DECRETO Nº 9.637, DE 26 DE DEZEMBRO DE 2018

Resumo executivo

O Decreto nº 9.637, de 26 de dezembro de 2018, institui a Política Nacional de Segurança da Informação, conhecida pela sigla PNSI, no âmbito da administração pública federal. O eixo central do ato é organizar uma arquitetura pública de governança de segurança da informação, com princípios, objetivos, instrumentos, colegiados, competências institucionais e comandos internos para órgãos e entidades federais. O texto também altera o Decreto nº 2.295/1997, em tema ligado à aquisição de equipamentos e contratação de serviços técnicos especializados em áreas de inteligência e segurança da informação, e revoga os Decretos nº 3.505/2000 e nº 8.135/2013.

Para fins de curadoria Okai, este pacote foi tratado como retrato da publicação original do Decreto nº 9.637/2018. A extração não consolida normas posteriores, não reescreve o estado atual da política por atos supervenientes e não transforma comandos dirigidos ao Poder Público em obrigações empresariais diretas. O resultado é um pacote com pontos documentais relevantes, mapa de cobertura completo e registros de alteração normativa, mas sem requisitos empresariais ativos. Essa decisão é importante: o decreto tem alta relevância institucional e pode afetar indiretamente fornecedores, prestadores de serviços, operadores de tecnologia e entidades que contratam com a administração pública federal, mas seu texto não impõe, por si só, uma obrigação operacional direta a empresas privadas.

Escopo e sujeitos regulados

O art. 1º fixa o escopo da PNSI no âmbito da administração pública federal. A finalidade é assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação em nível nacional. O art. 2º delimita o que a segurança da informação abrange para os fins do decreto: segurança cibernética, defesa cibernética, segurança física, proteção de dados organizacionais e ações voltadas à preservação dos atributos essenciais da informação.

Essa moldura indica que o destinatário primário da norma não é o mercado privado em geral. Os comandos operacionais estão distribuídos entre o Gabinete de Segurança Institucional da Presidência da República, o Comitê Gestor da Segurança da Informação, o Ministério da Defesa, a Controladoria-Geral da União, órgãos e entidades da administração pública federal e a alta administração dessas estruturas. Mesmo quando o texto menciona sociedade, setor empresarial ou especialistas privados, a menção ocorre como princípio de integração, participação, cooperação ou eventual convite para grupos de trabalho, não como fonte de obrigação empresarial direta.

Na segmentação do pacote, por isso, os pontos foram classificados majoritariamente como internos ao regulador ou órgão público. Onde o dispositivo é conceitual, principiológico ou apenas contextual, foi usada a segmentação de ausência de aplicabilidade empresarial direta. Essa distinção evita falso positivo regulatório para empresas que, embora possam ser impactadas por contratações públicas, políticas de cibersegurança ou padrões de segurança da informação, não recebem deste decreto um comando próprio de fazer, entregar, comunicar, manter registro ou implementar controle.

Estrutura da política e instrumentos

Os arts. 3º e 4º têm natureza estruturante. O art. 3º reúne princípios da PNSI, como soberania nacional, respeito a direitos fundamentais, visão sistêmica, orientação à gestão de riscos, prevenção e tratamento de incidentes, articulação entre segurança cibernética, defesa cibernética e proteção de dados, proteção de informação sigilosa, cooperação institucional e integração entre Poder Público, setor empresarial, sociedade e academia. O art. 4º fixa objetivos, incluindo orientação de ações de segurança da informação, fomento à pesquisa e inovação, aprimoramento normativo, qualificação de recursos humanos, cultura de segurança, segurança de dados custodiados por entidades públicas, segurança de infraestruturas críticas, proteção de informações de pessoas físicas e tratamento de informações com restrição de acesso.

Esses artigos são úteis para interpretação, mas não foram convertidos em requisitos. Eles funcionam como base de política pública e devem ser preservados como pontos de rastreabilidade. Em uso de produto, podem apoiar leitura executiva, busca semântica, associação com temas de cibersegurança, governança de dados e segurança da informação, além de contextualizar atos posteriores que detalhem obrigações concretas.

