Resumo executivo

O Decreto nº 11.856, de 26 de dezembro de 2023, institui a Política Nacional de Cibersegurança, conhecida como PNCiber, e cria o Comitê Nacional de Cibersegurança, o CNCiber. O texto tem natureza predominantemente programática e de governança pública: ele organiza princípios, objetivos, instrumentos e arranjos institucionais para a atuação nacional em segurança cibernética, mas não impõe, por si só, um conjunto de obrigações operacionais diretas às empresas privadas.

A leitura produto-first deste pacote separa duas camadas. A primeira camada é a camada de política pública: princípios como soberania nacional, direitos fundamentais, prevenção de incidentes, resiliência de organizações públicas e privadas, educação, desenvolvimento tecnológico e cooperação. A segunda camada é a camada de governança institucional: criação do CNCiber, definição de competências, composição, regras de indicação e mandato, reuniões, grupos de trabalho, secretaria-executiva, regimento interno, primeira composição e revogação pontual de dispositivos do Decreto nº 9.637/2018.

Por essa razão, o pacote contém pontos de documento e alterações normativas, mas não cria requisitos empresariais ativos. Essa decisão evita transformar objetivos públicos amplos em obrigações artificiais, como “adotar medidas de cibersegurança” ou “manter resiliência cibernética”, quando o decreto não especifica sujeito regulado empresarial, prazo, entrega, controle, evidência ou procedimento diretamente exigível de empresas.

Escopo e sujeitos alcançados

O escopo material do decreto é a segurança cibernética no País. A PNCiber é instituída para orientar a atividade de segurança cibernética e funciona como eixo de coordenação para políticas, estratégias e planos nacionais. O texto menciona organizações públicas e privadas em princípios e objetivos, especialmente ao tratar de resiliência, cooperação, intercâmbio de informações e estímulo à adoção de medidas de proteção cibernética e gestão de riscos.

Essa menção ao setor privado, contudo, não equivale a comando regulatório empresarial direto. O decreto não define uma categoria de empresa obrigada, não estabelece entrega regulatória, não fixa periodicidade de reporte, não cria canal de comunicação obrigatório para empresas, não determina artefatos mínimos de governança cibernética privada e não prevê procedimento de fiscalização diretamente aplicável a entidades privadas. O setor privado aparece como ator relevante para cooperação, interlocução e política pública, além de ser representado no CNCiber por entidades representativas relacionadas à área de segurança cibernética.

A segmentação adotada no pacote reflete essa diferença. Os pontos ligados a princípios e objetivos foram tratados como sem aplicabilidade empresarial direta. Os pontos ligados à composição e funcionamento do CNCiber foram tratados como governança interna de órgão público ou comitê público, porque o comando se dirige ao arranjo institucional do Estado e aos seus representantes, e não a empresas em geral.

Principais comandos do documento

O art. 1º institui a PNCiber e define sua finalidade geral. Os arts. 2º e 3º estabelecem princípios e objetivos da política. Entre os pontos centrais estão a proteção de direitos fundamentais, a prevenção de incidentes e ataques, a resiliência de organizações públicas e privadas, a educação e capacitação, a pesquisa e inovação, a cooperação entre atores públicos e privados e o desenvolvimento de mecanismos de regulação, fiscalização e controle.

O art. 4º identifica a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança como instrumentos da PNCiber. Esse ponto é relevante para navegação regulatória porque indica onde comandos operacionais futuros ou mais detalhados podem vir a ser estruturados. No retrato deste decreto, porém, esses instrumentos são mencionados como instrumentos da política; o pacote não incorpora conteúdo de atos posteriores nem presume obrigações específicas derivadas deles.

O art. 5º cria o CNCiber no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber. O art. 6º enumera competências do comitê, incluindo propor atualizações da política, estratégia e plano; avaliar e propor medidas para incremento da segurança cibernética; formular propostas para prevenção, detecção, análise e resposta a incidentes; propor medidas de educação; promover interlocução com entes federativos e sociedade; propor estratégias de cooperação técnica internacional; e manifestar-se quando solicitado pelo Presidente da Câmara de Relações Exteriores e Defesa Nacional.

