O que deve conter a configuração segura de ativos de tecnologia, segundo o § 10 do art. 3º?

Deve prever: I – gestão do ciclo de vida dos recursos computacionais; II – aplicação regular de correções de segurança; III – configuração apropriada dos serviços suportados; IV – alteração de senhas e padrões que possam permitir acessos indevidos.

Qual é a base legal que autoriza o Conselho Monetário Nacional a editar a Resolução que altera a Resolução CMN nº 4.893/2021?

O Conselho Monetário Nacional foi amparado pelos arts. 4º, caput, inciso VIII, da Lei 4.595/1964; 7º e 23, caput, alínea “a”, da Lei 6.099/1974; 1º, caput, inciso II, da Lei 10.194/2001; e 1º, § 1º, da Lei Complementar 130/2009.

Que práticas compõem a avaliação e correção de vulnerabilidades prevista no § 8º do art. 3º?

Incluem: I – testes e análises periódicos para detectar vulnerabilidades; II – varreduras periódicas para identificar dispositivos indevidos conectados à rede; III – análises dos recursos tecnológicos para identificar fragilidades; IV – testes de intrusão; V – correção tempestiva das vulnerabilidades encontradas.

Quais procedimentos e controles mínimos devem compor a política de segurança cibernética das instituições, segundo o § 2º do art. 3º?

Devem incluir, no mínimo: I – autenticação; II – mecanismos de criptografia; III – prevenção e detecção de intrusão; IV – prevenção de vazamento de informações; V – proteção contra softwares maliciosos; VI – rastreabilidade; VII – gestão de backups; VIII – avaliação e correção de vulnerabilidades; IX – controles de acesso; X – configuração segura de ativos; XI – proteção de rede; XII – gestão de certificados digitais; XIII – requisitos de segurança para integração via interfaces eletrônicas; XIV – ações de inteligência no ambiente cibernético, inclusive monitoramento na internet, Deep Web, Dark Web e grupos privados.

Em que atividades os procedimentos e controles de segurança cibernética devem ser aplicados, conforme o § 3º do art. 3º?

Devem ser aplicados no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias utilizadas nas atividades da instituição.

Quais documentos e registros devem ser mantidos pelas instituições conforme o art. 23, incisos VIII a X?

Devem ser guardados: VIII – dados e registros dos mecanismos de acompanhamento e controle do art. 21; IX – documentação dos critérios que caracterizam situação de crise (art. 20, parágrafo único); X – documentação dos resultados dos testes de intrusão e planos de ação para correção de vulnerabilidades, contando o prazo de guarda a partir da data de execução dos testes.

Quais informações devem constar dos relatórios mencionados no art. 8º, § 1º, incisos III a V?

Devem ser relatados: III – incidentes relevantes no ambiente cibernético ocorridos no período; IV – resultados de testes de continuidade de negócios diante de indisponibilidades por incidentes; V – resultados de testes de intrusão, varreduras e análises de vulnerabilidades, bem como os respectivos planos de ação.

Quais exigências mínimas compõem a gestão de certificados digitais, conforme o § 12 do art. 3º?

I – monitorar o uso de certificados e assinaturas, empregando mecanismos de rastreabilidade; II – guardar informações com controle de acesso físico e lógico às chaves privadas; III – evitar compartilhamento indevido de chaves privadas; IV – validar certificados revogados junto às autoridades certificadoras de forma tempestiva.

Quais requisitos adicionais de segurança devem ser aplicados na comunicação eletrônica de dados via RSFN, segundo o art. 3º-A, inciso I?

a) múltiplos fatores de autenticação para acesso administrativo aos ambientes Pix e STR; b) isolamento físico e lógico do ambiente Pix, inclusive em nuvem; c) isolamento físico e lógico do ambiente STR, inclusive em nuvem; d) monitoramento e controles sobre credenciais e certificados, em especial no SPI; e) validação da integridade fim a fim das transações antes da assinatura digital; f) proibição de acesso de prestadores de serviços terceirizados às chaves privadas usadas para assinatura de mensagens.

