O Gabinete de Segurança Institucional (GSI) publicou a Instrução Normativa nº 9/2026, que estabelece padrões para a Gestão de Continuidade de Negócios na Administração Pública Federal. O objetivo é reforçar a gestão da resiliência cibernética, trazendo o tema de continuidade de negócios como um assunto central na governança do setor público.
A normativa estrutura as estratégias em quatro pilares: Gestão de Crises, Continuidade Operacional, Recuperação de Desastres e Retomada. Além disso, transfere a responsabilidade final do incidente para a alta administração, alinhando o Brasil a frameworks globais como DORA e NIS2, onde líderes podem ser responsabilizados por falhas de resiliência.
Na visão dos CISOs do Grupo Security Leaders, se aplicada de forma consistente, a normativa pode criar um modelo robusto para entidades públicas, especialmente se expandida para estados e municípios. Outro ponto de eficácia seria a integração com a Estratégia Nacional de Cibersegurança e a possível coordenação dessas diretrizes pela futura Agência Nacional de Cibersegurança, projeto que segue em andamento no Congresso e poderia atuar com práticas parecidas com a da CISA, nos Estados Unidos.
De acordo com o comunicado do GSI, a normativa indica que a gestão de continuidade não pode mais existir como um conjunto de documentos formais ou planos estáticos. A exigência agora é que órgãos públicos tenham mais testes periódicos, exercícios simulados e integração com a gestão de riscos, com foco prático na resposta a crises cibernéticas e operacionais.
Outro ponto relevante é a integração da continuidade com a gestão de riscos cibernéticos, garantindo que novos vetores de ameaça, como ataques avançados de ransomware, sejam contemplados nos cenários de contingência. A normativa também destaca a segregação de funções, evitando o acúmulo de trabalho de Gestor de SI com a de Gestor de TI, a fim de mitigar conflito de interesses e garantir autonomia das áreas. A ideia, agora, é criar condições para que a Segurança da Informação deixe de ser um tema operacional para ocupar espaço estratégico na gestão pública.