Os arts. 5º a 7º criam os instrumentos da PNSI: a Estratégia Nacional de Segurança da Informação e os planos nacionais. A Estratégia deve conter ações estratégicas e objetivos, alinhados a políticas e programas do Governo federal, e ser dividida em módulos como segurança cibernética, defesa cibernética, segurança de infraestruturas críticas, segurança da informação sigilosa e proteção contra vazamento de dados. Os planos nacionais devem detalhar execução das ações, planejamento, organização, coordenação, uso de recursos, responsabilidades, cronogramas, análise de riscos e ações de contingência. Esses comandos são relevantes para governança pública, mas não constituem checklist empresarial direto.

Comitê Gestor da Segurança da Informação

Os arts. 8º a 11 instituem e regulam o Comitê Gestor da Segurança da Informação. O Comitê tem função de assessorar o Gabinete de Segurança Institucional em atividades relacionadas à segurança da informação. O art. 9º define sua composição por representantes de órgãos federais, regras de indicação e designação, substituição por suplentes, natureza não remunerada da participação e prazo para aprovação de regimento interno. O art. 10 disciplina reuniões semestrais ordinárias, convocações extraordinárias, quóruns, criação de grupos de trabalho ou câmaras técnicas, convite de representantes do setor público ou privado e especialistas com notório saber, além de regras de deliberação. O art. 11 atribui ao GSI o apoio técnico e administrativo ao Comitê.

A existência do Comitê pode ser relevante para empresas que acompanham agendas públicas de segurança da informação ou que venham a participar de debates técnicos, consultas ou grupos convidados. Ainda assim, a norma não cria dever empresarial de participação, reporte ou adequação. Na curadoria, esses dispositivos foram mantidos como pontos documentais de governança pública e não como requisitos.

Competências institucionais

O Capítulo VI concentra os comandos operacionais mais densos. O art. 12 atribui ao GSI competências em temas de segurança da informação, assessorado pelo Comitê Gestor: estabelecer norma metodológica para gestão de risco dos ativos de informação por órgãos e entidades federais, aprovar diretrizes, elaborar programas de conscientização e capacitação, acompanhar evolução doutrinária e tecnológica, elaborar e publicar a Estratégia Nacional, apoiar planos nacionais, estabelecer critérios de monitoramento e avaliação, propor atos normativos e estabelecer requisitos mínimos de segurança para produtos com recursos de segurança da informação.

O art. 13 atribui ao Ministério da Defesa apoio ao GSI em segurança cibernética e elaboração de diretrizes, dispositivos e procedimentos de defesa em sistemas ligados à defesa nacional contra ataques cibernéticos. O art. 14 atribui à Controladoria-Geral da União a auditoria da execução das ações da PNSI sob responsabilidade de órgãos e entidades federais. Esses dispositivos são relevantes para localizar responsabilidades públicas e para entender quem pode emitir normas, auditar ações ou influenciar padrões técnicos. Porém, permanecem como comandos internos de governança estatal.

Comandos para órgãos e entidades federais

O art. 15 é o dispositivo com maior densidade operacional. Ele atribui aos órgãos e entidades da administração pública federal, em seu âmbito de atuação, competências como implementar a PNSI, elaborar política e normas internas de segurança da informação, designar gestor interno de segurança da informação, instituir comitê de segurança da informação ou estrutura equivalente, destinar recursos orçamentários, promover capacitação, instituir equipe de tratamento e resposta a incidentes em redes computacionais, coordenar e executar ações de segurança, consolidar e analisar resultados de auditoria e aplicar ações corretivas e disciplinares cabíveis em violações de segurança da informação.

Os parágrafos do art. 15 detalham a composição e as atribuições do comitê interno de segurança da informação dos órgãos e entidades federais. A composição inclui gestor de segurança da informação, representante da Secretaria-Executiva ou unidade equivalente, representantes de unidades finalísticas e titular da unidade de tecnologia da informação e comunicação. As atribuições incluem assessorar a implementação de ações, constituir grupos de trabalho, propor alterações na política interna e propor normas internas. O art. 16 complementa esse bloco ao determinar que órgãos e entidades editem atos para definir a forma de funcionamento de seus comitês.

Em uma plataforma de GRC voltada a empresas, esse bloco não deve ser roteado como obrigação empresarial. Ele pode, entretanto, servir como referência para empresas contratadas por órgãos federais entenderem o ambiente de governança do contratante público e a provável origem de exigências contratuais, cláusulas de segurança, requisitos técnicos ou procedimentos de comunicação de incidentes.

