Nova instrução normativa eleva status do gestor de segurança, afasta a função da área de TI e amplia o controle do Gabinete de Segurança Institucional da Presidência da República sobre riscos cibernéticos, dados e tecnologias emergentes.
O Gabinete de Segurança Institucional da Presidência da República avançou na centralização da governança da segurança da informação no Executivo Federal ao publicar hoje (09), a Instrução Normativa GSI/PR nº 9, de 8 de janeiro de 2026. Na prática, a instrução normativa eleva o gestor de segurança da informação ao patamar de função estratégica de Estado. A designação passa a exigir vínculo efetivo com o serviço público civil ou militar e ocupação de cargo comissionado executivo de alto nível ou posto de oficial general. A regra geral veda que o responsável pela área de tecnologia da informação, ou seus subordinados, acumulem a função, rompendo com um modelo historicamente dominado pela lógica operacional da TI e reposicionando a segurança da informação como atividade de governança, risco e controle.
O novo desenho amplia significativamente o escopo de atuação do gestor. Entre as atribuições que passam a constar a coordenação das iniciativas de segurança da informação, a realização de avaliações de risco e análise de impacto antes da adoção de tecnologias emergentes, o planejamento e a proposição de recursos orçamentários específicos, o acompanhamento das equipes de prevenção e resposta a incidentes cibernéticos e a atuação como segunda linha de defesa no âmbito do sistema de controle interno. O gestor também assume papel ativo na avaliação de conformidade com a Política Nacional de Segurança da Informação e no apoio a auditorias internas e externas.
Outro movimento relevante é a criação da figura do “Gestor Setorial de Segurança da Informação”. A instrução autoriza os órgãos federais a designarem servidores para exercer atribuições análogas nas unidades administrativas internas, sem criação de novos cargos, mas com responsabilização formal. Esses gestores setoriais atuarão sob a governança do gestor titular do órgão, criando uma estrutura mais capilarizada de controle e resposta a riscos, especialmente em organizações complexas e descentralizadas.
A norma altera a Instrução Normativa nº 1, de 2020, e redefine de forma profunda o papel, o perfil e as atribuições do gestor de segurança da informação nos órgãos e entidades da administração pública federal, em sintonia com o Decreto nº 12.572/2025 (que instituiu a Política Nacional de Segurança da Informação e tratou da governança da segurança da informação no âmbito da administração pública federal).
A norma aproxima ainda mais a agenda de segurança da informação da política de proteção de dados pessoais. O gestor passa a ter atribuição expressa de cooperar com o encarregado pelo tratamento de dados pessoais sempre que houver envolvimento de dados, consolidando a convergência entre segurança, LGPD e governança informacional dentro da máquina pública.
A IN também impõe um novo dever administrativo aos órgãos federais: comunicar ao Gabinete de Segurança Institucional os nomes e os dados de contato dos gestores de segurança da informação, titulares, substitutos e setoriais, sempre que houver nova designação. O prazo para adequação é de 60 dias a partir da publicação da norma. Há, contudo, uma regra de transição até 29 de janeiro de 2027, que flexibiliza temporariamente os níveis de cargos exigidos, com exceções importantes para órgãos estratégicos, como os integrantes do Comitê Gestor de Segurança da Informação, aqueles que tratam informações classificadas nos termos da Lei de Acesso à Informação e os responsáveis por infraestruturas críticas.
Esse reforço normativo ocorre em paralelo a movimentos recentes do governo que vêm redesenhando o arranjo institucional da cibersegurança no país. Entre eles, está a designação da Agência Nacional de Telecomunicações como autoridade provisória para funções relacionadas à segurança cibernética no âmbito das redes e serviços de telecomunicações, decisão que recolocou a Anatel no centro do debate sobre a arquitetura nacional de defesa cibernética. Embora a IN nº 9/2026 não mencione diretamente a agência reguladora, o fortalecimento do papel coordenador do GSI dialoga com esse novo arranjo, no qual a Anatel atua de forma setorial e operacional, enquanto o Gabinete de Segurança Institucional consolida a governança estratégica da segurança da informação no Executivo.
Na prática, a instrução normativa ajuda a delimitar fronteiras institucionais que chegaram a serem cobradas pelos ministérios da Gestão e da Justiça, embora em ambos os casos foi demonstrado também o temor e haver sobreposição de funções.
Enquanto a Anatel passa a exercer atribuições ligadas à segurança cibernética das infraestruturas de telecomunicações e à resiliência das redes, o GSI reforça seu papel como formulador, coordenador e fiscalizador da política de segurança da informação no conjunto da administração pública federal. A separação de funções reduz sobreposições, mas também explicita a concentração de poder decisório no núcleo do Palácio do Planalto em temas sensíveis como riscos digitais, tecnologias emergentes e proteção de informações estratégicas do Estado.
Nesse contexto, a Instrução Normativa nº 9/2026 se insere diretamente no debate político e institucional sobre a criação de uma agência nacional de cibersegurança. Ao fortalecer o GSI como centro de governança e ao estruturar uma rede de gestores de segurança da informação com capilaridade em toda a administração pública, o governo antecipa, na prática, elementos típicos de uma autoridade centralizada, ainda que sem criar formalmente uma nova agência.
IA Generativa
A ampliação das atribuições do gestor para avaliar tecnologias emergentes e impactos operacionais reforça a preocupação no governo com o uso crescente de inteligência artificial generativa no setor público, incluindo riscos como automação decisória opaca, exposição de dados sensíveis, dependência de modelos externos e vulnerabilidades em cadeias de suprimento digitais. A norma, embora não cite explicitamente a IA generativa, cria o arcabouço institucional para que sua adoção passe a ser submetida a avaliações de risco e controle político-administrativo mais rígidos.
Ao reforçar o papel do gestor e concentrar no GSI a coordenação da política de segurança da informação e cibernética, o governo sinaliza uma mudança de patamar na forma como lida com riscos digitais. A instrução normativa insere a segurança da informação no centro das decisões sobre adoção de novas tecnologias, orçamento público e controle interno, num contexto em que a digitalização acelerada do Estado, o avanço da inteligência artificial e a pressão por soberania informacional ampliam o peso político da área.
O movimento também consolida o Gabinete de Segurança Institucional como eixo estruturante da arquitetura federal de segurança cibernética, ao mesmo tempo em que reposiciona a Anatel como braço regulatório setorial nesse ecossistema. O resultado é um modelo mais hierarquizado e centralizado, que antecipa disputas institucionais e políticas sobre os limites entre regulação, governança civil e poder de coordenação estatal na gestão das informações críticas, das infraestruturas digitais e dos sistemas baseados em inteligência artificial no Estado brasileiro.
