Institui a Rede Federal de Gestão de Incidentes Cibernéticos para coordenar respostas a incidentes de segurança digital.
O decreto institui a ReGIC e organiza a coordenação federal de incidentes cibernéticos.
📌 A maior parte dos comandos é dirigida a órgãos públicos e estruturas do GSI/CTIR Gov.
⚠️ Para empresas, os requisitos diretos são condicionais: adesão, convite, participação formal ou atuação como coordenação setorial.
🧾 O pacote destaca ETIR, termo de adesão, reporte de incidentes/vulnerabilidades, plano setorial e centralização de notificações.
O Decreto nº 10.748, de 16 de julho de 2021, institui a Rede Federal de Gestão de Incidentes Cibernéticos, conhecida como ReGIC. No retrato-fonte deste pacote, a norma foi tratada como decreto autônomo de governança e coordenação de incidentes cibernéticos, com foco principal em órgãos e entidades da administração pública federal e com hipóteses condicionadas de participação de empresas públicas, sociedades de economia mista federais, subsidiárias e outras pessoas jurídicas convidadas.
A extração adotou uma leitura conservadora para empresas. A maior parte do decreto disciplina a criação da rede, suas finalidades, sua composição, papéis do GSI, do CTIR Gov, de órgãos federais, de agências reguladoras, do Banco Central, da Comissão Nacional de Energia Nuclear e das equipes de coordenação setorial. Esses dispositivos são importantes para contexto e rastreabilidade, mas não foram convertidos automaticamente em requisitos empresariais quando o comando é dirigido apenas a órgão público ou autoridade.
Os requisitos empresariais diretos aparecem principalmente em três blocos: adesão voluntária ou por convite à ReGIC, obrigações de reporte para pessoas jurídicas aderentes e deveres de governança quando uma entidade atuar como equipe de coordenação setorial. O pacote, portanto, não transforma a totalidade do decreto em obrigação genérica. Ele separa pontos de contexto, escopo, definições e competências internas dos comandos que podem gerar ação, evidência ou controle para uma entidade privada ou estatal que esteja dentro das hipóteses previstas.
O decreto cria uma rede federal voltada à coordenação de prevenção, tratamento e resposta a incidentes cibernéticos. A participação é obrigatória para órgãos e entidades da administração pública federal direta, autárquica e fundacional. Para empresas públicas e sociedades de economia mista federais, bem como suas subsidiárias, a participação é voluntária e ocorre por meio de adesão. A norma também admite que outras entidades públicas ou privadas sejam convidadas pelo GSI a integrar a rede, desde que cumpram os requisitos de adesão.
Essa arquitetura cria um escopo condicional. Uma empresa privada comum não passa a ser automaticamente obrigada a ingressar na ReGIC. Ela só entra no conjunto de requisitos empresariais deste pacote se for convidada, se aderir formalmente ou se for designada para função operacional específica, como equipe de coordenação setorial. O mesmo cuidado se aplica a empresas públicas, sociedades de economia mista e subsidiárias federais: a participação não é automática; depende de adesão, cumprimento de requisitos e aprovação formal.
O decreto também trata de equipes de coordenação setorial. A definição admite que essas equipes possam ser de agências reguladoras, do Banco Central, da Comissão Nacional de Energia Nuclear ou de suas entidades reguladas. Por isso, o pacote criou requisitos específicos para a entidade que venha a atuar como coordenação setorial: elaborar plano setorial, centralizar notificações e observar normas de segurança da informação do GSI. Esses requisitos não são setoriais por natureza; dependem de designação ou função efetivamente assumida.
O primeiro conjunto de requisitos trata da adesão. A entidade que solicitar adesão deve possuir equipe de prevenção, tratamento e resposta a incidentes cibernéticos implementada conforme as normas de segurança da informação do GSI. Esse requisito exige governança mínima: ato de instituição da equipe, definição de responsabilidades, contatos, procedimentos de resposta a incidentes e capacidade de atuação antes da solicitação de adesão.