Quais são os requisitos mínimos para os mecanismos de rastreabilidade estabelecidos no § 7º do art. 3º?

Devem abranger: I – trilhas de auditoria de processamento fim a fim, com geração de logs para identificar falhas ou comportamentos atípicos; II – definição de tempo de retenção conforme o tipo de processamento; III – retenção segura das trilhas de auditoria.

Qual é o prazo para que as instituições se adequem às novas exigências introduzidas por esta Resolução?

As instituições em funcionamento devem concluir as adaptações necessárias até 1º de março de 2026.

Qual é a frequência mínima determinada para a realização de testes de intrusão, conforme o art. 22-A?

Os testes de intrusão devem ocorrer, no mínimo, uma vez por ano.

Que medidas de proteção de rede são obrigatórias conforme o § 11 do art. 3º?

É necessário: I – segmentar a rede, protegendo especialmente ambientes de produção e processos críticos; II – definir e monitorar regras de firewall; III – estabelecer critérios para conexões externas, sobretudo em horários não usuais; IV – prevenir conexões indevidas de recursos internos para fora da instituição; V – manter processos e ferramentas para identificar e tratar eventos atípicos (ex.: VPN ou acesso privilegiado fora do expediente); VI – restringir acesso às redes corporativas somente a dispositivos autorizados.

Quando a Resolução que altera a CMN nº 4.893/2021 entrou em vigor?

A Resolução entrou em vigor na data de sua publicação, em 18 de dezembro de 2025.

Quais condições de independência e documentação são exigidas para os testes de intrusão pelo art. 22-A?

Os testes devem ser conduzidos com independência e imparcialidade por pessoa ou empresa especializada contratada, sem impedir testes internos. Seus resultados devem ser documentados, incluindo vulnerabilidades encontradas e planos de ação para correção.

Quais controles de acesso são exigidos pelo § 9º do art. 3º?

I – limitação de acesso à rede corporativa a usuários credenciados e dispositivos autorizados; II – revisão periódica das permissões, com atenção especial a terceirizados; III – uso de múltiplos fatores de autenticação para acessos externos à rede corporativa.

Resolução CMN N° 5.274 | Banco Central

Resumo executivo

A Resolução CMN nº 5.274/2025 é uma norma alteradora da Resolução CMN nº 4.893/2021. Seu foco operacional é elevar o nível mínimo de segurança cibernética exigido das instituições autorizadas a funcionar pelo Banco Central do Brasil, especialmente em ambientes digitais, integrações eletrônicas, sistemas de terceiros e infraestruturas críticas ligadas à RSFN, Pix e STR.

No modo retrato-fonte, este pacote não reconstitui todos os requisitos históricos da Resolução CMN nº 4.893/2021. Ele registra apenas as obrigações, procedimentos, entregas, retenções e alterações que nascem da Resolução CMN nº 5.274/2025. Por isso, os itens aparecem como reforços, detalhamentos ou novas camadas operacionais sobre política de segurança cibernética, gestão de vulnerabilidades, rastreabilidade, certificados digitais, APIs, inteligência cibernética, testes de intrusão e documentação à disposição do Banco Central.

Escopo e sujeitos regulados

O sujeito regulado é o conjunto de instituições alcançadas pela Resolução CMN nº 4.893/2021, isto é, instituições autorizadas a funcionar pelo Banco Central do Brasil no âmbito de competência do Conselho Monetário Nacional. A segmentação do pacote usa uma expressão ampla de instituições do setor financeiro porque o dicionário disponível não contém uma tag única para “instituições autorizadas a funcionar pelo Banco Central”. Essa escolha reduz falso negativo, mas pode exigir refinamento no workspace quando houver cadastro mais granular de instituições.