Alta administração, gestão de riscos e incidentes

O art. 17 atribui à alta administração dos órgãos e entidades federais a governança de segurança da informação. Entre os comandos estão monitorar desempenho e resultados da política interna, incorporar padrões de conduta, planejar programas e processos, estabelecer diretrizes de gestão de riscos, observar normas do GSI, implementar controles internos fundamentados em riscos, instituir sistema de gestão de segurança da informação e implantar mecanismo de comunicação imediata sobre vulnerabilidades ou incidentes que impactem ou possam impactar serviços prestados ou contratados pelos órgãos da administração pública federal.

Esse ponto é especialmente importante do ponto de vista indireto para fornecedores e prestadores de serviços. A norma fala em serviços prestados ou contratados por órgãos públicos, mas o comando de implantar mecanismo de comunicação é atribuído à alta administração pública. Assim, a empresa contratada pode ser alcançada por contrato, edital, termo de referência, norma complementar ou ato administrativo posterior, não por este dispositivo isolado. A curadoria manteve o ponto como comando interno do Poder Público e não criou requisito empresarial autônomo.

Os §§ 1º e 2º do art. 17 detalham orientações para programas, projetos e processos de segurança da informação: uso de recursos criptográficos adequados ao grau de sigilo e às restrições de acesso, aumento de resiliência de ativos de tecnologia da informação e comunicação e serviços estratégicos, cooperação contínua entre equipes de resposta a incidentes e priorização de interoperabilidade por integração e compartilhamento de ativos, uniformização de bases de informação, integração de redes e padronização de comunicação entre sistemas. O sistema de gestão de segurança da informação deve identificar necessidades quanto aos requisitos de segurança e implementar o processo de gestão de riscos.

Atos administrativos envolvendo ativos de TI

O art. 18 determina que órgãos e entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, incorporem normas de segurança da informação estabelecidas pelo GSI e normativos de gestão de TIC e segurança da informação do Ministério do Planejamento, Desenvolvimento e Gestão. Esse dispositivo tem potencial de reflexo em compras públicas, contratos, convênios, termos de referência e outros instrumentos administrativos, mas o comando imediato continua dirigido aos órgãos e entidades públicas.

Para empresas que contratam com o Poder Público, o controle prático não nasce diretamente deste decreto, mas dos instrumentos administrativos específicos que incorporarem essas normas. Em uma base regulatória empresarial, o decreto deve ser tratado como referência de contexto e origem normativa, não como fonte direta de obrigação empresarial independente.

Alterações e revogações

O art. 21 altera o Decreto nº 2.295/1997, que regulamenta hipótese de dispensa de licitação em casos que possam comprometer a segurança nacional. A nova redação do inciso III do art. 1º passa a mencionar aquisição de equipamentos e contratação de serviços técnicos especializados para áreas de inteligência, segurança da informação, segurança cibernética, segurança das comunicações e defesa cibernética. No pacote, esse efeito foi registrado em alteracoesRequisitos e no catálogo de textos alterados. Não foram duplicados requisitos do Decreto nº 2.295/1997, pois a regra de retrato-fonte exige que requisitos próprios da norma alvo permaneçam no pacote da norma alvo ou sejam processados em pacote próprio.

O art. 22 revoga expressamente o Decreto nº 3.505/2000 e o Decreto nº 8.135/2013. Essas revogações também foram registradas como alterações sobre normas anteriores, sem recriação de seus requisitos. O art. 23 estabelece vigência na data de publicação, que foi identificada na publicação oficial do Diário Oficial da União de 27 de dezembro de 2018.

Impactos para compliance empresarial

Embora não haja requisito empresarial direto, o decreto tem utilidade prática para áreas de compliance, jurídico regulatório, tecnologia, segurança da informação e relações institucionais de empresas que interagem com a administração pública federal. Ele ajuda a explicar por que órgãos federais passaram a estruturar políticas internas, comitês, gestores de segurança, equipes de resposta a incidentes, controles baseados em risco, requisitos mínimos de segurança e incorporação de normas de segurança em atos administrativos.