O segundo requisito de adesão trata do termo formal. A entidade deve encaminhar ao GSI termo de adesão assinado pelo dirigente máximo ou representante legal, por meio de sua equipe de resposta a incidentes ou da equipe de coordenação setorial. O decreto também deixa claro que a adesão depende de aprovação formal do GSI, que pode recusá-la motivadamente. Por isso, o pacote sugere controle de assinatura, protocolo, envio, resposta e guarda da decisão formal.
O comando mais sensível para entidades aderentes está no reporte de incidentes e vulnerabilidades. Pessoas jurídicas fora da administração pública federal direta, autárquica e fundacional que tenham firmado termo de adesão devem reportar-se à equipe de coordenação setorial à qual estiverem vinculadas ou, se ela não existir, diretamente ao CTIR Gov. O reporte é exigido em duas hipóteses: incidente cibernético que extrapole a capacidade da entidade de saná-lo e vulnerabilidade em ativos de informação que a equipe de resposta julgue capaz de causar incidente na própria rede ou em rede de outras entidades. Esse requisito recebeu criticidade alta porque envolve segurança cibernética, comunicação com estrutura oficial e possível impacto sistêmico.
O pacote também extraiu requisitos ligados à permanência e saída da rede. O decreto prevê que pessoa jurídica convidada pode sair a pedido de seu dirigente máximo ou por decisão do GSI, inclusive em caso de descumprimento dos requisitos de adesão ou do plano setorial. Daí surgem dois itens: manter controle de requisitos de participação e formalizar eventual pedido de saída pelo dirigente máximo. O primeiro tem função preventiva e de governança; o segundo é um procedimento de baixa, com criticidade menor.
Para entidades que atuem como equipe de coordenação setorial, foram extraídos três requisitos. O primeiro é elaborar plano setorial de gestão de incidentes cibernéticos. O segundo é coordenar atividades e centralizar notificações recebidas das equipes sob sua coordenação. O terceiro é obedecer às normas de segurança da informação do GSI relativas a equipes de prevenção, tratamento e resposta a incidentes. Esses itens exigem plano, canal de notificação, triagem, escalonamento, registro central, inventário normativo e evidências de aderência.
Nem todos os artigos viraram requisitos. A instituição da ReGIC, suas finalidades e objetivos foram mantidos como pontos de definição e contexto. As definições de ETIR, equipe de coordenação setorial, equipes principais, áreas prioritárias, incidente cibernético e planos de gestão foram preservadas como pontos de rastreabilidade, porque sustentam a interpretação dos requisitos, mas não são obrigações autônomas por si só.
As competências do GSI e do CTIR Gov foram tratadas como comandos internos de autoridade pública. Elas ajudam a entender a governança da rede, a elaboração de plano, a difusão de alertas e a manutenção de sítio eletrônico, mas não foram convertidas em obrigação empresarial direta. O mesmo raciocínio foi aplicado às competências de órgãos e entidades da administração pública federal, agências reguladoras, Banco Central e Comissão Nacional de Energia Nuclear, salvo quando o comando pudesse alcançar entidade privada ou estatal por adesão, convite ou designação como coordenação setorial.
Os prazos transitórios dos artigos 16 e 17 também foram mapeados. Eles se referem à implementação de ações por órgãos e entidades públicos e já estavam vinculados a marcos contados da publicação do decreto. Como não criam obrigação empresarial direta no recorte deste pacote, aparecem como documentoPontos e itens de mapa de cobertura, não como requisitos vivos para empresas.
Para empresas públicas federais, sociedades de economia mista federais, subsidiárias e entidades privadas convidadas, o ponto central é não tratar a ReGIC como simples cadastro. A adesão exige prontidão institucional: equipe de resposta a incidentes formalmente implementada, documentação de governança, termo assinado, fluxo de comunicação e guarda de decisão formal do GSI. Sem isso, a participação pode ser recusada ou ficar sem rastreabilidade suficiente.
Para uma entidade já aderente, o principal risco de compliance está no reporte. A organização deve conseguir identificar quando um incidente extrapola sua capacidade de saneamento e quando uma vulnerabilidade pode causar incidente relevante. Esse julgamento depende de processo de gestão de riscos, critérios de severidade, fluxo técnico e decisão documentada pela equipe de resposta. A partir daí, a entidade precisa saber se reporta à coordenação setorial ou diretamente ao CTIR Gov.
