Marco Legal da Cibersegurança pode obrigar empresas a reportar ataques ao governo

O Marco Legal da Cibersegurança (PL 4.752/2025) ganhou novo fôlego no Senado Federal nesta semana, em meio a um cenário de perdas bilionárias causadas por ataques cibernéticos no Brasil. Em audiência pública realizada na terça-feira (4), a Frente Parlamentar de Apoio à Cibersegurança e Defesa Cibernética reuniu especialistas que elogiaram a iniciativa, mas levantaram questões cruciais sobre sua implementação.

O projeto, de autoria do senador Esperidião Amin (PP-SC), que também preside a frente parlamentar, aguarda designação de relator na Comissão de Constituição e Justiça (CCJ). Durante a audiência, Amin sinalizou abertura para ajustes no texto. “Sugestões a respeito do projeto de lei ainda serão recebidas e consideradas”, afirmou o parlamentar.

Agência exclusiva ou estrutura existente?

O ponto central do debate gira em torno da criação de uma agência reguladora específica para coordenar respostas a ataques cibernéticos. Para as advogadas Camila Pepe e Barbara Kreutzfeld, do escritório Stocche Forbes, que acompanharam as discussões, este é “o ponto mais relevante para a iniciativa privada”.

No entanto, há incertezas sobre o modelo a ser adotado. O secretário de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional (GSI), André Luiz Bandeira Molina, revelou que o Executivo estuda ampliar a competência da Agência Nacional de Telecomunicações (Anatel) para incluir a cibersegurança. Segundo Molina, essa seria “uma solução viável e mais rápida”, aproveitando a estrutura já existente da agência.

“O GSI afirmou que o Executivo ainda está avaliando, mas que terá uma posição até o final desse ano”, explicam as advogadas. “A questão aqui é entender se uma agência já existente terá pessoal e expertise para liderar esse tipo de tema.”

A divergência se reflete entre os senadores. Hamilton Mourão (Republicanos-RS) defende que “o ideal seria ter uma agência exclusiva para atuar com foco no tema da cibersegurança”. Jorge Seif (PL-SC) vai além e sugere que uma agência específica poderia ter representantes da iniciativa privada, sem o “engessamento dos órgãos de governo”, inspirando-se no modelo norte-americano.

O que muda para as empresas

O projeto estabelece mecanismos de financiamento com recursos do Fundo Nacional de Segurança Pública (FNSP) e da arrecadação de loterias, além de criar o Programa Nacional de Segurança e Resiliência Digital. A iniciativa pode contar com adesão de estados, municípios e organizações privadas.

Para as empresas brasileiras, a grande mudança esperada é a obrigatoriedade de reportar ataques cibernéticos. “Possivelmente esse PL trará a obrigatoriedade de reporte de casos de ataques cibernéticos”, avaliam Camila e Barbara. Atualmente, essa exigência existe apenas quando há vazamento de dados pessoais ou para setores regulados, como o financeiro.

As advogadas sugerem que “a criação de critérios de relevância de ataques para fins de reporte” poderia minimizar impactos para empresas que terão que informar fragilidades em seus sistemas.

Contexto regional e urgência do tema

O Brasil já figura como alvo relevante de ataques cibernéticos, com perdas bilionárias registradas no último ano. O contra-almirante Marcelo do Nascimento Marcelino, chefe do Centro de Operações Cibernéticas da Marinha, destacou que o projeto “representa um avanço estratégico para o país, por fortalecer a resiliência digital”.

Na América Latina, o Brasil está atrasado em relação aos vizinhos. A Argentina possui normativos sobre o tema desde 2023, com indicativos de queda significativa nas ameaças após a regulamentação. O Chile adotou legislação similar em 2024.

Belisario Contreras, coordenador da Digi Americas Alliance, reconheceu que “o esforço do Senado para trazer avanços para a cibersegurança é digno de reconhecimento no país e na América Latina”, e alertou para a necessidade de atenção à relação entre inteligência artificial e cibersegurança, com foco em privacidade e ética.

Recomendações para o setor privado

Independentemente da aprovação da lei, especialistas recomendam que empresas já adotem medidas preventivas. “As empresas certamente devem desde já implementar uma estrutura robusta buscando prevenir ataques”, afirmam as advogadas do Stocche Forbes.

As medidas incluem sistemas de identificação de ataques, treinamento de colaboradores e, principalmente, um plano robusto de resposta a incidentes – algo já indicado pela Lei Geral de Proteção de Dados (LGPD), mas que ganha nova urgência.

“A empresa não pode esperar a crise bater em sua porta”, alertam as advogadas. “A administração da companhia precisa saber a quem recorrer, quais atores deverá comunicar o ocorrido, a necessidade do início de uma investigação forense, o reporte a autoridades criminais, entre outras medidas.”

A recomendação inclui exercícios de simulação (table top) para testar políticas e identificar falhas antes que um ataque real ocorra.

Com o texto ainda em fase de discussão e aguardando posicionamento definitivo do governo sobre o modelo institucional, o Marco Legal da Cibersegurança promete ser um dos temas centrais do debate legislativo nos próximos meses, com impactos diretos para empresas e cidadãos brasileiros.

Fonte: It Fórum.