A norma deve ser interpretada com atenção à divisão regulatória: a Resolução CMN nº 5.274/2025 altera a Resolução CMN nº 4.893/2021, enquanto regras espelhadas para outras instituições reguladas podem estar em atos próprios do Banco Central. Este pacote não consolida esses outros atos, porque a tarefa foi limitada à Resolução CMN nº 5.274/2025.

Principais comandos operacionais

O primeiro bloco material é a atualização da política de segurança cibernética. A política deixa de depender apenas de princípios gerais e passa a precisar contemplar uma lista mais objetiva de procedimentos e controles mínimos: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamentos, proteção contra softwares maliciosos, rastreabilidade, backup, avaliação e correção de vulnerabilidades, controles de acesso, configuração segura de ativos, proteção de rede, gestão de certificados digitais, segurança de interfaces eletrônicas e inteligência no ambiente cibernético.

O segundo bloco relevante é a responsabilização sobre sistemas de terceiros. A instituição precisa aplicar os controles de segurança também a sistemas de informação adquiridos ou desenvolvidos por prestadores de serviços, quando esses sistemas sejam executados com recursos computacionais da própria instituição. Isso exige inventário, classificação de criticidade, avaliação de fornecedores, controles contratuais e evidências técnicas.

O terceiro bloco concentra controles técnicos específicos: rastreabilidade, vulnerabilidades, acessos, hardening, proteção de rede, certificados digitais e segurança de APIs. Esses requisitos tendem a exigir integração entre política, arquitetura, ferramentas de monitoramento, gestão de mudanças, gestão de identidades, inventário tecnológico e gestão de riscos.

O quarto bloco trata de RSFN, Pix, STR e Sistemas do Mercado Financeiro. Nesses ambientes, a norma exige reforços de autenticação, isolamento, monitoramento de credenciais e certificados, validação de integridade de transações e prevenção, detecção e resposta a fraudes. O impacto prático é alto porque esses ambientes são críticos para comunicação, liquidação, pagamentos e integridade transacional.

O quinto bloco trata de evidência e verificabilidade: testes de intrusão anuais independentes, inclusão de resultados no relatório anual, documentação de vulnerabilidades e planos de ação, além de manutenção de documentos relevantes à disposição do Banco Central.

Impactos para compliance

A principal mudança para compliance é a passagem de uma lógica predominantemente documental para uma lógica de comprovação operacional. A instituição precisará demonstrar que os controles existem, operam, são monitorados e geram planos de ação quando falham. O requisito não se esgota em atualizar a política: é necessário vincular política, controles, responsáveis, evidências, testes, relatórios e decisões de risco.

A área de compliance deve atuar como coordenadora de aderência regulatória, mas não como única executora. Tecnologia e segurança da informação tendem a ser donos operacionais de grande parte dos controles. Riscos e controles devem sustentar a matriz de aderência, priorização de vulnerabilidades e acompanhamento de planos de ação. Jurídico e contratos devem atuar quando houver fornecedores críticos, cláusulas de segurança, auditoria, acesso a evidências ou responsabilidade por sistemas de terceiros. Diretoria ou alta administração devem estar envolvidas quando houver aprovação de política, aceitação de risco relevante ou priorização de investimento.

Evidências, controles e áreas envolvidas

O pacote propõe evidências como política atualizada, matriz de aderência, inventário de sistemas de terceiros, logs de rastreabilidade, relatórios de vulnerabilidade, baseline de configuração segura, inventário de certificados, relatórios de inteligência cibernética, evidências de isolamento Pix/STR, relatórios de pentest e repositório de documentação à disposição do Banco Central.

Essas evidências devem ser tratadas como rastros de execução. Uma evidência isolada não prova aderência se não estiver conectada ao requisito, ao controle, ao responsável e ao período aplicável. Para fins de produto, recomenda-se vincular cada requisito a controles internos testáveis, com frequência sugerida e artefatos esperados.

Pontos de atenção

O primeiro ponto de atenção é a necessidade de validar a íntegra oficial antes de importação certificada. A página oficial do BCB foi identificada, mas a consulta aberta retornou dependência de JavaScript. Por isso, o manifest está marcado como “revisar”.

