a Estratégia e o Plano Nacional de Cibersegurança como ferramentas chave para a implementação da PNCiber. Estes documentos são vitais, pois fornecem um roteiro detalhado e uma série de ações e objetivos específicos para orientar as iniciativas de cibersegurança no país. Eles são dinâmicos e devem ser atualizados regularmente para refletir a evolução das ameaças cibernéticas e das tecnologias de segurança.

Exemplo: A Casa Branca lançou sua Estratégia Nacional de Segurança Cibernética (National Cyber Strategy – 2023), buscando transferir a responsabilidade pelo gerenciamento do risco cibernético de indivíduos e pequenas empresas para empresas de tecnologia, ao mesmo tempo em que adota uma abordagem mais ofensiva para lidar com os agentes de ameaças.  A estratégia se concentra em cinco pilares: defender a infraestrutura crítica, interromper e desmantelar grupos de ameaças, moldar as forças do mercado para impulsionar a segurança e a resiliência, investir em um futuro resiliente e formar parcerias internacionais para buscar objetivos compartilhados. 

Art. 5º Fica instituído o Comitê Nacional de Cibersegurança – CNCiber, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber.

Comentário: A criação do Comitê Nacional de Cibersegurança (CNCiber) é um passo crucial para a implementação efetiva da PNCiber. Como órgão colegiado, o CNCiber é responsável por acompanhar e coordenar as atividades de cibersegurança em todo o país, garantindo que a estratégia seja implementada de forma coesa e eficaz. Sua composição multidisciplinar e sua autoridade para coordenar entre diferentes agências e setores são fundamentais para uma abordagem unificada e robusta da cibersegurança.

Exemplo: Analogamente, o Cybersecurity and Infrastructure Security Agency (CISA) nos EUA desempenha um papel similar, atuando como uma agência central para coordenar a segurança cibernética em nível nacional. A eficácia do CISA em responder a ameaças cibernéticas, coordenar com entidades estaduais e privadas e promover a resiliência cibernética é um modelo do tipo de papel ativo e centralizado que o CNCiber pode desempenhar no Brasil.

Art. 6º Ao CNCiber compete:

I – propor atualizações para a PNCiber, a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança;

II – avaliar e propor medidas para incremento da segurança cibernética no País;

III – formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a incidentes cibernéticos;

IV – propor medidas para o desenvolvimento da educação em segurança cibernética;

V – promover a interlocução com os entes federativos e a sociedade em matéria de segurança cibernética;

VI – propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e

VII – manifestar-se, por solicitação do Presidente da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, sobre assuntos relacionados à segurança cibernética.

Artigo 6º
Comentário: Este artigo detalha as competências do CNCiber, que são abrangentes e críticas para o sucesso da PNCiber. Elas incluem desde a proposição de atualizações na política até a promoção da cooperação internacional e o desenvolvimento de capacidades em cibersegurança. A abordagem abrangente do CNCiber é essencial para garantir que todos os aspectos da cibersegurança sejam abordados, desde a prevenção e detecção até a resposta e recuperação de incidentes.

Exemplo: A competência do CNCiber para promover a cooperação internacional é exemplificada pela Parceria Internacional para a Capacitação em Tecnologia da Informação e Comunicação (ICT4Peace), uma iniciativa que busca promover a paz e a segurança cibernética através da cooperação internacional. O envolvimento do Brasil em tais iniciativas pode fortalecer suas capacidades cibernéticas e promover um ambiente digital global mais seguro.

