Institui a Estratégia Nacional de Cibersegurança com eixos temáticos para proteção e conscientização.
A E-Ciber é uma norma estratégica, não um checklist de obrigações empresariais diretas.
📌 O pacote separa pontos programáticos de recomendações operacionais úteis.
⚠️ Segmentações de serviços essenciais, infraestrutura crítica e startups exigem revisão contextual.
🧾 A revogação do Decreto nº 10.222/2020 foi registrada como alteração/inativação.
O Decreto nº 12.573, de 4 de agosto de 2025, institui a Estratégia Nacional de Cibersegurança — E-Ciber. O documento tem natureza predominantemente estratégica e programática: ele organiza eixos, conceitos, objetivos e ações de política pública nacional de cibersegurança. Não é uma norma setorial clássica que imponha, por si só, um conjunto fechado de obrigações empresariais com prazos, formulários, canais de envio ou sanções específicas.
A curadoria foi feita como retrato do documento-fonte. Por isso, os itens operacionais cadastrados como requisitos foram classificados como recomendações estratégicas, não como obrigações regulatórias diretas. A leitura evita transformar todo incentivo, estímulo ou diretriz pública em dever empresarial. O decreto, contudo, contém pontos de alta utilidade para governança corporativa, especialmente para empresas expostas a ciber-riscos, prestadores de serviços essenciais, operadores de infraestruturas críticas, empresas que contratam produtos e serviços tecnológicos e organizações que trocam informações sensíveis de cibersegurança.
A E-Ciber é estruturada em quatro eixos: proteção e conscientização do cidadão e da sociedade; segurança e resiliência dos serviços essenciais e das infraestruturas críticas; cooperação e integração entre órgãos e entidades públicas e privadas; e soberania nacional e governança. O decreto também define termos centrais, como ciberativos, ciberameaça, cibercrime, ciberincidente, ciberofensa, cibersegurança, ciber-risco, tecnologia da informação e tecnologia operacional. Essas definições ajudam a padronizar a linguagem de políticas, controles, planos de resposta e análises de risco.
A norma alcança a política nacional de cibersegurança em sentido amplo. Em grande parte, os comandos se dirigem à Administração Pública, ao Comitê Nacional de Cibersegurança, ao Gabinete de Segurança Institucional, a entidades com funções regulatórias, a órgãos de persecução penal, a instituições acadêmicas e à atuação internacional do País. Esses comandos foram registrados como pontos do documento ou itens de governança, mas não foram convertidos automaticamente em requisitos empresariais.
Há, porém, ações que mencionam expressamente empresas, setor privado, microempresas, empresas de pequeno porte, startups, prestadores de serviços essenciais e operadores de infraestruturas críticas. Nesses casos, a curadoria criou recomendações operacionais para que a empresa possa acompanhar o tema sem receber uma obrigação artificial. O ponto crítico é que a linguagem normativa é de incentivo, estímulo e orientação, não de imposição direta.
A segmentação exige cautela. O dicionário disponível não possui tags específicas para “operador de infraestrutura crítica”, “prestador de serviço essencial”, “startup” ou “fornecedor de soluções de cibersegurança”. Assim, alguns requisitos usam aproximações: microempresa, empresa de pequeno porte e porte pequeno para o bloco de MPEs e startups; setores que usualmente podem envolver serviços essenciais ou infraestrutura crítica para itens de resiliência; e segmentação ampla para recomendações dirigidas a empresas brasileiras ou entidades privadas sem recorte setorial fechado. Essas escolhas foram marcadas como pontos de revisão no manifest.
O primeiro bloco operacional relevante está no eixo de proteção e conscientização. O decreto prevê orientação a microempresas, empresas de pequeno porte e startups na gestão de riscos e na retomada das atividades após incidentes cibernéticos. A recomendação correspondente foi estruturada para apoiar empresas menores na criação de um mínimo viável de governança: inventário simplificado de ativos e riscos, roteiro de retomada pós-incidente, papéis de resposta e registro de lições aprendidas.
O segundo bloco relevante está na segurança e resiliência de serviços essenciais e infraestruturas críticas. O decreto estimula a adoção de mecanismos de mitigação de riscos, como seguros contra ciberincidentes, por prestadores de serviços essenciais e operadores de infraestruturas críticas. A curadoria transformou esse comando em recomendação para avaliação documentada de mitigação, transferência de risco e decisão sobre cobertura securitária. O objetivo não é afirmar que o seguro é obrigatório, mas registrar que a norma incentiva esse tipo de mecanismo como parte da resiliência cibernética.