O segundo ponto é a segmentação. Como o dicionário não contém uma tag única para todas as instituições autorizadas a funcionar pelo Banco Central, foi usada uma composição de tags financeiras. Essa segmentação deve ser refinada se o workspace tiver cadastro mais preciso de instituições alcançadas pela Resolução CMN nº 4.893/2021.

O terceiro ponto é a fronteira entre norma alteradora e norma alterada. Este pacote não deve substituir uma curadoria integral da Resolução CMN nº 4.893/2021. Ele deve ser usado para atualizar, criar ou complementar requisitos já existentes no workspace, registrando as alterações materiais e os novos comandos que nasceram da Resolução CMN nº 5.274/2025.

O quarto ponto é a gestão de terceiros. A alteração torna a segurança de sistemas adquiridos ou desenvolvidos por terceiros uma frente operacional de alto risco. Isso exige governança de fornecedores, contratos, monitoramento contínuo, evidências técnicas e mecanismos de escalonamento.

O quinto ponto é a retenção e disponibilidade de documentos. Testes de intrusão, planos de ação, registros de crise e evidências correlatas precisam estar organizados para consulta, auditoria e supervisão. Sem repositório, taxonomia e controle de retenção, a instituição pode até executar controles, mas falhar na comprovação.

Decisões de cobertura

Foram convertidos em requisitos os comandos que geram ação empresarial verificável: atualização da política, aplicação de controles a terceiros, rastreabilidade, vulnerabilidades, acessos, hardening, rede, certificados, APIs, inteligência cibernética, RSFN/Pix/STR, SMF, relatório anual, pentest e retenção documental. Dispositivos de ementa, vigência e identificação da norma-alvo foram tratados no mapa de cobertura, identificação e alterações de requisitos, sem criar obrigação artificial independente.

A curadoria deve ser tratada como acelerador regulatório e não como certificação jurídica. A revisão final deve comparar cada localizador contra o texto oficial integral publicado no BCB ou no Diário Oficial da União.

Resolução Nº 5.274

RESOLUÇÃO CMN Nº 5.274, DE 18 DE DEZEMBRO DE 2025

Altera a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 18 de dezembro de 2025, com base nos arts. 4º, caput, inciso VIII, da referida Lei, 7º e 23, caput, alínea “a”, da Lei nº 6.099, de 12 de setembro de 1974, 1º, caput, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009,

R E S O L V E U :

Art. 1º A Resolução CMN nº 4.893, de 26 de fevereiro de 2021, publicada no Diário Oficial da União de 1º de março de 2021, passa a vigorar com as seguintes alterações:

“Art. 3º ...................................................................................................................................

.................................................................................................................................................

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo:

I - a autenticação;

II - os mecanismos de criptografia;

III - os mecanismos de prevenção e detecção de intrusão;

IV - os mecanismos de prevenção de vazamentos de informações;

V - os mecanismos de proteção contra softwares maliciosos;

VI - os mecanismos de rastreabilidade;

VII - a gestão de cópias de segurança dos dados e das informações;

VIII - a avaliação e a correção de vulnerabilidades dos recursos computacionais e dos sistemas de informação;

IX - os controles de acesso;

X - a definição e implementação de perfis de configuração segura de ativos de tecnologia;

XI - os mecanismos de proteção da rede;

XII - a gestão de certificados digitais;

XIII - os requisitos de segurança para a integração de sistemas de informação por meio de interfaces eletrônicas; e

XIV - as ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, na Deep Web e na Dark Web, além de grupos privados de comunicação.

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive:

I - no desenvolvimento de sistemas de informação seguros; e

II - na adoção de novas tecnologias empregadas nas atividades da instituição.

.................................................................................................................................................

§ 6º A instituição deve verificar o disposto no inciso I do § 3º, no que couber, nos casos de sistemas de informação por ela adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros, executados com a utilização de recursos computacionais da própria instituição.