Os arts. 7º a 14 disciplinam a governança do CNCiber: composição, suplência, critérios de indicação, mandato, recondução, designação, possibilidade de convidados, submissão de deliberações, reuniões ordinárias trimestrais, quóruns, voto de qualidade, grupos de trabalho temáticos, modalidade de participação, natureza não remunerada da participação, secretaria-executiva, elaboração de regimento interno e regra excepcional para a primeira composição. Esses dispositivos são relevantes para rastreabilidade institucional, mas não foram convertidos em requisitos empresariais.

O art. 15 revoga dispositivos específicos do Decreto nº 9.637/2018. Essa revogação foi registrada em alteracoesRequisitos, pois pode impactar registros existentes associados ao decreto anterior. O pacote não recria os requisitos do Decreto nº 9.637/2018, nem tenta consolidar sua situação atual; apenas registra o efeito que nasce expressamente do documento-fonte analisado.

Impactos para compliance

Para áreas de compliance, riscos, jurídico regulatório, tecnologia, segurança da informação e relações institucionais, o decreto funciona como sinal regulatório e institucional relevante. Ele indica a direção da política pública nacional em cibersegurança e cria um fórum governamental com participação de órgãos públicos, CGI.br, entidades da sociedade civil, instituições científicas e entidades representativas do setor empresarial.

Do ponto de vista de gestão regulatória, o principal impacto não é a criação imediata de obrigações empresariais, mas a necessidade de monitorar os instrumentos e deliberações que podem surgir no ecossistema da PNCiber. A Estratégia Nacional de Cibersegurança, o Plano Nacional de Cibersegurança, o regimento interno do CNCiber e atos posteriores do comitê podem detalhar agendas, prioridades, grupos de trabalho, recomendações, propostas normativas ou futuras obrigações setoriais. Este pacote, no entanto, não antecipa nem consolida esses atos.

Empresas com exposição relevante a cibersegurança — como prestadores de serviços digitais, tecnologia, telecomunicações, infraestrutura crítica, instituições financeiras, meios de pagamento, mercado de capitais, saúde, energia, logística e fornecedores de soluções de segurança — podem usar o decreto como contexto estratégico. Ainda assim, no modelo Okai, essa utilidade estratégica não justifica criar requisitos aplicáveis a essas empresas sem comando normativo direto no texto do decreto.

Evidências, controles e áreas envolvidas

Como não foram criados requisitos empresariais, o pacote não sugere controles, evidências, perguntas de aderência ou achados potenciais para empresas. Essa ausência é proposital. Criar controles como “manter programa de cibersegurança” ou “registrar gestão de riscos cibernéticos” extrapolaria o decreto analisado, ainda que esses controles possam ser boas práticas ou exigências de outras normas setoriais.

Para uso interno da plataforma, os pontos de documento permitem vincular análises, notícias regulatórias, planos de monitoramento ou obrigações futuras ao decreto. Também permitem explicar por que determinados dispositivos foram classificados como política pública, governança pública, procedimento interno do comitê ou revogação normativa, em vez de obrigação empresarial.

As áreas internas que tendem a se interessar pelo documento são, em termos de monitoramento, jurídico regulatório, compliance, segurança da informação, riscos, relações governamentais e estratégia. Mas essa audiência de monitoramento não foi traduzida em público de requisito, porque não há requisito empresarial no arquivo ativo.

Pontos de atenção

O primeiro ponto de atenção é não confundir objetivo de política pública com obrigação operacional. O art. 3º, por exemplo, fala em estimular a adoção de medidas de proteção cibernética e gestão de riscos, mas não define um dever específico de implementação por empresas. Esse tipo de comando pode orientar reguladores e políticas futuras, porém não tem granularidade suficiente para virar requisito controlável no retrato-fonte.