O terceiro bloco operacional é a realização de exercícios e simulações setoriais e multissetoriais regulares para aprimorar a resiliência. O decreto não define periodicidade, método, calendário ou autoridade coordenadora. Por isso, não foi criada recorrência normativa no pacote. O requisito sugere controles internos de planejamento, execução, registro de lições aprendidas e plano de ação, sempre como recomendação proporcional ao risco.
O quarto bloco envolve compras seguras. O decreto incentiva empresas brasileiras a contratar produtos e serviços que adotem padrões mínimos de cibersegurança. Como os padrões mínimos ainda não são detalhados no próprio decreto, a recomendação foi traduzida em critérios de contratação, due diligence de fornecedores, cláusulas de segurança, requisitos de notificação de incidentes e evidências de avaliação técnica. Esse é um dos pontos de maior utilidade prática para GRC, porque pode ser incorporado a processos de suprimentos, contratos, gestão de terceiros e segurança da informação.
O quinto bloco aparece no eixo de cooperação e integração. O decreto estimula a criação e o desenvolvimento de equipes de prevenção e resposta a incidentes, centros de análise e compartilhamento de informações e laboratórios especializados. A curadoria não pressupôs que toda empresa deva ter um CSIRT formal ou laboratório próprio. O requisito foi calibrado como recomendação proporcional: definir responsáveis, papéis, canais, registros e, quando aplicável, estruturas mais maduras de resposta e compartilhamento.
O sexto bloco operacional trata da troca segura de informações no âmbito da cibersegurança. O decreto estimula o uso de sistema para essa troca, mas não identifica canal, plataforma ou padrão técnico. A recomendação, portanto, foca no controle: classificação da informação, autorização de compartilhamento, canal seguro, registro de destinatário, finalidade, data, escopo e restrições de redistribuição. Esse item é especialmente relevante quando a empresa compartilha indicadores de comprometimento, relatórios de incidente, vulnerabilidades, evidências técnicas ou dados sensíveis.
Vários dispositivos foram mantidos apenas como pontos do documento. As definições do art. 2º são relevantes para linguagem e interpretação, mas não geram ação própria. Os objetivos dos arts. 3º, 5º, 7º e 9º foram preservados como âncoras de escopo. Ações educacionais, de apoio a vítimas, divulgação da Convenção de Budapeste, combate a cibercrimes, capacitação de persecução penal, cooperação internacional e desenvolvimento de pesquisa foram registradas como pontos de governança ou recomendações amplas, mas não viraram requisitos empresariais porque não estabelecem conduta empresarial diretamente controlável.
Também não foram convertidos em requisitos os comandos dirigidos a entidades regulatórias ou órgãos públicos. Isso inclui promoção de gestão de riscos pelos reguladores, desenvolvimento de mecanismos de regulação e fiscalização, criação de alertas e listas de alto risco, aprimoramento normativo, criação de mecanismo nacional de notificação, proposição e aprovação do Plano Nacional de Cibersegurança e anuência de órgãos públicos integrantes do Comitê Nacional de Cibersegurança. Esses pontos podem gerar obrigações futuras quando regulamentos, planos, guias ou atos setoriais forem publicados, mas essa futura normatização não foi presumida aqui.
O decreto prevê que o Plano Nacional de Cibersegurança será proposto pelo Comitê Nacional de Cibersegurança e submetido à aprovação do Ministro de Estado Chefe do Gabinete de Segurança Institucional. O plano deverá conter iniciativas estratégicas específicas, cronograma de execução e governança das ações e atividades. A publicação do ato fica condicionada à anuência dos órgãos e entidades públicas integrantes do Comitê Nacional de Cibersegurança.
Para empresas, esse é um ponto de acompanhamento regulatório, não uma obrigação imediata. O Plano poderá detalhar iniciativas, instrumentos, governança, cronogramas e eventuais mecanismos de participação ou conformidade. No retrato-fonte deste pacote, contudo, não foram criados prazos ou obrigações derivados de um plano ainda não detalhado no próprio decreto.