O ponto de atenção mais relevante para empresas é indireto: requisitos concretos podem surgir em editais, contratos, normas complementares do GSI, atos de governança digital, políticas internas de órgãos contratantes ou instrumentos de contratação pública. Quando isso ocorrer, a fonte de obrigação empresarial será o instrumento específico que imponha a conduta à empresa, não o Decreto nº 9.637/2018 isoladamente. Por isso, a curadoria evita criar obrigações como “manter política de segurança da informação” ou “implantar equipe de resposta a incidentes” para todas as empresas, pois tal roteamento seria amplo demais e juridicamente infiel ao documento-fonte.

Evidências, controles e áreas envolvidas

Como não foram gerados requisitos empresariais, o pacote não propõe controles, evidências, perguntas de aderência ou achados potenciais para empresas. Para órgãos e entidades públicas, os comandos do decreto sugeririam artefatos como política interna de segurança da informação, normas internas, ato de designação de gestor, ato de instituição de comitê, atas de reunião, planos de capacitação, evidências de equipe de resposta a incidentes, relatórios de auditoria, registros de ações corretivas, diretrizes de gestão de riscos, documentação do sistema de gestão de segurança da informação e critérios de comunicação de vulnerabilidades e incidentes. Esses artefatos foram mencionados na análise, mas não foram transformados em campos de requisitos, porque a estrutura de segmentação fornecida é empresarial e não há tag própria para órgãos e entidades da administração pública federal como sujeito regulado externo.

Pontos de atenção

O primeiro ponto de atenção é a natureza pública do ato. Ele é importante para governança estatal de segurança da informação, mas não deve ser enviado a empresas privadas como obrigação direta sem que exista contrato, edital, norma complementar ou outro ato que as vincule especificamente.

O segundo ponto de atenção é o tratamento de normas posteriores. Este pacote não é consolidação histórica nem atualização do estado vigente; é o retrato da publicação original do Decreto nº 9.637/2018. Alterações posteriores devem ser processadas em pacote próprio quando forem o documento-fonte analisado ou quando houver pedido explícito de extração consolidada.

O terceiro ponto de atenção é a alteração do Decreto nº 2.295/1997 e as revogações dos Decretos nº 3.505/2000 e nº 8.135/2013. Esses efeitos foram registrados para permitir rastreabilidade e eventual inativação ou atualização de requisitos originados nas normas anteriores, sem misturar requisitos de documentos diferentes.

O quarto ponto de atenção é o art. 18. Ele pode ser operacionalmente sensível em contratações públicas de tecnologia, porque orienta a incorporação de normas de segurança da informação e de TIC em atos administrativos envolvendo ativos de TI. Para empresas fornecedoras, o monitoramento adequado deve olhar para o ato administrativo, edital, contrato, termo de referência ou norma complementar que traga o requisito de forma vinculante.

CÂMARA DOS DEPUTADOS

Centro de Documentação e Informação

DECRETO Nº 9.637, DE 26 DE DEZEMBRO DE 2018

(Revogado pelo Decreto nº 12.572, de 4/8/2025)

Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o Decreto nº 2.295, de 4 de agosto de 1997, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional.

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso VI, alínea "a", da Constituição,

DECRETA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em âmbito nacional. (Artigo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

Art. 2º Para os fins do disposto neste Decreto, a segurança da informação abrange:

I - (Revogado pelo Decreto nº 11.856, de 26/12/2023)

II - a defesa cibernética;

III - a segurança física e a proteção de dados organizacionais; e

IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

CAPÍTULO II

DOS PRINCÍPIOS

Art. 3º São princípios da PNSI:

I - soberania nacional;

II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

III - visão abrangente e sistêmica da segurança da informação;

IV - responsabilidade do País na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação;

V - intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e as entidades da administração pública federal;

VI - preservação do acervo histórico nacional;

VII - educação como alicerce fundamental para o fomento da cultura em segurança da informação;

VIII - orientação à gestão de riscos e à gestão da segurança da informação;

IX - prevenção e tratamento de incidentes de segurança da informação;

X - articulação entre as ações de segurança cibernética, de defesa cibernética e de proteção de dados e ativos da informação;

XI - dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas;

XII - need to know para o acesso à informação sigilosa, nos termos da legislação;

XIII - consentimento do proprietário da informação sigilosa recebida de outros países, nos casos dos acordos internacionais;

XIV - cooperação entre os órgãos de investigação e os órgãos e as entidades públicos no processo de credenciamento de pessoas para acesso às informações sigilosas;

XV - integração e cooperação entre o Poder Público, o setor empresarial, a sociedade e as instituições acadêmicas; e

XVI - cooperação internacional, no campo da segurança da informação.