O segundo ponto de atenção é a participação do setor empresarial no CNCiber. O decreto prevê três representantes de entidades representativas do setor empresarial relacionado à área de segurança cibernética, mas a regra está ligada à composição do comitê e ao processo de escolha previsto em regimento interno. Não há obrigação para toda empresa do setor de se cadastrar, indicar representante, reportar informação ou participar do comitê.

O terceiro ponto de atenção é a recorrência trimestral das reuniões do CNCiber. A frequência é normativa e real, mas se aplica ao funcionamento interno do comitê. Por isso, não foi criada série de recorrência em requisito empresarial. A informação foi preservada como ponto de documento e no mapa de cobertura.

O quarto ponto é a revogação do Decreto nº 9.637/2018. O decreto analisado revoga dois dispositivos específicos, e esse efeito foi registrado como alteração normativa. A curadoria não atualiza o pacote do Decreto nº 9.637/2018 nem reconstrói obrigações antigas, porque cada pacote representa o documento-fonte analisado.

Decisões de cobertura

A extração foi completa para os artigos do decreto. Todos os artigos materiais foram representados no mapa de cobertura e, quando úteis para rastreabilidade, em pontos de documento. Os dispositivos de princípios, objetivos e instrumentos foram classificados como definição, escopo ou governança da política. Os dispositivos de composição e funcionamento do CNCiber foram classificados como governança ou procedimento interno de comitê público. O dispositivo de revogação foi registrado em alteração de requisito. A cláusula de vigência foi preservada como ponto de documento.

Não foram gerados requisitos porque não se identificou comando empresarial verificável com sujeito regulado privado, evidência própria, entrega, prazo, periodicidade, procedimento ou controle exigido diretamente pelo decreto. Essa é uma decisão de qualidade de produto: evita poluir o workspace com obrigações genéricas e mantém o pacote fiel ao documento-fonte.

Limitações do retrato-fonte

Este pacote usa a publicação original do decreto como documento-fonte. Ele não consolida normas posteriores, atos do CNCiber, portarias, resoluções, regimentos internos, estratégias ou planos aprovados depois, salvo como referências mencionadas pelo próprio decreto quando apropriado. Caso o usuário queira uma visão consolidada do ecossistema de cibersegurança nacional, o caminho adequado é processar cada ato posterior em pacote próprio ou solicitar explicitamente uma extração consolidada.

Também não foram incluídos links operacionais para instrumentos posteriores não fornecidos como documento-fonte. A plataforma poderá resolver esses links por sua base oficial, mas este pacote não usa atos posteriores para alterar status, criar obrigações ou enriquecer requisitos inexistentes no decreto analisado.

DECRETO Nº 11.856, DE 26 DE DEZEMBRO DE 2023

Institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança.

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso VI, alínea "a", da Constituição,

     DECRETA:

     Art. 1º Fica instituída a Política Nacional de Cibersegurança - PNCiber, com a finalidade de orientar a atividade de segurança cibernética no País.

     Art. 2º São princípios da PNCiber:

     I - a soberania nacional e a priorização dos interesses nacionais;

     II - a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

     III - a prevenção de incidentes e de ataques cibernéticos, em particular aqueles dirigidos a infraestruturas críticas nacionais e a serviços essenciais prestados à sociedade;

     IV - a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

     V - a educação e o desenvolvimento tecnológico em segurança cibernética;

     VI - a cooperação entre órgãos e entidades, públicas e privadas, em matéria de segurança cibernética; e

     VII - a cooperação técnica internacional na área de segurança cibernética.