§ 7º Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem abranger a rastreabilidade de transações e operações, contemplando, no mínimo:

I - trilhas de auditoria do processamento fim a fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamentos atípicos, bem como subsidiar análises;

II - definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e

III - retenção segura das trilhas de auditoria.

§ 8º A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do § 2º deve contemplar, no mínimo:

I - testes e análises periódicos para detecção de vulnerabilidades em sistemas de informação;

II - varreduras periódicas dos recursos tecnológicos com o objetivo de identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos à instituição;

III - análises periódicas dos recursos tecnológicos com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da instituição;

IV - testes de intrusão; e

V - correção tempestiva das vulnerabilidades identificadas.

§ 9º Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no mínimo:

I - mecanismos para limitar o acesso à rede corporativa a usuários credenciados e a dispositivos autorizados;

II - revisão periódica e tempestiva das permissões de acesso, em especial de colaboradores terceirizados com acesso aos recursos computacionais da instituição; e

III - implementação de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos à instituição.

§ 10. A definição e implementação de perfis de configuração segura de que trata o inciso X do § 2º devem prever, no mínimo:

I - a gestão do ciclo de vida dos recursos computacionais da instituição;

II - a aplicação regular de correções de segurança;

III - a configuração adequada dos serviços a serem suportados pelos recursos computacionais; e

IV - a alteração de senhas e de outros padrões que possam ser utilizados para acessos indevidos aos recursos computacionais.

§ 11. Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem contemplar, no mínimo:

I - a segmentação de rede de computadores, resguardando, em especial, o ambiente de produção e os recursos computacionais que suportam processos críticos de negócio;

II - o estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando tentativas de conexão com sistemas de informação provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;

III - a definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno e em dias não úteis;

IV - as medidas para identificar e prevenir conexões indevidas com ambientes externos à instituição oriundas de recursos tecnológicos da instituição;

V - a implementação e manutenção de processos e ferramentas para identificação, análise, tratamento e controle de eventos atípicos no ambiente de produção da instituição, abrangendo, como exemplos, o estabelecimento de virtual private networks – VPN e tentativas de acesso privilegiado a recursos computacionais, especialmente em horário noturno e em dias não úteis; e

VI - o estabelecimento de medidas para restringir o acesso a redes corporativas apenas a dispositivos ou ativos de tecnologia devidamente autorizados.

§ 12. A gestão de certificados digitais de que trata o inciso XII do § 2º deve prever, no mínimo:

I - o monitoramento do uso de certificados e assinaturas digitais, contemplando a implementação dos mecanismos de rastreabilidade de que trata o § 7º;

II - os procedimentos para a guarda de informações, abrangendo os controles de acesso físico e lógico a chaves privadas sob responsabilidade da instituição;

III - procedimentos e ferramentas para evitar o compartilhamento indevido das chaves privadas associadas a certificados digitais da instituição; e

IV - a validação tempestiva de certificados revogados perante as autoridades certificadoras.” (NR)

“Art. 3º-A As instituições referidas no art. 1º devem estabelecer os seguintes requisitos de segurança adicionais, como parte integrante dos procedimentos e controles previstos em sua política de segurança cibernética de que trata o art. 3º:

I - no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional – RSFN:

a) uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e Sistema de Transferência de Reservas – STR;

b) isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados;

c) isolamento físico e lógico do ambiente STR dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados;

d) monitoramento do uso de credenciais e certificados digitais, bem como estabelecimento de controles para a guarda dessas informações, especialmente as utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI;

e) implementação de mecanismos de validação da integridade fim a fim das transações pela instituição antes da assinatura digital das mensagens associadas, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração dessas mensagens; e

f) vedação do acesso de empresas prestadoras de serviços a terceiros às chaves privadas associadas a certificados digitais utilizados pela instituição para a assinatura de mensagens; e

II - no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF autorizados a operar, a implementação de controles de segurança para prevenção, detecção e resposta a fraudes, a serem observados pela instituição.