CAPÍTULO III

DOS OBJETIVOS

Art. 4º São objetivos da PNSI:

I - contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;

II - fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;

III - aprimorar continuamente o arcabouço legal e normativo relacionado à segurança da informação;

IV - fomentar a formação e a qualificação dos recursos humanos necessários à área de segurança da informação;

V - fortalecer a cultura da segurança da informação na sociedade;

VI - orientar ações relacionadas a:

a) segurança dos dados custodiados por entidades públicas;

b) segurança da informação das infraestruturas críticas;

c) proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica; e

d) tratamento das informações com restrição de acesso; e

VII - contribuir para a preservação da memória cultural brasileira.

CAPÍTULO IV

DOS INSTRUMENTOS

Art. 5º São instrumentos da PNSI:

I - a Estratégia Nacional de Segurança da Informação; e

II - os planos nacionais.

Art. 6º A Estratégia Nacional de Segurança da Informação conterá as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal, e será dividida nos seguintes módulos, entre outros, a serem definidos no momento de sua publicação:

I - (Revogado pelo Decreto nº 11.856, de 26/12/2023)

II - defesa cibernética;

III - segurança das infraestruturas críticas;

IV - segurança da informação sigilosa; e

V - proteção contra vazamento de dados.

Parágrafo único. A construção da Estratégia Nacional de Segurança da Informação terá a ampla participação da sociedade e dos órgãos e das entidades do Poder Público.

Art. 7º Os planos nacionais de que trata o inciso II do caput do art. 5º conterão:

I - o detalhamento da execução das ações estratégicas e dos objetivos da Estratégia Nacional de Segurança da Informação;

II - o planejamento, a organização, a coordenação das atividades e do uso de recursos para a execução das ações estratégicas e o alcance dos objetivos da Estratégia Nacional de Segurança da Informação; e

III - a atribuição de responsabilidades, a definição de cronogramas e a apresentação da análise de riscos e das ações de contingência que garantam o atingimento dos resultados esperados.

Parágrafo único. Os planos nacionais serão divididos em temas e designados a um órgão responsável, conforme estabelecido na Estratégia Nacional de Segurança da Informação.

CAPÍTULO V

DO COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO

Art. 8º Fica instituído o Comitê Gestor da Segurança da Informação, com atribuição de assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação.

Art. 9º O Comitê será composto por um representante titular e respectivo suplente indicados pelos seguintes órgãos:

I - Gabinete de Segurança Institucional da Presidência da República, que o coordenará;

II - Casa Civil da Presidência da República;

III - Ministério da Justiça e Segurança Pública; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

IV - Ministério da Defesa; (Primitivo inciso V renumerado pelo Decreto nº 9.832, de 12/6/2019)

V - Ministério das Relações Exteriores; (Primitivo inciso VI renumerado pelo Decreto nº 9.832, de 12/6/2019)

VI - Ministério da Economia; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

VII - Ministério da Infraestrutura; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

VIII - Ministério da Agricultura, Pecuária e Abastecimento; (Primitivo inciso IX renumerado pelo Decreto nº 9.832, de 12/6/2019)

IX - Ministério da Educação; (Primitivo inciso X renumerado pelo Decreto nº 9.832, de 12/6/2019)

X - Ministério da Cidadania; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

XI - Ministério da Saúde; (Primitivo inciso XIV renumerado pelo Decreto nº 9.832, de 12/6/2019)

XI-A - Ministério do Trabalho e Previdência; (Inciso acrescido pelo Decreto nº 10.849, de 28/10/2021)

XII - Ministério de Minas e Energia; (Primitivo inciso XVI renumerado pelo Decreto nº 9.832, de 12/6/2019)

XII-A - Ministério das Comunicações; (Inciso acrescido pelo Decreto n° 10.641, de 2/3/2021)