     Art. 3º São objetivos da PNCiber:

     I - promover o desenvolvimento de produtos, serviços e tecnologias de caráter nacional destinados à segurança cibernética;

     II - garantir a confidencialidade, a integridade, a autenticidade e a disponibilidade das soluções e dos dados utilizados para o processamento, o armazenamento e a transmissão eletrônica ou digital de informações;

     III - fortalecer a atuação diligente no ciberespaço, especialmente das crianças, dos adolescentes e dos idosos;

     IV - contribuir para o combate aos crimes cibernéticos e às demais ações maliciosas no ciberespaço;

     V - estimular a adoção de medidas de proteção cibernética e de gestão de riscos para prevenir, evitar, mitigar, diminuir e neutralizar vulnerabilidades, incidentes e ataques cibernéticos, e seus impactos;

     VI - incrementar a resiliência das organizações públicas e privadas a incidentes e ataques cibernéticos;

     VII - desenvolver a educação e a capacitação técnico-profissional em segurança cibernética na sociedade;

     VIII - fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança cibernética;

     IX - incrementar a atuação coordenada e o intercâmbio de informações de segurança cibernética entre:

a União, os Estados, o Distrito Federal e os Municípios;

os Poderes Executivo, Legislativo e Judiciário;

o setor privado; e

a sociedade em geral;

     X - desenvolver mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança e a resiliência cibernéticas nacionais; e

     XI - implementar estratégias de colaboração para desenvolver a cooperação internacional em segurança cibernética.

     Art. 4º São instrumentos da PNCiber:

     I - a Estratégia Nacional de Cibersegurança; e

     II - o Plano Nacional de Cibersegurança.

     Art. 5º Fica instituído o Comitê Nacional de Cibersegurança - CNCiber, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, com a finalidade de acompanhar a implementação e a evolução da PNCiber.

     Art. 6º Ao CNCiber compete:

     I - propor atualizações para a PNCiber, a Estratégia Nacional de Cibersegurança e o Plano Nacional de Cibersegurança;

     II - avaliar e propor medidas para incremento da segurança cibernética no País;

     III - formular propostas para o aperfeiçoamento da prevenção, da detecção, da análise e da resposta a incidentes cibernéticos;

     IV - propor medidas para o desenvolvimento da educação em segurança cibernética;

     V - promover a interlocução com os entes federativos e a sociedade em matéria de segurança cibernética;

     VI - propor estratégias de colaboração para o desenvolvimento da cooperação técnica internacional em segurança cibernética; e

     VII - manifestar-se, por solicitação do Presidente da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, sobre assuntos relacionados à segurança cibernética.

     Art. 7º O CNCiber será composto por representantes dos seguintes órgãos e entidades:

     I - um do Gabinete de Segurança Institucional da Presidência da República, que o presidirá;

     II - um da Casa Civil da Presidência da República;

     III - um da Controladoria-Geral da União;

     IV - um do Ministério da Ciência, Tecnologia e Inovação;

     V - um do Ministério das Comunicações;

     VI - um do Ministério da Defesa;

     VII - um do Ministério do Desenvolvimento, Indústria, Comércio e Serviços;

     VIII - um do Ministério da Educação;

     IX - um do Ministério da Fazenda;

     X - um do Ministério da Gestão e da Inovação em Serviços Públicos;

     XI - um do Ministério da Justiça e Segurança Pública;

     XII - um do Ministério de Minas e Energia;

     XIII - um do Ministério das Relações Exteriores;

     XIV - um do Banco Central do Brasil;

     XV - um da Agência Nacional de Telecomunicações - Anatel;

     XVI - um do Comitê Gestor da Internet no Brasil;

     XVII - três de entidades da sociedade civil com atuação relacionada à segurança cibernética ou à garantia de direitos fundamentais no ambiente digital;

     XVIII - três de instituições científicas, tecnológicas e de inovação relacionadas à área de segurança cibernética; e

     XIX - três de entidades representativas do setor empresarial relacionado à área de segurança cibernética.

     § 1º Cada membro do CNCiber terá um suplente, que o substituirá em suas ausências e seus impedimentos.

     § 2º Os membros do CNCiber de que tratam os incisos I a XV do caput e os respectivos suplentes serão indicados dentre ocupantes de cargo em comissão ou função de confiança de nível igual ou superior a 15 de Cargo Comissionado Executivo - CCE ou, alternativamente, caso se trate de militar das Forças Armadas, dentre oficiais-generais.

