O mercado nacional de segurança cibernética ganhou um presente inesperado no Natal de 2023 — fechando um ano desafiador para o setor com votos de melhorias significativas, o Governo Federal decretou a Política Nacional de Cibersegurança (PNCiber). O Decreto nº 11.856, assinado pelo presidente Luiz Inácio Lula da Silva e publicado no Diário Oficial da União (DOU) do dia 27 de dezembro, estava sendo desenvolvido há mais de um ano.
Contudo, embora os noticiários tenham sido rápidos em anunciar a entrada da PNCiber em vigor, muitos profissionais e estudiosos do setor ainda estão se perguntando o que, no fim das contas, isso realmente significa para o mercado nacional. Pois bem. Antes de mais nada, é crucial entender que, por si só, a PNCiber não é uma legislação; logo, neste primeiro momento, ela não estabelece diretamente qualquer tipo de regulamentação.
O objetivo primário da política é servir como norteadora para futuras iniciativas e normas federais que busquem aprimorar o cenário brasileiro de segurança cibernética, definindo padrões de qualidade, aumentando a resiliência das organizações (públicas ou privadas) promovendo educação sobre o tema e fomentando o desenvolvimento de tecnologias e produtos nacionais para a proteção da informação no âmbito cibernético.
Assim como a Lei Geral de Proteção de Dados (LGPD) foi abertamente inspirada na General Data Protection Regulation (GDPR), a Política Nacional de Cibersegurança tomou como base a diretiva NIS2 da União Europeia, que estabelece medidas de segurança cibernética comuns à todos os estados-membros. Também serviram como referência o modelo da União Internacional de Telecomunicações (UIT/ONU) e o Modelo de Maturidade proposto pela Universidade de Oxford.
Um dos pontos mais interessantes da política é que ela cria o Comitê Nacional de Cibersegurança (CNCiber), autarquia ligada ao Gabinete de Segurança Instituição (GSI) e que terá como missão servir como gestor da Estratégia Nacional e do Plano Nacional de Cibersegurança. Isso significa que é ele o responsável, a partir da sua fundação, de aconselhar medidas e propor estratégias para otimizar a segurança cibernética do Brasil.
O comitê será formado por 25 membros: um representante de cada ministério, um do GSI, um da Casa Civil, um da Controladoria Geral da União, um do Banco Central, um da Agência Nacional de Telecomunicações (Anatel), um do Comitê Gestor da Internet, três de instituições privadas científicas, três de entidades corporativas e três da sociedade civil. Isso demonstra a abrangência pretendida com a PNCiber, embora alguns críticos tenham estranhado a falta de ligações do CNCiber com a Autoridade Nacional de Proteção de Dados (ANPD).
A curto prazo, é difícil que a Política Nacional de Cibersegurança possa produzir efeitos perceptíveis para os profissionais de segurança cibernética e para a sociedade em geral. O comitê ainda precisa ser formado e seus grupos de trabalho precisam ser criados — aqui, vale a pena ressaltar que os membros do conselho se reunirão ordinariamente uma vez a cada três meses, podendo se reunir de maneira extraordinária em caso de urgências que ameacem a soberania nacional.
A médio e longo prazo, quando tanto a política quanto o comitê estiverem mais maduros, podemos esperar uma série de incentivos públicos para fomentar e acelerar o mercado nacional de cibersegurança, o que inclui maior produção e consumo de tecnologias locais. Coincidência ou não, a reforma tributária aprovada poucas semanas antes do decreto já previu uma redução de 60% nas alíquotas de impostos sobre “bens e serviços relacionados à soberania e segurança nacional, segurança da informação e segurança cibernética”.
Ainda é cedo demais para palpitar se, no futuro, o Brasil poderá se tornar uma potência exportadora de recursos de cibersegurança no mesmo nível que vemos nos Estados Unidos, Israel e vários países europeus, por exemplo. Porém, fica claro que está nos planos do Governo Federal uma autonomia maior quanto o assunto são recursos e produtos para a defesa dos ativos nacionais. É sempre mais confortável contar com uma infraestrutura sólida local e depender menos de fornecedores estrangeiros.
A Eskive, por exemplo, é uma plataforma 100% brasileira, com tecnologia e metodologia proprietárias, fornecendo um ágil suporte em português para seus parceiros de negócio. Dificilmente, porém, você precisará deste suporte, já que a plataforma foi elaborada para onerar o mínimo possível as equipes de segurança, automatizando praticamente toda a jornada de conscientização dos colaboradores com conteúdos elaborados por especialistas no tema. Entre em contato conosco e saiba mais!