CNCiber divulga minuta de lei com regras de cibersegurança para telecom, nuvem e data centers

O Comitê Nacional de Cibersegurança (CNCiber) tornou pública a minuta da Lei Geral da Cibersegurança, proposta que estabelece princípios, diretrizes e regras para o tema no Brasil e institui o Sistema Nacional de Cibersegurança (SNCiber). O texto enquadra como serviços essenciais áreas diretamente ligadas ao setor de TIC, como comunicações, serviços via satélite e infraestruturas digitais, categoria em que inclui data centers, serviços de nuvem, provedores de infraestrutura de tráfego da internet, DNS, registro de domínios de topo, redes de distribuição de conteúdo, certificação digital, MSPs e MSSPs.

Pela minuta, passam a ser agentes de cibersegurança obrigados os operadores de infraestruturas críticas, os provedores de serviços essenciais e também a União, os estados, o Distrito Federal e os municípios com mais de 100 mil habitantes. A aplicação da lei também se estende à cadeia de suprimentos desses agentes, com observância das normas e diretrizes expedidas pela autoridade competente conforme porte, natureza e grau de exposição a riscos. Para municípios menores, o texto prevê observância “no limite de suas condições orçamentárias”.

No caso dos setores enquadrados como essenciais, a proposta coloca telecomunicações, radiodifusão e serviços postais no bloco de comunicações. Também inclui, em infraestrutura digital, ativos que hoje estão no centro da expansão do mercado de TIC, como data centers e cloud computing. A redação reforça a abrangência setorial da proposta e sinaliza que o marco legal pretendido pelo CNCiber não se limita à administração pública nem ao setor estritamente militar ou policial.

Deveres e medidas obrigatórias
A minuta determina que os agentes obrigados adotem medidas técnicas, operacionais e organizacionais baseadas em gestão de risco. Entre os blocos mínimos exigidos estão governança, avaliação e auditoria, proteção de ativos, controle de acesso com autenticação multifator e certificação digital, segurança no ciclo de vida, segurança da cadeia de suprimentos, testes contínuos, resposta a incidentes, continuidade de negócios e treinamento. O texto também atribui ao agente a responsabilidade pela implementação dessas medidas mesmo quando houver terceirização.

Os deveres perante a autoridade competente também aparecem de forma detalhada. Os agentes obrigados deverão indicar responsável de alta administração pela cibersegurança, manter cadastro atualizado, notificar incidentes relevantes, comunicar vulnerabilidades relevantes ao Centro Nacional de Cibersegurança (CENCiber) e informar os usuários sobre incidentes relevantes. Além disso, terão de instituir e implementar sua ETIR, comunicar imediatamente vulnerabilidades ou incidentes de impacto relevante e sanar com urgência vulnerabilidades apontadas em alertas e recomendações do CENCiber.

Governança, centro nacional e sanções
O texto cria o SNCiber como estrutura de harmonização e colaboração entre órgãos e entidades da União, dos estados, do Distrito Federal e dos municípios que atuam na promoção da cibersegurança. A minuta coloca o Gabinete de Segurança Institucional (GSI) como órgão central e coordenador do sistema e prevê a participação da autoridade nacional de cibersegurança, das autoridades setoriais e de outros órgãos públicos. O CENCiber, por sua vez, aparece como órgão central da Rede Nacional de Cibersegurança, com funções de coordenação, emissão de alertas, análise de ameaças, apoio às ETIRs e intercâmbio científico-tecnológico.

A autoridade nacional de cibersegurança, segundo a minuta, terá competências regulatória, fiscalizatória, coordenadora e sancionatória. Poderá emitir normas gerais, monitorar cumprimento, aplicar sanções, reconhecer certificações, gerir o CENCiber, estruturar mecanismos de prevenção e resposta e até determinar, em caráter cautelar e por até 72 horas, bloqueio de tráfego, remoção de artefatos maliciosos, desconexão ou desligamento de ciberativos em situações de risco iminente e elevada possibilidade de sanção por atividade ilícita relacionada à cibersegurança.

As sanções administrativas previstas vão de advertência a multa simples de até 2% do faturamento do último exercício da pessoa jurídica ou grupo no Brasil, limitada a R$ 50 milhões por infração. O texto também prevê multa diária, obrigação de fazer ou não fazer, suspensão do fornecimento de produtos ou serviços ligados à infração, proibição parcial ou total de distribuição e vedação de acesso a incentivos e empréstimos públicos por até cinco anos.

Autoridade nacional segue em aberto
Embora a minuta divulgada estabeleça a figura da autoridade nacional de cibersegurança, a versão pública não define qual órgão exercerá essa função. O capítulo correspondente ficou com a redação em aberto, apenas com a indicação de que ali será “designado ou instituído” o órgão responsável.

O relatório do grupo de trabalho que consolidou a proposta mostra, porém, que o CNCiber chegou a elaborar uma versão completa da Lei Geral da Cibersegurança no chamado “cenário Anatel”, com capítulos específicos para designar a agência como Autoridade Nacional de Cibersegurança. O mesmo relatório informa que também foi preparada uma versão adaptável a três cenários institucionais distintos. No documento, o GTT registra ainda que o aproveitamento de uma estrutura já existente foi discutido no contexto de restrições fiscais e de maior rapidez de implantação.