     § 3º Os membros do CNCiber de que tratam os incisos I a XV do caput e os respectivos suplentes serão indicados pelos titulares dos órgãos e das entidades que representam, dentre agentes públicos em exercício no órgão representado ou em entidade a ele vinculada.

     § 4º O membro do CNCiber de que trata o inciso XVI do caput e o respectivo suplente serão indicados pelo Secretário-Executivo do Comitê Gestor da Internet no Brasil.

     § 5º Os membros do CNCiber de que tratam os incisos XVII a XIX do caput e os respectivos suplentes serão escolhidos na forma do regimento interno do CNCiber, para mandato de três anos, permitida apenas uma recondução.

     § 6º Os membros do CNCiber e os respectivos suplentes serão designados pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

     § 7º O Presidente do CNCiber poderá convidar representantes de outros órgãos e entidades, públicas e privadas, e de organizações da sociedade para participar de suas reuniões, sem direito a voto.

     Art. 8º As deliberações do CNCiber relativas às suas competências estabelecidas no art. 6º serão submetidas à Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo.

     Art. 9º O CNCiber se reunirá, em caráter ordinário, trimestralmente e, em caráter extraordinário, mediante convocação de seu Presidente.

     § 1º O quórum de reunião do CNCiber é de maioria absoluta e o quórum de aprovação é de maioria simples.

     § 2º Na hipótese de empate, além do voto ordinário, o Presidente do CNCiber terá o voto de qualidade.

     Art. 10. O CNCiber poderá instituir grupos de trabalho temáticos.

     § 1º Os grupos de trabalho:

     I - serão instituídos na forma de ato do CNCiber;

     II - terão caráter temporário e duração não superior a um ano; e

     III - estarão limitados a, no máximo, cinco em operação simultânea.

     § 2º Os membros dos grupos de trabalho serão indicados pelos órgãos e pelas entidades que representam e designados em ato do Presidente do CNCiber.

     Art. 11. Os membros do CNCiber e dos grupos de trabalho que se encontrarem no Distrito Federal se reunirão presencialmente ou por videoconferência, e os membros que se encontrarem em outros entes federativos participarão da reunião por meio de videoconferência.

     Art. 12. A participação no CNCiber e nos grupos de trabalho será considerada prestação de serviço público relevante, não remunerada.

     Art. 13. A Secretaria-Executiva do CNCiber será exercida pelo Gabinete de Segurança Institucional da Presidência da República.

     Parágrafo único. O regimento interno do CNCiber será elaborado pela Secretaria-Executiva e submetido para aprovação do Comitê em até duas reuniões ordinárias.

     Art. 14. Para a primeira composição do CNCiber, os membros de que tratam os incisos XVII a XIX do caput e os respectivos suplentes serão escolhidos pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República.

     Parágrafo único. Os membros escolhidos na forma prevista no caput comporão o CNCiber em caráter extraordinário e temporário, até a designação decorrente do processo de escolha a que se refere o § 5º do art. 7º.

     Art. 15. Ficam revogados os seguintes dispositivos do Decreto nº 9.637, de 26 de dezembro de 2018:

     I - o inciso I do caput do art. 2º; e

     II - o inciso I do caput do art. 6º.

     Art. 16. Este Decreto entra em vigor na data de sua publicação.

Brasília, 26 de dezembro de 2023; 202º da Independência e 135º da República.

LUIZ INÁCIO LULA DA SILVA
Marcos Antonio Amaro dos Santos

DECRETO Nº 11.856, DE 26 DE DEZEMBRO DE 2023

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos alcançados

Principais comandos do documento

Impactos para compliance

Evidências, controles e áreas envolvidas

Pontos de atenção

Decisões de cobertura

Limitações do retrato-fonte

DECRETO Nº 11.856, DE 26 DE DEZEMBRO DE 2023

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs de normativos com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes