Estatais e agências reguladoras de infraestruturas críticas estão fora do comitê de cibersegurança

A exceção foi concedida apenas à Anatel – Agência Nacional de Telecomunicações. A tão esperada Política Nacional de Cibersegurança (PNCiber) saiu hoje (27), na forma do Decreto nº11.856/23; assinado pelo presidente Lula. A medida, embora seja elogiável, peca por falhas estruturais na composição do Comitê Nacional de Cibersegurança – CNCiber. Formado por 19 integrantes do governo, academia, sociedade civil e da iniciativa privada, o novo órgão não contará com a visão de quem está na linha de frente das grandes infraestruturas consideradas críticas e que são consideradas estratégicas para o país.

A PNCiber tem como pilar central de atuação “orientar a atividade de segurança cibernética no País” e seus princípios se baseiam na:

I – soberania nacional e a priorização dos interesses nacionais;
II – garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
III – prevenção de incidentes e de ataques cibernéticos, em particular aqueles dirigidos a infraestruturas críticas nacionais e a serviços essenciais prestados à sociedade;
IV – resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;
V – educação e o desenvolvimento tecnológico em segurança cibernética;
VI – cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética; e
VII – cooperação técnica internacional na área de segurança cibernética.

Para cumprir tais princípios foram elencados 11 objetivos. O destaque vai para o que trata da promoção do “desenvolvimento de produtos, serviços e tecnologias de caráter nacional destinados à segurança cibernética”. Portanto, a PNCiber tem como meta estimular o fortalecimento de uma indústria nacional destinada à segurança cibernética.

Atores

A composição do Comitê Nacional de Cibersegurança (CNCiber) deixou a desejar, pois além de não ser técnico, priorizou alguns setores em detrimento de outros na discussão da formulação dessa política. Por exemplo, dos 19 integrantes, 16 são do governo. Sendo que 13 serão ministros de estado, que certamente designarão os seus secretários executivos. Portanto, em sua maioria o comitê será formado por cargos transitórios, que discutirão um plano nacional que poderá ser alterado sempre que houver uma mudança na composição do governo federal.

O ideal é que fosse um organismo de caráter técnico com gente que estivesse diretamente ligada aos problemas de segurança cibernética; que tenham a dimensão do problema e não apenas a compreensão das necessidades que cada infraestrutura crítica poderá necessitar.

Não há explicação, por exemplo, para a Agência Nacional de Telecomunicações (Anatel) ter assento privilegiado no Comitê Nacional de Cibersegurança (CNCiber) e terem deixado de fora a Agência Nacional de Energia Elétrica (Aneel). Podem tentar justificar que nesta composição exista a possibilidade de o Operador Nacional do Sistema Elétrico estar presente nos debates centrais, mas este será um ente privado, enquanto que o regulador do setor foi descartado.

Da mesma forma, as principais infraestruturas críticas de tecnologia da informação e comunicações estão concentradas em estatais como Serpro, Dataprev, Telebras e Datasus. Por que essas empresas não farão parte diretamente da formulação do Plano Nacional de Cibersegurança, se estão na linha de frente do combate, têm a visão necessária para evitar erros de concepção dessa política?

Pode-se alegar que elas estarão presentes em outros fóruns de debate, mas estão completamente ausentes da cúpula que pensará a segurança cibernética do país. Aos olhos desse blog, a ausência delas é um erro, num organismo que deveria ser eminentemente técnico.

O Comitê Nacional de Cibersegurança (CNCiber) será formado pelos seguintes membros:

I – um do Gabinete de Segurança Institucional da Presidência da República, que o presidirá;
II – um da Casa Civil da Presidência da República;
III – um da Controladoria-Geral da União;
IV – um do Ministério da Ciência, Tecnologia e Inovação;
V – um do Ministério das Comunicações;
VI – um do Ministério da Defesa;
VII – um do Ministério do Desenvolvimento, Indústria, Comércio e Serviços;
VIII – um do Ministério da Educação;
IX – um do Ministério da Fazenda;
X – um do Ministério da Gestão e da Inovação em Serviços Públicos;
XI – um do Ministério da Justiça e Segurança Pública;
XII – um do Ministério de Minas e Energia;
XIII – um do Ministério das Relações Exteriores;
XIV – um do Banco Central do Brasil;
XV – um da Agência Nacional de Telecomunicações – Anatel;
XVI – um do Comitê Gestor da Internet no Brasil;
XVII – três de entidades da sociedade civil com atuação relacionada à segurança cibernética u à garantia de direitos fundamentais no ambiente digital;
XVIII – três de instituições científicas, tecnológicas e de inovação relacionadas à área de segurança cibernética; e
XIX – três de entidades representativas do setor empresarial relacionado à área de segurança cibernética.

A estruturação desse decreto parece ter sido uma alternativa que o Gabinete de Segurança Institucional da Presidência da República criou para suprir neste momento a falta do principal articulador da Política Nacional de Segurança Cibernética: a ANCiber – Agência Nacional de Segurança Cibernética.

A proposta travou dentro do governo depois que diversos órgãos sutilmente se posicionaram contra, por temerem perder poderes para um novo ente governamental. Se tal estrutura tivesse sido criada, com o apoio legislativo, certamente o governo estaria dispensado de criar tal comitê cheio de falhas na composição dos atores que definirão uma política de caráter nacional.

*Veja a íntegra da PNCiber no link abaixo:

https://www.in.gov.br/en/web/dou/-/decreto-n-11.856-de-26-de-dezembro-de-2023-533845289