XIII - Ministério da Ciência, Tecnologia e Inovações; (Primitivo inciso XVIII renumerado pelo Decreto nº 9.832, de 12/6/2019, com redação dada pelo Decreto n° 10.641, de 2/3/2021)

XIV - Ministério do Meio Ambiente; (Primitivo inciso XIX renumerado pelo Decreto nº 9.832, de 12/6/2019)

XV - Ministério do Turismo; (Primitivo inciso XXI renumerado pelo Decreto nº 9.832, de 12/6/2019)

XVI - Ministério do Desenvolvimento Regional; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

XVII - Controladoria-Geral da União; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

XVIII - Ministério da Mulher, da Família e dos Direitos Humanos; (Inciso com redação dada pelo Decreto nº 9.832, de 12/6/2019)

XIX - Secretaria-Geral da Presidência da República; (Primitivo inciso XXVI renumerado pelo Decreto nº 9.832, de 12/6/2019)

XX - Secretaria de Governo da Presidência da República; (Primitivo inciso XXVII renumerado pelo Decreto nº 9.832, de 12/6/2019)

XXI - Advocacia-Geral da União; (Primitivo inciso XXVIII renumerado pelo Decreto nº 9.832, de 12/6/2019, com redação dada pelo Decreto nº 10.849, de 28/10/2021)

XXII - Banco Central do Brasil; e (Primitivo inciso XXIX renumerado pelo Decreto nº 9.832, de 12/6/2019, com redação dada pelo Decreto nº 10.849, de 28/10/2021)

XXII-A - Autoridade Nacional de Proteção de Dados. (Inciso acrescido pelo Decreto nº 10.849, de 28/10/2021)

XXIII - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXIV - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXV - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXVI - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXVII - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXVIII - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

XXIX - (Revogado pelo Decreto nº 9.832, de 12/6/2019, retificado no DOU de 14/6/2019)

§ 1º Os membros do Comitê Gestor da Segurança da Informação e os respectivos suplentes serão indicados pelos titulares dos órgãos que representam e designados em ato do Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República. (Parágrafo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

§ 2º Os membros de que trata o § 1º deverão ser indicados dentre os agentes públicos que possuam atribuição para definir políticas ou normas relacionadas à tecnologia da informação ou à segurança da informação nos respectivos órgãos. (Parágrafo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

§ 3º Os membros titulares do Comitê serão substituídos pelos respectivos suplentes, em suas ausências ou impedimentos.

§ 4º A participação no Comitê Gestor da Segurança da Informação e nos subcolegiados será considerada prestação de serviço público relevante, não remunerada. (Parágrafo com redação dada pelo Decreto nº 9.832, de 12/6/2019)

§ 5º O Coordenador do Comitê Gestor da Segurança da Informação aprovará o regimento interno, que disporá sobre a organização e o funcionamento do Comitê, no prazo de noventa dias, contado da data de publicação do Decreto nº 9.832, de 12 de junho de 2019. (Parágrafo com redação dada pelo Decreto nº 9.832, de 12/6/2019)

Art. 10. O Comitê se reunirá, em caráter ordinário, semestralmente e, em caráter extraordinário, por convocação de seu Coordenador.

§ 1º As reuniões do Comitê ocorrerão, em primeira convocação, com a presença da maioria simples de seus membros ou, quinze minutos após a hora estabelecida, em segunda convocação, com a presença de, no mínimo, um terço de seus membros.

§ 2º (Revogado pelo Decreto nº 9.832, de 12/6/2019)

§ 3º (Revogado pelo Decreto nº 9.832, de 12/6/2019)

§ 4º As deliberações do Comitê serão aprovadas pela maioria simples dos membros presentes e o Coordenador, além do voto regular, terá o voto de desempate.

