CNCiber publica proposta de lei geral para cibersegurança, com apoio multissetorial e Anatel como autoridade sugerida
Agentes de cibersegurança obrigados incluem operadores de infraestruturas críticas, provedores de serviços essenciais, bem como fornecedores diretos e indiretos que integram a cadeia de suprimentos. E os governos em todos os níveis desde 100 mil habitantes.
A alta burocracia nacional e o creme do setor privado têm uma proposta de consenso, inclusive na urgência, de uma lei geral de cibersegurança para o Brasil. Moída nos métodos e tempos dos processos de Estado, o projeto que nasceu das preocupações do Gabinete de Segurança Institucional sobre o tema ganha luz em um formato que permite a incorporação de poderes de agência reguladora específica a uma agência já existente – e larga com a preferência pela Anatel.
A possibilidade de um projeto de lei com carimbo do governo federal neste ano eleitoral não empolga nem os maiores defensores de uma Agência Nacional de Ciberegurança. Resta a esperança de influenciar um caminho legal e legislativo. Em especial pelo caráter multissetorial. A minuta de um projeto de lei sai com apoio do Comitê Nacional de Cibersegurança, na prática um super GT que tem 14 órgãos federais, nove representantes privados e ainda o Comitê Gestor da Internet.
O projeto estabelece um universo de agentes regulados e a estrutura governamental para lidar com temas de cibersegurança. A lista de “agentes de cibersegurança obrigados inclui operadores de infraestruturas críticas; provedores de serviços essenciais; União, Estados, Distrito Federal e Municípios com mais de 100 mil habitantes.
Mais ainda, prevê que a Lei se estende “aos fornecedores diretos e indiretos que integram a cadeia de suprimentos dos agentes de cibersegurança obrigados”. E prevê que mesmo “as instituições autorizadas a funcionar pelo Banco Central do Brasil observarão esta Lei, respeitadas as especificidades do seu setor, e a regulamentação do Banco Central do Brasil e do Conselho Monetário Nacional”.
Do ponto de vista da estrutura governamental, o marco legal cria um sistema nacional coordenado pelo GSI e tendo uma autoridade nacional, autoridades setoriais e os congêneres nas diferentes esferas estaduais e municipais. A autoridade nacional, além de poderes normativos, deve acomodar um centro nacional de cibersegurança, ou CENCiber, para gestão da prevenção, monitoramento e tratamento e resposta a ciberincidentes, inclusive no âmbito dos agentes de cibersegurança obrigados, capaz de avaliar danos reais e potenciais ocasionados por ciberincidentes.
O capítulo da autoridade nacional está vago. Por princípio constitucional, só o governo pode propor criação de órgão ou indicação de competência como tal. No CNCiber, o apoio majoritário é para que a Anatel ocupe esse papel. Nesta quinta, 2/4, o trabalho interno que resultou nessa posição, assim como a minuta de lei geral da cibersegurança em si, foram tornadas públicas, a pedido da Fiesp, que integra o comitê.
Como expresso durante a reunião do CNCiber, “trata de uma minuta não vinculativa, mas que contém muitos detalhes que podem ser úteis, por exemplo, para avaliação pelos legisladores durante o debate que ocorre no Senado, bem como por eventuais setores da sociedade que possam ser afetados pela proposta”. O debate no Senado é sobre o PL 4752/25, que também trata de um marco legal de cibersegurança.
