Especialistas defendem nova autoridade nacional durante debate do marco da cibersegurança

Antes da votação do marco legal da cibersegurança, o Senado começou a desenhar algo que poderá ter impacto muito maior do que a simples criação de uma nova lei. A audiência pública realizada nesta terça-feira (30) na Comissão de Ciência, Tecnologia, Inovação e Informática (CCT) deixou claro que o centro da discussão passou a ser a futura arquitetura da governança da segurança digital brasileira. Mais do que definir princípios para a proteção contra ataques cibernéticos, especialistas do governo, das Forças Armadas, da inteligência, da academia e do setor privado defenderam a criação de um sistema nacional capaz de coordenar órgãos públicos, reguladores e empresas em torno de uma política permanente de Estado para enfrentar uma ameaça considerada cada vez mais estratégica.

O debate ocorreu durante a instrução do Projeto de Lei nº 4.752/2025, que cria o Marco Legal da Cibersegurança, institui o Programa Nacional de Segurança e Resiliência Digital e altera a Lei nº 13.756/2018. Logo na abertura, o presidente da comissão, o senador Esperidião Amin, deixou claro que o objetivo da audiência não era reapresentar o projeto nem reabrir discussões conceituais, mas colher sugestões concretas capazes de aperfeiçoar o texto antes da elaboração do parecer.

Segundo Amin, a principal dificuldade da futura legislação é justamente acompanhar a velocidade das transformações tecnológicas. “O que era perigoso há dois meses hoje pode inexistir. Ou pode ter surgido algo novo ou evoluído dramaticamente”, afirmou. Para o senador, será impossível produzir uma lei definitiva para um ambiente que muda permanentemente. “Vai ser muito difícil transformar esse projeto numa estátua. Ele vai sempre se mexer.”

Apesar disso, defendeu que o Congresso precisa encontrar um equilíbrio entre flexibilidade tecnológica e segurança jurídica. Segundo ele, as contribuições dos especialistas deverão preservar o espírito do projeto e respeitar a técnica legislativa prevista na Lei Complementar nº 95/1998, responsável pelas normas de elaboração das leis brasileiras.

A audiência foi precedida pela aprovação do Requerimento nº 50/2026, que ampliou a lista de especialistas convidados. Ao todo, quinze representantes de órgãos públicos, entidades empresariais, academia e sociedade civil participaram das discussões, com tempo limitado a três minutos por exposição para permitir maior número de contribuições.

Disputa institucional

O secretário-executivo do Comitê Nacional de Cibersegurança (CNCiber), Marcelo Antônio Osler Malaguti, utilizou a audiência pública para defender que o Projeto de Lei nº 4.752/2025 seja transformado não apenas no marco legal da cibersegurança, mas também na base de uma nova estrutura de governança para a segurança digital brasileira. Representando o colegiado vinculado ao Gabinete de Segurança Institucional (GSI), Malaguti propôs que o texto elaborado pelo Senado seja fundido à minuta construída pelo próprio CNCiber ao longo dos últimos dois anos.

A proposta vai além de alterações pontuais no projeto em tramitação. Na prática, amplia significativamente seu alcance institucional. Enquanto o texto apresentado pelos senadores concentra-se na criação do Programa Nacional de Segurança e Resiliência Digital, a proposta elaborada pelo CNCiber prevê uma arquitetura permanente de Estado composta por um Sistema Nacional de Cibersegurança, um Conselho Nacional de Cibersegurança, uma Autoridade Nacional de Cibersegurança, um Centro Nacional de Cibersegurança e uma rede de reguladores setoriais responsáveis pela regulamentação específica de cada segmento considerado infraestrutura crítica ou serviço essencial.

Segundo Malaguti, a intenção é aproveitar a tramitação do projeto para incorporar essa estrutura de governança, transformando a futura lei em um instrumento permanente de coordenação da segurança cibernética nacional.

Logo no início de sua exposição, o secretário justificou a urgência da proposta citando dois documentos considerados estratégicos. O primeiro é um levantamento do Tribunal de Contas da União que classifica a cibersegurança como uma das três dimensões da soberania digital brasileira. O segundo é a mensagem presidencial enviada ao Congresso Nacional no início deste ano, na qual o governo defende a implantação de uma nova governança nacional de cibersegurança ainda em 2026. “Nós temos trabalhado com essa mensagem de urgência como uma regra dentro dos nossos trabalhos”, afirmou.

Para Malaguti, o país vive atualmente um “paradoxo digital”. Segundo ele, o Brasil construiu uma das maiores plataformas de serviços públicos digitais do mundo, mas também figura entre os países mais atacados por criminosos virtuais. “Nós somos o país com o maior governo digital do mundo, mas também aparecemos entre os três mais atacados do planeta.”

Como exemplo dessa vulnerabilidade, citou o ataque que retirou do ar o sistema Defesa Civil Alerta, episódio conhecido como “misantropia”, lembrando que um único ataque foi suficiente para interromper um serviço público essencial durante vários dias. Na avaliação do secretário, a resposta a esse cenário passa pela criação de um modelo nacional baseado em quatro pilares: regulação, fiscalização, coordenação e controle.