§ 5º Os membros do Comitê Gestor da Segurança da Informação que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, nos termos do disposto no Decreto nº 10.416, de 7 de julho de 2020, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência. (Parágrafo acrescido pelo Decreto nº 9.832, de 12/6/2019, com redação dada pelo Decreto n° 10.641, de 2/3/2021)

Art. 10-A. O Comitê Gestor da Segurança da Informação poderá instituir subcolegiados com o objetivo de tratar de temáticas específicas relacionadas à segurança da informação. (Artigo acrescido pelo Decreto nº 9.832, de 12/6/2019)

Art. 10-B. Os subcolegiados a que se refere o art. 10-A:

I - serão compostos na forma de ato do Comitê Gestor da Segurança da Informação;

II - não poderão ter mais de sete membros;

III - terão caráter temporário e duração não superior a um ano; e

IV - estão limitados a quatro operando simultaneamente. (Artigo acrescido pelo Decreto nº 9.832, de 12/6/2019)

Art. 11. A Secretaria-Executiva do Comitê Gestor da Segurança da Informação será exercida pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República. (Artigo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

CAPÍTULO VI

DAS COMPETÊNCIAS

Seção I

Do Gabinete de Segurança Institucional da Presidência da República

Art. 12. Compete ao Gabinete de Segurança Institucional da Presidência da República, nos temas relacionados à segurança da informação: (“Caput” do artigo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

I - estabelecer norma sobre a definição dos requisitos metodológicos para a implementação da gestão de risco dos ativos da informação pelos órgãos e pelas entidades da administração pública federal;

II - aprovar diretrizes, estratégias, normas e recomendações;

III - elaborar e implementar programas sobre segurança da informação destinados à conscientização e à capacitação dos servidores públicos federais e da sociedade;

IV - acompanhar a evolução doutrinária e tecnológica, em âmbito nacional e internacional;

V - elaborar e publicar a Estratégia Nacional de Segurança da Informação, em articulação com o Comitê Interministerial para a Transformação Digital, criado pelo Decreto nº 9.319, de 21 de março de 2018;

VI - apoiar a elaboração dos planos nacionais vinculados à Estratégia Nacional de Segurança da Informação;

VII - estabelecer critérios que permitam o monitoramento e a avaliação da execução da PNSI e de seus instrumentos;

VIII - propor a edição dos atos normativos necessários à execução da PNSI; (Inciso com redação dada pelo Decreto n° 10.641, de 2/3/2021)

IX - estabelecer os requisitos mínimos de segurança para o uso dos produtos que incorporem recursos de segurança da informação, de modo a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação e garantir a interoperabilidade entre os sistemas de segurança da informação, ressalvadas as competências específicas de outros órgãos; e (Inciso com redação dada pelo Decreto n° 10.641, de 2/3/2021)

X - articular-se com centros nacionais de prevenção, tratamento e resposta a incidentes cibernéticos pertencentes a outros países. (Inciso acrescido pelo Decreto n° 10.641, de 2/3/2021)

Parágrafo único. Nas hipóteses de que trata o inciso IX do caput, quando se tratar de competência de outro órgão, caberá ao Gabinete de Segurança Institucional da Presidência da República propor as atualizações referentes à segurança da informação.

Seção II

Do Ministério da Defesa

Art. 13. Ao Ministério da Defesa compete:

I - apoiar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança cibernética; e

II - elaborar as diretrizes, os dispositivos e os procedimentos de defesa que atuem nos sistemas relacionados à defesa nacional contra ataques cibernéticos.

Seção III

Da Controladoria-Geral da União

(Denominação da Seção com redação dada pelo Decreto n° 10.641, de 2/3/2021)

Art. 14. Compete à Controladoria-Geral da União auditar a execução das ações da PNSI de responsabilidade dos órgãos e das entidades da administração pública federal. (Artigo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

Seção IV

Dos órgãos e das entidades da administração pública federal

Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete:

I - implementar a PNSI;

II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;

III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;

IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;

V - destinar recursos orçamentários para ações de segurança da informação;

VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;

VII - instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; (Inciso com redação dada pelo Decreto n° 10.641, de 2/3/2021)

VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;

IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e

X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.

§ 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por:

I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará;

II - um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;

III - um representante de cada unidade finalística do órgão ou da entidade; e

IV - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.

§ 2º (Revogado pelo Decreto n° 10.641, de 2/3/2021)

§ 3º O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições:

I - assessorar na implementação das ações de segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

III - propor alterações na política de segurança da informação interna; e

IV - propor normas internas relativas à segurança da informação.

§ 4º O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto. (Parágrafo acrescido pelo Decreto n° 10.641, de 2/3/2021)

Art. 16. Os órgãos e as entidades da administração pública federal editarão atos para definir a forma de funcionamento dos respectivos comitês de segurança da informação, observado o disposto neste Decreto e na legislação.

Art. 17. Compete à alta administração dos órgãos e das entidades da administração pública federal a governança da segurança da informação, e especialmente:

I - promover a simplificação administrativa, a modernização da gestão pública e a integração dos serviços públicos, especialmente aqueles prestados por meio eletrônico, com vistas à segurança da informação;

II - monitorar o desempenho e avaliar a concepção, a implementação e os resultados da sua política de segurança da informação e das normas internas de segurança da informação;

III - incorporar padrões elevados de conduta para a garantia da segurança da informação e orientar o comportamento dos agentes públicos, em consonância com as funções e as atribuições de seus órgãos e de suas entidades;

IV - planejar a execução de programas, de projetos e de processos relativos à segurança da informação;

V - estabelecer diretrizes para o processo de gestão de riscos de segurança da informação;

VI - observar as normas que estabelecem requisitos e procedimentos para a segurança da informação publicadas pelo Gabinete de Segurança Institucional da Presidência da República;

VII - implementar controles internos fundamentados na gestão de riscos da segurança da informação;

VIII - instituir um sistema de gestão de segurança da informação;

IX - implantar mecanismo de comunicação imediata sobre a existência de vulnerabilidades ou incidentes de segurança que impactem ou possam impactar os serviços prestados ou contratados pelos órgãos da administração pública federal; e

X - observar as normas e os procedimentos específicos aplicáveis, implementar e manter mecanismos, instâncias e práticas de governança da segurança da informação em consonância com os princípios e as diretrizes estabelecidos neste Decreto e na legislação.

§ 1º O planejamento e a execução de programas, de projetos e de processos relativos à segurança da informação de que trata o inciso IV do caput serão orientados para:

I - a utilização de recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações e as restrições de acesso estabelecidas para o compartilhamento das informações, observada a legislação;

II - o aumento da resiliência dos ativos de tecnologia da informação e comunicação e dos serviços definidos como estratégicos pelo Governo federal;

III - a contínua cooperação entre as equipes de prevenção, tratamento e resposta a incidentes cibernéticos na administração pública federal direta, autárquica e fundacional e o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; e (Inciso com redação dada pelo Decreto n° 10.641, de 2/3/2021)

IV - a priorização da interoperabilidade de tecnologias, processos, informações e dados, com a promoção:

a) da integração e do compartilhamento dos ativos de informação do Governo federal ou daqueles sob sua custódia;

b) da uniformização e da redução da fragmentação das bases de informação de interesse do Governo federal e da sociedade;

c) da integração e do compartilhamento das redes de telecomunicações da administração pública federal direta, autárquica e fundacional; e

d) da padronização da comunicação entre sistemas.

§ 2º O sistema de gestão de segurança da informação de que trata o inciso VIII do caput identificará as necessidades da organização quanto aos requisitos de segurança da informação e implementará o processo de gestão de riscos de segurança da informação.

Art. 18. Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República. (Artigo com redação dada pelo Decreto n° 10.641, de 2/3/2021)

CAPÍTULO VII

DISPOSIÇÕES FINAIS

Art. 19. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República editará, no prazo de noventa dias, contado da data de publicação deste Decreto, glossário com a definição dos termos técnicos e operacionais relativos à segurança da informação, que será utilizado como referência conceitual para as normas e os regulamentos relacionados à segurança da informação.

Art. 20. O Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República poderá expedir atos complementares necessários à aplicação deste Decreto.

Art. 21. (Revogado pelo Decreto nº 10.631, de 18/2/2021)

Art. 22. Ficam revogados:

I - o Decreto nº 3.505, de 13 de junho de 2000; e

II - o Decreto nº 8.135, de 4 de novembro de 2013.

Art. 23. Este Decreto entra em vigor na data de sua publicação.

Brasília, 26 de dezembro de 2018; 197º da Independência e 130º da República.

MICHEL TEMER

Sergio Westphalen Etchegoyen

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Estrutura da política e instrumentos

Comitê Gestor da Segurança da Informação

Competências institucionais

Comandos para órgãos e entidades federais

Alta administração, gestão de riscos e incidentes

Atos administrativos envolvendo ativos de TI

Alterações e revogações

Impactos para compliance empresarial

Evidências, controles e áreas envolvidas

Pontos de atenção

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs de normativos com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes