Institui a Política Nacional de Segurança da Informação e estabelece governança para a segurança da informação na administração pública federal.
O Decreto nº 12.572/2025 estrutura a Política Nacional de Segurança da Informação na administração pública federal.
📌 O núcleo operacional está nas responsabilidades dos órgãos e entidades federais.
🛡️ Há requisitos de governança, políticas internas, conformidade, capacitação, ações corretivas e orçamento.
⚠️ A aplicabilidade direta a empresas privadas é limitada; o pacote usa roteamento especial para comandos públicos.
O Decreto nº 12.572, de 4 de agosto de 2025, institui a Política Nacional de Segurança da Informação e organiza a governança do tema no âmbito da administração pública federal. O documento é uma norma autônoma, com comandos próprios dirigidos principalmente ao Gabinete de Segurança Institucional da Presidência da República, ao Sistema de Controle Interno do Poder Executivo Federal e aos órgãos e entidades da administração pública federal.
A curadoria foi construída em modo de retrato-fonte: apenas comandos nascidos no próprio decreto foram convertidos em pontos, requisitos e alterações. Não foram incorporadas normas posteriores para consolidar ou atualizar o estado do decreto. As referências oficiais usadas fora do texto principal servem para identificação, navegação e execução operacional, especialmente páginas oficiais do GSI relacionadas à PNSI, ao CGSI e à legislação de segurança da informação.
O decreto tem baixa aplicabilidade empresarial direta. Ele não cria, em regra, obrigações para empresas privadas em geral. Há menção a entidades privadas prestadoras de serviços públicos no objetivo ligado à segurança dos dados custodiados, mas essa menção não foi tratada como requisito empresarial isolado porque o dispositivo é objetivo de política pública, não comando operacional direto a essas entidades. Por isso, a segmentação dos requisitos foi roteada como comando público ou interno estatal, com aviso no manifest.
O art. 1º institui a Política Nacional de Segurança da Informação no âmbito da administração pública federal, com finalidade de assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação no País. O art. 2º amplia o conceito de segurança da informação para abranger dados, ativos de informação, processos organizacionais, ambientes físicos e eletrônicos que contenham ativos de informação e pessoal envolvido no ciclo de vida da informação.
O sujeito operacional mais relevante é o conjunto de órgãos e entidades da administração pública federal, especialmente no art. 10. Esse artigo concentra as obrigações acompanháveis: implementar a política, instituir comitê interno ou estrutura equivalente, designar gestor de segurança da informação, manter políticas e normas internas, promover conscientização e capacitação, realizar avaliação de conformidade, aplicar ações corretivas e administrativas em violações, coordenar papéis críticos, assegurar transição de conhecimento na substituição do gestor e planejar recursos orçamentários.
Também há comandos relevantes para o GSI. O art. 5º atribui ao GSI a coordenação das ações do Governo federal relativas à segurança da informação. O art. 6º determina a instituição do Comitê Gestor da Segurança da Informação, composto pelos gestores de segurança da informação dos órgãos e entidades federais, com finalidade de acompanhar a implementação e a evolução da política. O art. 8º lista competências amplas do GSI, como elaborar diretrizes, estratégias, planos, normativos, requisitos metodológicos e recomendações. Na curadoria, essas competências foram preservadas como pontos do documento, mas nem todas foram convertidas em requisitos autônomos para evitar transformar atribuições públicas amplas em itens operacionais artificiais.
O núcleo operacional do pacote está no art. 10. O comando de implementar a PNSI foi tratado como requisito estruturante, pois exige que cada órgão ou entidade traduza a política em governança, processos, controles, documentos, recursos e evidências. Essa implementação deve dialogar com os instrumentos do art. 7º: Estratégia Nacional de Segurança da Informação, Plano Nacional de Segurança da Informação e normativos de segurança da informação editados pelo GSI.
A instituição de comitê interno de segurança da informação ou estrutura equivalente foi convertida em requisito próprio, em conjunto com o parágrafo único do art. 10. O parágrafo atribui a essa estrutura a competência de propor a elaboração e as revisões da política e das normas internas de segurança da informação do órgão ou entidade. O pacote sugere evidências como ato de instituição, regimento, atas, propostas de revisão e registros de deliberação.
A designação do gestor de segurança da informação também foi tratada como requisito próprio. Embora o decreto não detalhe atribuições do gestor, sua designação formal é um elemento mínimo para a governança funcionar. A curadoria recomenda controlar ato de designação, atualização do registro e comunicação às áreas relacionadas.
O ciclo de políticas e normas internas de segurança da informação recebeu requisito separado porque combina elaboração, publicação, implementação e revisão regular. O decreto não determina periodicidade de revisão; por isso, o pacote não criou recorrência normativa. A revisão regular deve ser controlada conforme norma interna ou ato complementar aplicável, com registro de versão, aprovação, publicação e aderência aos normativos do GSI.
As ações de conscientização e capacitação foram tratadas como requisito de média criticidade. O decreto exige estímulo a ações, mas não fixa carga horária, frequência, canal ou conteúdo mínimo. O pacote sugere evidências como plano de capacitação, calendário, materiais, listas de presença, certificados ou relatórios de participação.
A avaliação de conformidade com normas de segurança da informação foi classificada como requisito de alta criticidade. É o mecanismo de verificação da aderência normativa e deve gerar matriz, relatório, testes, evidências e planos de ação quando houver lacunas. Esse requisito se conecta diretamente ao ciclo de revisão das políticas e às ações corretivas.
O tratamento de violações da política de segurança da informação foi tratado como requisito por evento. O decreto determina a aplicação de ações corretivas e administrativas cabíveis, mas não define rito, sanção ou prazo. Assim, a curadoria propõe controlar registro da violação, análise, ação corretiva, eventual medida administrativa e encerramento.
A coordenação entre gestor de segurança da informação, encarregado pelo tratamento de dados pessoais, gestor de segurança e credenciamento e titular da unidade de tecnologia da informação foi separada como requisito de governança. O ponto é central porque evita atuação isolada de funções que se sobrepõem em temas como dados pessoais, credenciamento, tecnologia, controles, políticas e resposta a violações.
A transição de conhecimento e responsabilidades quando houver substituição do gestor de segurança da informação foi tratada como requisito por evento. O pacote sugere evidências como termo de transição, checklist, inventário de pendências e confirmação de recebimento pelo novo responsável.
O planejamento e a destinação de recursos orçamentários para ações de segurança da informação foram tratados como requisito de governança e orçamento. O decreto não fixa valores ou rubricas, mas exige que ações de segurança da informação sejam consideradas no planejamento e na alocação de recursos.
O art. 6º foi convertido em requisito para instituição do Comitê Gestor da Segurança da Informação pelo GSI, porque há ação e finalidade claras: acompanhar a implementação e a evolução da PNSI. O parágrafo único foi absorvido nesse requisito, pois trata da composição do comitê por gestores de segurança da informação dos órgãos e entidades federais.
O art. 9º foi convertido em requisito para auditoria pelo Sistema de Controle Interno do Poder Executivo Federal. O texto não define periodicidade, plano anual ou modelo de relatório; por isso, a curadoria sugere controles e evidências típicas de auditoria, como plano, escopo, papéis de trabalho, relatório e plano de providências. Esse requisito é útil tanto para estruturas de controle quanto para órgãos e entidades que precisarão demonstrar execução das ações da PNSI.
O art. 12 revoga expressamente o Decreto nº 9.637/2018, o art. 1º do Decreto nº 9.832/2019, o Decreto nº 10.641/2021 e o Decreto nº 10.849/2021. A revogação foi registrada em alteracoesRequisitos de forma consolidada, sem recriar requisitos dos atos revogados. Essa escolha respeita a regra de retrato-fonte: o decreto alterador ou revogador registra o efeito sobre atos anteriores, mas não duplica a curadoria material das normas revogadas.
