Por meio de duas portarias publicadas hoje (12) no Diário Oficial da União, o Instituto Nacional de Tecnologia da Informação (ITI), a Autoridade-Raiz da ICP Brasil, instituiu o seu modelo de governança em segurança da informação, proteção de dados e resposta a incidentes cibernéticos. Os atos aprovam a Política de Segurança da Informação do ITI e instituem a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, criando uma engrenagem permanente que conecta diretrizes estratégicas, gestão de riscos, resposta operacional e integração com a arquitetura federal de cibersegurança. Todas as medidas estão diretamente alinhadas ao modelo de segurança digital que vem sendo implementado no Governo Federal.
A Portaria nº 1, de 9 de janeiro de 2026, aprova formalmente a Política de Segurança da Informação do ITI (POSIN-ITI), documento que passa a estabelecer princípios, objetivos, responsabilidades e diretrizes para a proteção dos ativos de informação da autarquia. A política consolida o alinhamento do instituto à Lei Geral de Proteção de Dados, à Lei de Acesso à Informação e às normas federais de segurança da informação, além de incorporar padrões internacionais da família ISO 27000.
A POSIN-ITI define que todos os ativos de informação, processos, serviços e ambientes físicos ou lógicos sob custódia do ITI estão sujeitos às regras de segurança, inclusive quando tratados por terceiros contratados. O texto estabelece uma estrutura clara de governança, com papéis bem delimitados para o Comitê de Gestão Estratégica, o Subcomitê de Governança Digital e Segurança da Informação, o Gestor de Segurança da Informação, o encarregado de dados pessoais, os Oficiais de Segurança da Informação e Resposta a Incidentes e os usuários dos sistemas.
Entre os eixos centrais da política está a adoção formal de um Sistema de Gestão de Segurança da Informação, baseado em gestão contínua de riscos, classificação da informação, governança de dados, privacidade, continuidade de negócios e segurança em tecnologia da informação. A política também fixa diretrizes obrigatórias para contratos e aquisições, exigindo cláusulas específicas de segurança da informação e conformidade com a LGPD em todas as relações com prestadores de serviços.
Um dos pontos mais relevantes do texto é a incorporação explícita do tema da inteligência artificial ao arcabouço de segurança da informação. A POSIN-ITI estabelece regras para o uso seguro e responsável de sistemas de IA, prevendo gestão contínua de riscos, análise de impacto algorítmico para aplicações de maior risco e vedação expressa a modelos que possam gerar desinformação, vigilância massiva ou violação de direitos fundamentais. A política também determina que soluções de IA sejam monitoradas continuamente, com controles de segurança e privacidade desde a concepção.
Complementando esse arcabouço normativo, a Portaria nº 2, também de 9 de janeiro de 2026, institui de forma permanente a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do ITI, a “ETIR-ITI”. A equipe passa a ser o núcleo operacional responsável por coordenar ações de prevenção, detecção, análise e resposta a incidentes cibernéticos e violações de privacidade que possam afetar os serviços, sistemas e dados sob responsabilidade do instituto.
A ETIR-ITI adota um modelo misto de atuação, com coordenação central e equipes distribuídas nas diretorias do órgão, integrando representantes da área tecnológica, de auditoria, de planejamento e do gabinete da presidência. A portaria confere autonomia operacional à equipe para decisões técnicas imediatas em situações de incidente, com o objetivo de mitigar danos e preservar a continuidade dos serviços, exigindo apenas a comunicação posterior à alta administração.
Do ponto de vista institucional, a equipe passa a integrar formalmente a Rede Federal de Gestão de Incidentes Cibernéticos e deverá atuar em conformidade com as diretrizes do Gabinete de Segurança Institucional da Presidência da República e do CTIR Gov. A norma também define fluxos obrigatórios de comunicação externa, incluindo a notificação à Autoridade Nacional de Proteção de Dados em até três dias úteis nos casos de incidentes com risco ou dano relevante a titulares de dados pessoais, além da interação com o Centro Integrado de Segurança Cibernética do Governo Digital.
As duas portarias se complementam de forma explícita. A POSIN-ITI estabelece o modelo de governança, os princípios, a gestão de riscos, a classificação da informação e as responsabilidades institucionais. A ETIR-ITI, por sua vez, operacionaliza esse modelo ao assumir a gestão concreta dos incidentes, a resposta técnica e a articulação com os órgãos federais de cibersegurança. A política prevê, inclusive, que a ETIR e os Oficiais de Segurança da Informação atuem como pilares da primeira linha de defesa do instituto.
As nomas também reforçam mecanismos de controle e responsabilização. O acesso a sistemas e ambientes do ITI passa a depender da assinatura de Termo de Conhecimento e Responsabilidade, com ciência expressa sobre monitoramento, auditoria e sanções administrativas, civis e penais em caso de descumprimento das regras de segurança da informação. O texto deixa claro que o uso indevido de recursos tecnológicos, a exploração de vulnerabilidades ou o vazamento de credenciais constituem infrações passíveis de punição.
Ao publicar simultaneamente a política institucional e a estrutura permanente de resposta a incidentes, o ITI consolida um modelo integrado de segurança da informação, proteção de dados e cibersegurança, alinhado às diretrizes do GSI, à atuação da ANPD e à estratégia federal de segurança digital. Trata-se de um movimento que fortalece a governança interna do instituto e amplia sua capacidade de resposta em um cenário de crescente exposição a riscos cibernéticos, especialmente considerando o papel estratégico do ITI na certificação digital, identidade eletrônica e serviços sensíveis do Estado brasileiro.