O decreto revoga expressamente o Decreto nº 10.222, de 5 de fevereiro de 2020, que aprovava a Estratégia Nacional de Segurança Cibernética anterior. Esse efeito foi registrado em alteracoesRequisitos como inativação de requisitos eventualmente vinculados ao decreto revogado, sem recriar todos os requisitos da norma anterior dentro deste pacote.
A entrada em vigor ocorre na data de publicação. Como a publicação no Diário Oficial da União ocorreu em 5 de agosto de 2025, essa data foi usada como início da vigência operacional sugerida dos requisitos de recomendação. A revogação do decreto anterior também foi registrada com referência a esse marco.
O impacto mais relevante para compliance é a necessidade de diferenciar obrigação vinculante de recomendação estratégica. Empresas podem usar o decreto como referência para amadurecer programas de cibersegurança, mas não devem tratá-lo isoladamente como fonte de sanção ou obrigação de entrega específica. O valor do pacote está em antecipar temas que provavelmente influenciarão políticas públicas, regulação setorial, guias técnicos e expectativas de mercado.
As áreas internas mais envolvidas tendem a ser tecnologia e segurança da informação, riscos e controles, suprimentos e contratos, jurídico regulatório, privacidade, operações e diretoria, a depender do requisito. Em empresas menores, a estrutura pode ser enxuta, com responsáveis acumulando funções. Em operadores críticos, é esperado que os temas sejam tratados com maior formalidade, documentação e integração com continuidade de negócios, gestão de terceiros e resposta a incidentes.
As evidências sugeridas no pacote são proporcionais: inventário de ciber-riscos, plano de retomada pós-incidente, avaliação de mitigação, análise de seguro cibernético, plano de simulação, relatório de lições aprendidas, checklist de requisitos de cibersegurança em contratação, avaliação de fornecedor, matriz de resposta a incidentes, registro de incidentes e vulnerabilidades, política ou procedimento de troca segura e logs ou comprovantes de compartilhamento seguro.
O primeiro ponto de atenção é não superestimar o efeito jurídico imediato do decreto para empresas. A maioria dos dispositivos usa verbos como incentivar, estimular, promover, apoiar, desenvolver ou aperfeiçoar. Esses verbos podem orientar políticas públicas e boas práticas, mas não criam, por si só, obrigação empresarial detalhada.
O segundo ponto é acompanhar a evolução do Plano Nacional de Cibersegurança e de atos setoriais. Entidades regulatórias podem futuramente transformar diretrizes da E-Ciber em requisitos obrigatórios para setores específicos, como financeiro, telecomunicações, energia, saúde, transporte, saneamento ou outros serviços essenciais. Esse efeito futuro deve ser curado em pacotes próprios quando os atos forem publicados.
O terceiro ponto é a segmentação. “Serviços essenciais” e “infraestruturas críticas” são categorias funcionais, não uma lista fechada no decreto. Como o dicionário de tags não possui esses recortes, a curadoria adotou aproximação setorial e registrou aviso. O cliente deve ajustar a aplicabilidade no workspace conforme seu enquadramento, atividade, criticidade e eventual regulação setorial.
O quarto ponto é a ausência de periodicidade normativa. Embora o decreto fale em exercícios e simulações regulares, ele não fixa frequência. Por isso, o pacote não cria recorrência RRULE. A frequência de controles internos deve ser definida pela empresa com base em risco, maturidade, contratos, incidentes, requisitos setoriais e expectativas de partes interessadas.
Este pacote deve ser usado como acelerador de leitura e organização da E-Ciber. Ele é especialmente útil para mapear temas de ciber-resiliência, orientar checklists de maturidade, preparar processos de compras seguras, organizar resposta a incidentes e acompanhar futuras regulamentações. Os requisitos importáveis não devem ser apresentados como obrigações legais diretas; eles são recomendações rastreáveis ao decreto, com controles e evidências sugeridas para empresas que queiram se antecipar à agenda nacional de cibersegurança.
A decisão de promover, adaptar, inativar ou complementar cada item deve considerar o setor da empresa, seu porte, seu papel em serviços essenciais ou infraestrutura crítica, sua exposição a dados sensíveis, sua dependência de terceiros tecnológicos e a existência de regras setoriais próprias.
Nenhum item vinculado a este artefato.