O art. 13 determina entrada em vigor na data de publicação. Como a publicação ocorreu em 5 de agosto de 2025, os requisitos foram marcados com início operacional em 2025-08-05. Não há prazo transitório específico no decreto para implementação de cada obrigação.
Para uma organização pública federal, o impacto central é estruturar governança de segurança da informação com documentação rastreável. O pacote sugere controles para plano de implementação da PNSI, ato de instituição de comitê interno, designação do gestor, repositório de políticas e normas, matriz de aderência aos normativos do GSI, ações de capacitação, avaliação de conformidade, tratamento de violações, matriz de papéis críticos, checklist de transição do gestor e planejamento orçamentário.
As áreas internas mais envolvidas tendem a ser tecnologia e segurança da informação, riscos e controles, compliance ou integridade, auditoria, alta administração, recursos humanos, orçamento e controladoria, jurídico-regulatório e privacidade. A participação de cada área varia conforme o requisito. A curadoria evitou incluir jurídico, compliance, riscos, tecnologia ou diretoria por padrão em todos os itens; cada público sugerido foi vinculado ao objeto do requisito.
As evidências sugeridas foram pensadas para workflow e auditoria: planos, atas, atos de designação, políticas publicadas, normas internas versionadas, matriz de conformidade, registros de violação, planos de ação, termos de transição, matrizes de responsabilidades, registros orçamentários e relatórios de auditoria. O decreto não exige todos esses artefatos de forma textual; eles são evidências sugeridas para comprovar os comandos observáveis do decreto.
A primeira decisão relevante é a segmentação. Como o dicionário disponível não possui uma tag específica para órgãos e entidades da administração pública federal, foi usada a classificação especial de comando público ou interno estatal. Isso evita que empresas privadas em geral recebam os requisitos como obrigações diretas. O manifest registra essa limitação para revisão de produto.
A segunda decisão foi não transformar princípios, objetivos e definições em requisitos. Artigos 1º a 4º são essenciais para interpretação, mas em grande parte não criam tarefas isoladas de compliance. Eles foram preservados como documentoPontos e usados como base para a análise e os requisitos materiais.
A terceira decisão foi não desdobrar todas as competências do GSI em requisitos. O art. 8º contém atribuições amplas de coordenação, formulação, formação, cultura, acompanhamento tecnológico e cooperação internacional. Como muitas dessas atribuições são funções públicas de alto nível, sem evidência empresarial específica, foram mantidas como ponto de governança. A exceção foi o Comitê Gestor, porque o art. 6º traz comando específico de instituição, composição e finalidade.
A quarta decisão foi não criar recorrências normativas. Expressões como revisão regular, auditoria, acompanhamento, capacitação ou avaliação não vieram acompanhadas de frequência fechada no decreto. Por isso, o pacote sugere frequências de controle interno quando útil, mas não preenche seriesRecorrencia.
A quinta decisão foi registrar a revogação dos atos anteriores em alteracoesRequisitos, sem tentar atualizar curadorias anteriores dentro deste pacote. Essa abordagem preserva o retrato do Decreto nº 12.572/2025 e evita consolidação indevida.
O Decreto nº 12.572/2025 é relevante para governança pública de segurança da informação e cria uma base operacional para implementação da PNSI nos órgãos e entidades federais. O ponto mais importante para compliance é transformar os comandos do art. 10 em uma trilha demonstrável: governança, papéis, políticas, normas, capacitação, conformidade, ações corretivas, coordenação, transição e orçamento.
Para usuários privados, o pacote deve ser lido com cautela: o decreto não é uma obrigação geral para empresas. Prestadores privados de serviços públicos podem ser impactados por contratos, normas complementares ou políticas de órgãos públicos, mas essa obrigação não nasce diretamente dos dispositivos extraídos como requisitos empresariais neste retrato-fonte. O valor do pacote está em apoiar a administração pública federal e em oferecer contexto regulatório para organizações que interajam com esse regime.
