Minuta de Lei de cibersegurança põe Anatel em debate

A minuta de Lei Geral da Cibersegurança elaborada pelo Comitê Nacional de Cibersegurança (CNCiber) reabriu a frente de debate sobre quem deve coordenar a política nacional para o tema no Brasil. A possibilidade de a Anatel assumir esse papel aparece como um dos pontos mais sensíveis da discussão, ao lado da abrangência da futura lei sobre serviços essenciais, infraestruturas críticas e cadeias de fornecedores.

Entre os entrevistados ouvidos, há concordância sobre a necessidade de um marco legal mais claro, mas não sobre o desenho institucional. Para Rony Vainzof, sócio do VLK Advogados e integrante do comitê pelo setor empresarial, a prioridade é garantir um órgão central de coordenação. Segundo ele, a proposta do CNCiber “ajuda a aprofundar a discussão legislativa em curso, com uma visão mais ampla e estruturante para a cibersegurança no país”.

Vainzof defende que o texto em discussão no comitê complemente o projeto já em tramitação no Senado, sobretudo ao prever requisitos baseados em risco para serviços essenciais e infraestruturas críticas. Sobre a autoridade nacional, ele afirma que o melhor modelo seria o de uma nova agência reguladora, mas acrescenta que, se isso não for viável no momento, “a possibilidade de a ANCiber ficar na Anatel, com salvaguardas para mitigar conflito de interesse, em conjunto com o novo Marco Legal, seria uma alternativa válida, diante do cenário apresentado”.

Anatel divide avaliações
A eventual centralização da coordenação nacional na Anatel, porém, não é consenso. Paulo Cordeiro, CEO da 4MDG, plataforma SaaS especializada em governança de dados mestres, avalia que a lei pode preencher uma lacuna regulatória, mas considera precipitada a defesa de um papel central para a agência. “A cibersegurança é um tema mais amplo do que telecomunicações. O desenho ideal talvez seja uma estrutura mais plural, com forte participação do mercado, para evitar concentração excessiva de poder regulatório”, diz.

Juliana Sene Ikeda, sócia do Campos Thomaz Advogados, também aponta que o ponto central da discussão é institucional. Para ela, o debate expõe “uma tensão relevante entre modelos de organização: de um lado, a possibilidade de aproveitar a estrutura e a expertise de um regulador setorial já consolidado; de outro, a necessidade de uma autoridade com mandato transversal, capaz de coordenar respostas a incidentes que ultrapassam setores específicos”.

Na mesma linha, Vinicius Chagas, fundador e CEO da HOUS3, consultoria em cibersegurança e governança de produto, afirma que a Anatel já possui experiência regulatória, mas pondera que a transição exigiria mudanças mais amplas. “A Anatel tem a regulação de cibersegurança mais madura entre as agências brasileiras, mas coordenar segurança cibernética de forma transversal para energia, defesa, saúde e finanças é uma mudança qualitativa significativa de escopo”, afirma.

Escopo mais amplo da futura lei
Fora da controvérsia institucional, os entrevistados veem convergência na avaliação de que a minuta amplia o tratamento do tema no país. Rodrigo Gazzola, CEO da Addee, distribuidora de soluções de cibersegurança, afirma que a proposta deixa de restringir a discussão às grandes infraestruturas críticas e alcança toda a cadeia de prestação de serviços. “Não estamos falando apenas de grandes infraestruturas críticas, mas de toda uma cadeia que inclui provedores, serviços essenciais e até fornecedores indiretos”, diz.

Esse ponto também aparece nas avaliações de Vainzof e Juliana Ikeda. Para o advogado do VLK, “cibersegurança hoje é tema transversal. Não se limita à administração pública nem pode ser tratada de forma fragmentada, porque envolve setores essenciais para o funcionamento da economia, cada vez mais digital, e da própria sociedade”. Já Juliana afirma que a inclusão de operadores de infraestruturas críticas e de provedores de serviços essenciais no escopo da lei aproxima o Brasil de práticas adotadas em outros mercados.

Vinicius Chagas destaca ainda que a minuta reúne, sob um mesmo arranjo, setores como telecomunicações, energia, saúde, finanças, data centers e computação em nuvem. Para ele, isso responde melhor à natureza dos ataques, que não respeitam divisões setoriais. “Não dá mais para tratar segurança de forma setorial quando os ataques são transversais e uma brecha num provedor de nuvem pode comprometer simultaneamente clientes de diferentes setores da economia”, afirma.

Governança, custos e implementação
Os entrevistados também chamam atenção para os efeitos práticos da proposta. Paulo Cordeiro vê risco de aumento do custo de conformidade, sobretudo para empresas menores inseridas na cadeia de fornecimento. Segundo ele, “para grandes empresas, a tendência é de aumento do custo de conformidade; para médias e pequenas que integram essa cadeia, parte desse custo pode ser repassada indiretamente, afetando competitividade e margem”.

Gazzola, por sua vez, avalia que a nova lei pode ampliar a demanda por serviços especializados. “MSPs, MSSPs e empresas de tecnologia passam a ter um papel ainda mais estratégico, porque muitas organizações não têm estrutura interna para atender exigências desse nível”, diz.

Juliana pondera, contudo, que a efetividade da futura lei dependerá de detalhamento posterior. Para ela, sem critérios mais objetivos para classificação de ativos, requisitos mínimos de segurança e protocolos de resposta a incidentes, o texto corre o risco de ter baixa aplicabilidade prática.