Pela proposta apresentada, uma futura Autoridade Nacional de Cibersegurança seria responsável por editar normas gerais para todo o país, enquanto reguladores setoriais desenvolveriam regras específicas para segmentos como telecomunicações, sistema financeiro, energia, petróleo, transportes e demais infraestruturas críticas.

Segundo Malaguti, esse modelo produziria maior segurança jurídica, estabilidade regulatória e harmonização entre os diversos setores da economia digital. Foi justamente nesse ponto que a audiência revelou uma discussão institucional que tende a acompanhar toda a tramitação do projeto.

Embora Malaguti não tenha indicado expressamente qual órgão deverá exercer o papel de Autoridade Nacional de Cibersegurança, a proposta foi elaborada no âmbito do CNCiber, cuja secretaria-executiva funciona no Gabinete de Segurança Institucional da Presidência da República. A criação dessa autoridade levanta discussões sobre a distribuição futura de competências entre os órgãos que hoje já atuam na área.

Atualmente, a Autoridade Nacional de Proteção de Dados (ANPD) é responsável pela proteção de dados pessoais e pela aplicação da Lei Geral de Proteção de Dados (LGPD). A Agência Nacional de Telecomunicações (Anatel) possui regulamentação própria sobre segurança cibernética das redes de telecomunicações.

O Banco Central disciplina requisitos de segurança para o sistema financeiro. Outras agências reguladoras também exercem competências relacionadas às infraestruturas críticas. Ao mesmo tempo, o Ministério da Defesa atua na defesa cibernética e a Agência Brasileira de Inteligência (Abin) desenvolve atividades de inteligência cibernética, proteção das comunicações estratégicas e criptografia de Estado.

A criação de uma autoridade nacional com competências horizontais inevitavelmente suscita dúvidas sobre como essas atribuições serão compartilhadas e coordenadas. Não por acaso, ao longo da audiência diversos participantes defenderam a necessidade de “harmonização” entre os órgãos existentes, evitando sobreposição regulatória e conflitos de competência. Malaguti procurou responder a essa preocupação afirmando que o objetivo não seria substituir os reguladores já existentes, mas estabelecer uma estrutura de coordenação capaz de integrar suas atuações. Segundo ele, a autoridade nacional ficaria responsável pelas regras gerais e pela coordenação

O secretário também associou a discussão à corrida tecnológica internacional. Destacou que inteligência artificial, computação quântica e criptografia pós-quântica passaram a integrar as estratégias nacionais de segurança de Estados Unidos, China e países europeus. Para ele, enquanto diversos governos aproximam seus órgãos de inteligência artificial das estruturas de cibersegurança, o Brasil ainda corre o risco de ficar para trás. “O espaço está sendo ocupado muito rapidamente e nós estamos atrasados.”

Defesa nacional

A preocupação com a divisão de competências foi reforçada pelo comandante do Comando de Defesa Cibernética do Ministério da Defesa, general Jaci Barbosa Júnior. Embora tenha classificado o projeto como “excelente” e “urgente”, o militar alertou que o texto ainda não diferencia claramente cibersegurança de ciberdefesa.

Segundo ele, essa distinção será essencial para evitar conflitos institucionais quando ataques deixarem de representar apenas crimes digitais e passarem a ameaçar infraestruturas críticas ou a própria soberania nacional. “Falta uma diferenciação clara entre cibersegurança e ciberdefesa.”

Na avaliação do comandante, ataques frequentemente começam com motivações financeiras, mas podem evoluir para espionagem industrial, obtenção de segredos de Estado, sabotagem e ações contra serviços essenciais. “Quando esses ataques passam a atingir serviços essenciais ou infraestruturas críticas, tornam-se um problema de defesa.”

Barbosa lembrou que as principais potências militares já incorporaram operações cibernéticas às suas doutrinas militares e defendeu que a futura legislação estabeleça níveis objetivos para classificar incidentes. A proposta apresentada prevê cinco graus de gravidade, começando pelos incidentes técnicos resolvidos pelas equipes de tecnologia dos próprios órgãos, passando por crises nacionais e chegando aos ataques contra a soberania do Estado.

Segundo ele, essa classificação permitiria definir previamente quando entram em cena estruturas como Ministério da Defesa, Gabinete de Segurança Institucional (GSI) e demais órgãos federais.

O comandante também defendeu a inclusão explícita de tecnologias emergentes, como inteligência artificial e computação quântica, além do incentivo ao desenvolvimento de soluções nacionais e da criação de uma plataforma segura para compartilhamento de ameaças entre governo e operadores de infraestruturas críticas.

Inteligência

Se a Defesa concentrou sua preocupação na resposta aos ataques, a Agência Brasileira de Inteligência (Abin) defendeu que a inteligência seja reconhecida como um dos pilares da futura política nacional. Representando o Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações (Cepesc), o diretor substituto Rodrigo Pereira Pacheco afirmou que o país não discute apenas segurança digital.

“Estamos tratando fundamentalmente da preservação da soberania nacional, da rigidez das nossas instituições e da proteção das infraestruturas críticas do país.”

Segundo ele, a governança da cibersegurança não pode ser reduzida à administração de redes e sistemas computacionais. “Ela exige uma articulação profunda com a atividade de inteligência e com a alta tecnologia criptográfica de Estado.”

Pacheco explicou que o Cepesc atua há 44 anos no desenvolvimento de tecnologias para proteção das comunicações estratégicas do Estado brasileiro e hoje trabalha diretamente contra grupos de Ameaças Persistentes Avançadas (APTs), frequentemente ligados a governos estrangeiros.

Segundo ele, o órgão desenvolve algoritmos criptográficos próprios, preparados para resistir à futura computação quântica, e coordena a proteção das comunicações das mais altas autoridades da República. “A proteção do fluxo de dados das autoridades máximas da República e o desenvolvimento do algoritmo criptográfico de Estado encontram-se sob nossa coordenação técnica.”

O representante da Abin comparou a estrutura brasileira aos modelos adotados por Reino Unido, Estados Unidos e Espanha, argumentando que, nas principais potências, inteligência civil e desenvolvimento criptográfico constituem o núcleo central da resiliência digital. “O Brasil não pode ser apenas um espectador reativo. Precisa ser um ator soberano e protegido na era digital.”

Cooperação

O debate também revelou consenso entre setor público e iniciativa privada sobre outro ponto: nenhuma política de cibersegurança funcionará sem mecanismos permanentes de compartilhamento de informações.

Representando a TelComp, Luiz Henrique Barbosa afirmou que a transformação digital tornou insuficiente concentrar obrigações apenas sobre as empresas de telecomunicações. Segundo ele, hoje fazem parte da cadeia de risco operadoras de cabos submarinos, data centers, provedores de computação em nuvem, plataformas digitais, satélites, sistemas operacionais, aplicações de inteligência artificial e dispositivos conectados. “O risco cibernético percorre uma cadeia enorme.”

Na avaliação da entidade, qualquer organização que capture, processe, armazene ou trate dados deve assumir obrigações proporcionais ao risco que representa. “Todo mundo que captura, trata, armazena e processa dados tem que ter uma obrigação compatível com o risco que gera.”

O executivo também defendeu mecanismos de reporte seguro de incidentes, acompanhados de proteção jurídica para as empresas que comunicarem ataques. Segundo ele, crises cibernéticas frequentemente geram danos reputacionais e prejuízos econômicos que ultrapassam o próprio incidente técnico.

Ao mesmo tempo, alertou para a necessidade de evitar sobreposição entre a futura Autoridade Nacional de Cibersegurança, a Autoridade Nacional de Proteção de Dados e a Agência Nacional de Telecomunicações. “Há uma preocupação com a duplicidade de fiscalização. As responsabilidades precisam estar bem definidas.”

Cautela

Essa mesma preocupação apareceu na fala do diretor-presidente do NIC.br, Demi Getschko. Um dos pioneiros da internet brasileira, Getschko afirmou que a experiência acumulada pelo modelo multissetorial de governança da internet demonstra que segurança digital não pode ser construída por um único ator. “O tema tem que ser tratado como colaboração.”

Segundo ele, a realidade enfrentada por militares, empresas, órgãos públicos, crianças, adolescentes e cidadãos comuns é completamente diferente. “O que é útil para áreas de governo não é obrigatoriamente útil para crianças, adolescentes ou para o cidadão do dia a dia.”

Getschko também chamou atenção para um aspecto frequentemente ignorado na formulação de políticas públicas: a importância dos sistemas de notificação de incidentes. “Se você não proteger a identidade de quem denuncia, você perde as denúncias.”

Segundo ele, o grande volume de registros recebidos pelo CERT.br não demonstra maior insegurança da internet brasileira, mas sim a confiança conquistada pelo centro de resposta a incidentes ao longo de quase três décadas. “Nós temos um arquivo gigantesco de denúncias. Isso não indica que sejamos inseguros. Indica que as pessoas confiam em quem recebe essas informações.”

O diretor do NIC.br lembrou ainda que o domínio “.br” figura entre os mais seguros do mundo justamente porque mantém identificação dos responsáveis pelos registros, dificultando o anonimato utilizado em fraudes digitais. Ao recomendar cautela na elaboração da futura lei, recorreu à expressão latina festina lente (“apressa-te devagar”) para defender que o Congresso avance rapidamente, mas sem comprometer o equilíbrio regulatório.

Apesar das diferenças sobre a futura arquitetura institucional, a audiência terminou com um consenso raro entre militares, órgãos de inteligência, reguladores, setor produtivo, academia e especialistas: o Brasil precisa deixar de tratar a cibersegurança apenas como resposta a ataques e transformá-la em uma política permanente de Estado.

Se essa visão prevalecer durante a tramitação do PL 4.752/2025, o país não criará apenas um novo marco legal para incidentes digitais. Estará desenhando uma nova estrutura nacional de governança, capaz de integrar inteligência, defesa, regulação, infraestrutura crítica e iniciativa privada em torno de uma estratégia única de proteção da soberania digital brasileira.