Parágrafo único. As instituições devem observar este artigo de forma compatível com o disposto:

I - nesta Resolução;

II - na regulamentação em vigor; e

III - em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo Banco Central do Brasil.” (NR)

“Art. 8º ..................................................................................................................................

§ 1º ........................................................................................................................................

................................................................................................................................................

III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período;

IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes; e

V - os resultados dos testes de intrusão e dos testes, varreduras e análises periódicas para detecção de vulnerabilidades de que trata o art. 3º, § 8º, e os planos de ação estabelecidos para as suas correções, observado o disposto no art. 22-A, caput, inciso III.

.......................................................................................................................................” (NR)

“Art. 22-A. As instituições devem assegurar que os testes de intrusão mencionados no art. 3º, § 8º, inciso IV, devem:

I - ter periodicidade mínima anual;

II - ser realizados com independência e imparcialidade por pessoa natural ou empresa especializada contratada pela instituição para essa finalidade, sem prejuízo da realização de testes por equipes da própria instituição; e

III - ter os resultados de sua execução documentados, especialmente as eventuais vulnerabilidades que forem identificadas e os planos de ação estabelecidos para suas correções.” (NR)

“Art. 22-B. O serviço prestado para a comunicação eletrônica de dados na RSFN, de que trata o art. 3º-A, caput, inciso I, é considerado relevante para fins da aplicação do disposto nesta Resolução sobre a contratação de serviços de processamento, armazenamento de dados e computação em nuvem.

§ 1º Aplica-se o disposto no caput independente da forma de conexão com a RSFN.

§ 2º O serviço de que trata o caput inclui os casos em que o prestador de serviços fornece serviço de processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos Brasileiro – SPB.” (NR)

“Art. 23. ..................................................................................................................................

.................................................................................................................................................

VIII - os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos;

IX - a documentação com os critérios que configurem uma situação de crise de que trata o art. 20, parágrafo único; e

X - a documentação com os resultados da execução de testes de intrusão e os planos de ação estabelecidos para as correções de vulnerabilidades identificadas de que trata o art. 22-A, caput, inciso III, contado o prazo a partir da data de execução dos testes.” (NR)

“Art. 24. ..................................................................................................................................

.................................................................................................................................................

III - os prazos máximos de que trata o art. 20, caput, inciso II, para reinício ou normalização das atividades ou dos serviços relevantes interrompidos;

IV - a especificação dos requisitos de segurança para integração de sistemas de informação por meio de interfaces eletrônicas, de que trata o art. 3º, § 2º, inciso XIII; e

V - os requisitos técnicos e procedimentos operacionais a serem observados pelas instituições para o cumprimento desta Resolução.

§ 1º Na regulamentação de que trata o caput, o Banco Central do Brasil deverá observar os princípios e diretrizes referidos no art. 2º, caput.

§ 2º Na regulamentação de que trata o inciso IV do caput, o Banco Central do Brasil deverá observar, também, as seguintes diretrizes gerais:

I - os requisitos a serem especificados serão aqueles necessários e adequados para subsidiar a integração dos sistemas referida no art. 3º, § 2º, inciso XIII; e

II - o conteúdo dispondo sobre os requisitos deverá acompanhar as inovações tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles para implementação da política de segurança cibernética em cenários futuros.” (NR)

Art. 2º As instituições em funcionamento na data da entrada em vigor desta Resolução devem promover as adaptações necessárias à adequação ao disposto nesta Resolução até 1º de março de 2026.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

GABRIEL MURICCA GALÍPOLO
Presidente do Banco Central do Brasil

Resolução CMN N° 5.274

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Impactos para compliance

Evidências, controles e áreas envolvidas

Pontos de atenção

Decisões de cobertura

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução CMN N° 5.274 🛡️ ☁️ 💻

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Impactos para compliance

Evidências, controles e áreas envolvidas

Pontos de atenção

Decisões de cobertura

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução CMN N° 5.274