Art. 7º O CNCiber será composto por representantes dos seguintes órgãos e entidades:

I – um do Gabinete de Segurança Institucional da Presidência da República, que o presidirá;

II – um da Casa Civil da Presidência da República;

III – um da Controladoria-Geral da União;

IV – um do Ministério da Ciência, Tecnologia e Inovação;

V – um do Ministério das Comunicações;

VI – um do Ministério da Defesa;

VII – um do Ministério do Desenvolvimento, Indústria, Comércio e Serviços;

VIII – um do Ministério da Educação;

IX – um do Ministério da Fazenda;

X – um do Ministério da Gestão e da Inovação em Serviços Públicos;

XI – um do Ministério da Justiça e Segurança Pública;

XII – um do Ministério de Minas e Energia;

XIII – um do Ministério das Relações Exteriores;

XIV – um do Banco Central do Brasil;

XV – um da Agência Nacional de Telecomunicações – Anatel;

XVI – um do Comitê Gestor da Internet no Brasil;

XVII – três de entidades da sociedade civil com atuação relacionada à segurança cibernética ou à garantia de direitos fundamentais no ambiente digital;

XVIII – três de instituições científicas, tecnológicas e de inovação relacionadas à área de segurança cibernética; e

XIX – três de entidades representativas do setor empresarial relacionado à área de segurança cibernética.

§ 1º Cada membro do CNCiber terá um suplente, que o substituirá em suas ausências e seus impedimentos.

§ 2º Os membros do CNCiber de que tratam os incisos I a XV docapute os respectivos suplentes serão indicados dentre ocupantes de cargo em comissão ou função de confiança de nível igual ou superior a 15 de Cargo Comissionado Executivo – CCE ou, alternativamente, caso se trate de militar das Forças Armadas, dentre oficiais-generais.

§ 3º Os membros do CNCiber de que tratam os incisos I a XV docapute os respectivos suplentes serão indicados pelos titulares dos órgãos e das entidades que representam, dentre agentes públicos em exercício no órgão representado ou em entidade a ele vinculada.

§ 4º O membro do CNCiber de que trata o inciso XVI docapute o respectivo suplente serão indicados pelo Secretário-Executivo do Comitê Gestor da Internet no Brasil.

§ 5º Os membros do CNCiber de que tratam os incisos XVII a XIX docapute os respectivos suplentes serão escolhidos na forma do regimento interno do CNCiber, para mandato de três anos, permitida apenas uma recondução.

§ 6º Os membros do CNCiber e os respectivos suplentes serão designados pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

§ 7º O Presidente do CNCiber poderá convidar representantes de outros órgãos e entidades, públicas e privadas, e de organizações da sociedade para participar de suas reuniões, sem direito a voto.

Art. 8º As deliberações do CNCiber relativas às suas competências estabelecidas no art. 6º serão submetidas à Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo.

Art. 9º O CNCiber se reunirá, em caráter ordinário, trimestralmente e, em caráter extraordinário, mediante convocação de seu Presidente.

§ 1º O quórum de reunião do CNCiber é de maioria absoluta e o quórum de aprovação é de maioria simples.

§ 2º Na hipótese de empate, além do voto ordinário, o Presidente do CNCiber terá o voto de qualidade.

Art. 10. O CNCiber poderá instituir grupos de trabalho temáticos.

§ 1º Os grupos de trabalho:

I – serão instituídos na forma de ato do CNCiber;

II – terão caráter temporário e duração não superior a um ano; e

III – estarão limitados a, no máximo, cinco em operação simultânea.

§ 2º Os membros dos grupos de trabalho serão indicados pelos órgãos e pelas entidades que representam e designados em ato do Presidente do CNCiber.

Art. 11. Os membros do CNCiber e dos grupos de trabalho que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência.

Art. 12. A participação no CNCiber e nos grupos de trabalho será considerada prestação de serviço público relevante, não remunerada.

Art. 13. A Secretaria-Executiva do CNCiber será exercida pelo Gabinete de Segurança Institucional da Presidência da República.

Parágrafo único. O regimento interno do CNCiber será elaborado pela Secretaria-Executiva e submetido para aprovação do Comitê em até duas reuniões ordinárias.

Art. 14. Para a primeira composição do CNCiber, os membros de que tratam os incisos XVII a XIX docapute os respectivos suplentes serão escolhidos pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

Parágrafo único. Os membros escolhidos na forma prevista nocaputcomporão o CNCiber em caráter extraordinário e temporário, até a designação decorrente do processo de escolha a que se refere o § 5º do art. 7º.

Art. 15. Ficam revogados os seguintes dispositivos do Decreto nº 9.637, de 26 de dezembro de 2018:

I – o inciso I do caput do art. 2º; e

II – o inciso I do caput do art. 6º.

Art. 16. Este Decreto entra em vigor na data de sua publicação.

Artigo 7º a 16º
Comentário: Estes artigos ( 7º a 16º), oferecem um detalhamento mais específico sobre a composição, o funcionamento e outras disposições relativas ao CNCiber e à PNCiber. Eles são cruciais para entender como a política será implementada na prática, detalhando as responsabilidades, a estrutura organizacional e os processos de tomada de decisão. Esses artigos garantem que haja clareza e eficiência na operacionalização da PNCiber e no funcionamento do CNCiber.

Exemplo: A especificidade e clareza encontradas nestes artigos são semelhantes às encontradas na estrutura da Agência Nacional de Segurança Cibernética da França (ANSSI), que detalha minuciosamente suas operações, funções e responsabilidades. Uma estrutura clara e bem definida é essencial para garantir a eficácia e a responsabilidade na implementação de políticas de cibersegurança.

Questões

Artigo 1º
Qual o objetivo principal do Artigo 1º do Decreto nº 11.856?

1. Criar novas leis de proteção de dados.
2. Regular a internet brasileira.
3. Estabelecer o Comitê Nacional de Cibersegurança (CNCiber).
4. Orientar a atividade de segurança cibernética no Brasil.

Artigo 2º
O que o princípio III do Artigo 2º busca prevenir?

1. Incidentes e ataques cibernéticos.
2. Desenvolvimento tecnológico inadequado.
3. Vazamento de dados.
4. Cooperação internacional inadequada.

Artigo 3º
Qual objetivo do Artigo 3º está diretamente relacionado ao combate a crimes cibernéticos?

1. Proteger infraestruturas críticas e serviços essenciais.
2. Promover a cultura de segurança cibernética entre a população.
3. Promover a segurança cibernética nacional.
4. Fortalecer a capacidade de prevenir e responder a incidentes cibernéticos.

Artigo 4º
Quais são os instrumentos da PNCiber mencionados no Artigo 4º?

1. Estratégia Nacional e Política Nacional de Cibersegurança.
2. Comitê Nacional e Plano Nacional de Cibersegurança.
3. Plano e Estratégia Nacional de Cibersegurança.
4. Estratégia Nacional e Comitê Nacional de Cibersegurança.

Artigo 5º
Qual é a finalidade principal do CNCiber, conforme estabelecido no Artigo 5º?

1. Regular as atividades de internet no Brasil.
2. Desenvolver tecnologia de segurança cibernética.
3. Acompanhar a implementação da PNCiber.
4. Atualizar a PNCiber.

Artigo 6º
Qual competência do CNCiber mencionada no Artigo 6º está relacionada ao desenvolvimento educacional?

1. Coordenar a resposta a incidentes cibernéticos.
2. Fomentar a capacitação em segurança cibernética.
3. Promover a cooperação internacional.
4. Propor atualizações para a PNCiber.

Gabarito

1. Artigo 1º: 4) Orientar a atividade de segurança cibernética no Brasil.
2. Artigo 2º: 1) Incidentes e ataques cibernéticos.
3. Artigo 3º: 4) Fortalecer a capacidade de prevenir e responder a incidentes cibernéticos.
4. Artigo 4º: 3) Plano e Estratégia Nacional de Cibersegurança.
5. Artigo 5º: 3) Acompanhar a implementação da PNCiber.
6. Artigo 6º: 2) Fomentar a capacitação em segurança cibernética.