Para entidades que atuem como coordenação setorial, o impacto é maior. O papel deixa de ser apenas interno e passa a envolver coordenação de outras equipes, recebimento e centralização de notificações, elaboração de plano setorial e aderência às normas do GSI. Isso exige infraestrutura de processo: canal de notificação, triagem, registros, matriz de responsabilidades, classificação de informações e capacidade de consolidação da visão setorial de incidentes.
As evidências mais importantes para adesão são o ato de instituição da ETIR, o procedimento de resposta a incidentes, o termo de adesão assinado, o comprovante de encaminhamento ao GSI e a decisão formal de aprovação ou recusa. Para permanência, são relevantes a matriz de requisitos de adesão e plano setorial, os registros de acompanhamento, as comunicações da coordenação setorial e os documentos de revisão.
Para reporte de incidentes, o pacote sugere evidências como registro de incidente ou vulnerabilidade, avaliação de impacto, decisão de reporte, comunicação enviada, logs, cronologia, anexos técnicos e dossiê de resposta. A orientação operacional oficial do CTIR Gov ajuda a estruturar conteúdo, destinatário, uso de TLP e informações técnicas mínimas, mas foi usada apenas como referência operacional, sem alterar o retrato jurídico original do decreto.
As áreas internas envolvidas variam conforme o requisito. Tecnologia e cibersegurança tendem a ser donas dos requisitos de ETIR, reporte, triagem, notificações e plano setorial. Compliance e riscos participam do monitoramento, matriz de requisitos, evidências e avaliação de aderência. Jurídico ou regulatório atua na assinatura, adesão, saída, interface formal com autoridade e interpretação do escopo. Diretoria ou alta administração aparece quando o decreto exige dirigente máximo, representante legal ou decisão executiva.
A segmentação deste pacote merece revisão no workspace. O dicionário disponível não possui tag específica para empresas públicas federais, sociedades de economia mista federais, subsidiárias, pessoas jurídicas convidadas pelo GSI, entidades aderentes à ReGIC ou equipes de coordenação setorial. Por isso, os requisitos empresariais condicionais foram segmentados de forma ampla, com explicação em cada aplicabilidade. Esse é um aviso de produto: a importação deve ser acompanhada de contexto ou filtros adicionais para evitar roteamento a empresas que não sejam aderentes, convidadas ou designadas.
Outro ponto importante é a distinção entre adesão, colaboração e obrigação. A colaboração espontânea caso a caso com o CTIR Gov independe de adesão, mas o decreto não transforma essa faculdade em obrigação operacional permanente. Por isso, ela foi mantida como ponto de documento e não como requisito autônomo.
Também é necessário separar o que nasce do decreto do que aparece em referências operacionais posteriores. Páginas do CTIR Gov, FAQ, termo de adesão e orientações de notificação ajudam a executar requisitos, mas não foram usadas para consolidar, revogar ou atualizar o texto-fonte. O pacote preserva a lógica de retrato-fonte: os requisitos derivam do Decreto nº 10.748/2021 e as referências oficiais funcionam como links ricos de execução e navegação.
Na prática, uma empresa deve avaliar primeiro se está fora ou dentro das hipóteses condicionais do decreto. Se não for empresa pública federal, sociedade de economia mista federal, subsidiária, entidade convidada pelo GSI, aderente à ReGIC ou coordenação setorial designada, os requisitos empresariais provavelmente não se aplicam diretamente. Se estiver dentro de uma dessas hipóteses, o foco deve ser organizar o dossiê de adesão, manter a ETIR, controlar o status de aprovação, definir fluxos de reporte e, se aplicável, cumprir o papel de coordenação setorial.
O pacote foi desenhado para funcionar como acelerador: cria pontos normativos, requisitos acompanháveis, controles sugeridos, evidências, riscos, perguntas e achados potenciais. A curadoria não substitui avaliação jurídica ou técnica específica. Ela entrega uma base rastreável e operacional para que a empresa promova, adapte, complemente ou descarte itens conforme seu enquadramento real perante a ReGIC.
Nenhum item vinculado a este artefato.
