Por Pedro Nuno*
Como Chief Information Security Officer (CISO) com anos de experiência em cibersegurança, vejo o Brasil em um momento de transição promissor, mas desafiador, no que diz respeito ao cenário legal dessa área.
A criação da Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética, lançada em março de 2025, é um marco que sinaliza uma preocupação crescente do legislativo com um tema crítico para nossa soberania e economia digital.
Mas, como sempre digo: boas intenções precisam evoluir para boas execuções.
O Cenário Atual: Avanços e Lacunas
O Brasil já deu passos importantes, como a Política Nacional de Cibersegurança (PNCiber), instituída pelo Decreto 11.856/2023, que trouxe princípios como proteção de direitos e soberania nacional, além de criar o Comitê Nacional de Cibersegurança. É um avanço na teoria, mas, na prática, a operacionalização ainda é fragmentada, limitada ao Executivo Federal e carente de orçamento e autoridade claros.
Taticamente, nossa abordagem legal segue reativa. A legislação penal não acompanha a sofisticação de crimes como phishing e ransomware – áreas em que o Brasil é um dos maiores alvos globais. Me preocupa, por exemplo, ver empresas penalizadas por vazamentos causados por criminosos, em vez de focarmos na punição dos verdadeiros culpados. Estrategicamente, nossa dependência tecnológica é um calcanhar de Aquiles, e o baixo letramento digital da população agrava o risco. Nenhum firewall resolve isso sozinho.
Impactos na Maturidade Organizacional
Esse cenário desafiador afeta diretamente a maturidade de organizações privadas e públicas. No setor privado, grandes players como bancos já adotam frameworks robustos (ISO 27001, NIST), mas PMEs lutam sem diretrizes claras ou incentivos fiscais, reagindo a incidentes em vez de preveni-los. A LGPD pressiona pela conformidade, mas muitos ainda a veem como custo, não como vantagem competitiva – um sinal de imaturidade cultural.
No poder público, a situação é mais crítica. Ataques como os ao TSE (2020) e ao SUS expõem uma governança desunificada e sistemas legados vulneráveis. A Frente pode mudar isso, mas só se trouxer modernização e capacitação, sem cair na armadilha de medidas punitivas que ignorem a realidade operacional.
A Frente Parlamentar: Um Catalisador com Ressalvas
Interpreto a Frente com otimismo cauteloso. Liderada por nomes como Vitor Lippi e apoiada por figuras como Damares Alves – que destaco pela clareza em abordar conscientização –, ela traz visibilidade a um tema historicamente negligenciado no Congresso. A proposta de uma Agência Nacional de Cibersegurança e um marco regulatório específico alinha-se às dores do país: ataques a infraestruturas críticas, fraudes e desinformação.
Porém, o sucesso depende de execução. Frentes parlamentares não têm poder legislativo direto; precisam de articulação e vontade política num Congresso fragmentado. Sem metas claras – como redução de incidentes ou aumento de resiliência –, corremos o risco de ficar no discurso.
O Marco Regulatório: Por que é Essencial?
Um marco regulatório dedicado é vital para nivelar o jogo. Hoje, dependemos de leis genéricas que não dão conta da velocidade dos desafios cibernéticos. Ele traria clareza jurídica, padrões mínimos (gestão de riscos, planos de continuidade) e incentivos à prevenção, beneficiando desde PMEs até o setor público. Poderia também fomentar soluções nacionais, reduzindo nossa dependência externa e alinhando o Brasil a padrões globais como o NIS2 da UE.
Os impactos positivos seriam transformadores: menos custos com incidentes, mais confiança no ambiente digital e uma cadeia interconectada mais segura. Mas ele precisa ser prático, com metas mensuráveis, e evitar ser apenas mais uma lei no papel.
A Agência Nacional: Um Divisor de Águas
Uma Agência Nacional de Cibersegurança seria o ponto focal que nos falta. Centralizaria esforços, coordenaria setores público e privado e agilizaria respostas a ameaças – algo crucial quando minutos custam milhões. Poderia fiscalizar padrões, liderar inovação local e negociar acordos internacionais, fortalecendo nossa soberania digital. Modelos como a CISA (EUA) mostram o potencial: menos fragmentação, mais proatividade.
Além Disso: O Fator Humano
A Frente deveria priorizar o capital humano. Enfrentamos um déficit crítico de especialistas, e o baixo letramento digital amplifica os riscos. Sugiro programas de formação em escala, educação nas escolas, capacitação de servidores e campanhas nacionais. Sem pessoas preparadas, nenhuma estrutura funciona.
O Papel do Setor
Nós, líderes de cibersegurança, podemos apoiar a Frente sendo consultores técnicos, articulando coalizões (como ISACs), propondo parcerias público-privadas e liderando conscientização. Testar propostas com simulações e investir em capacitação são passos práticos para garantir que as ideias virem realidade.
O que Esperar?
Se bem executadas, essas iniciativas podem nos levar a um ecossistema mais maduro em 5-10 anos: menos incidentes, uma agência consolidada e o Brasil como referência na América Latina. Mas o risco de burocracia e falta de recursos é real. Espero progresso incremental, com resultados visíveis em 3-5 anos, desde que haja colaboração entre governo, setor privado e sociedade.
Um Futuro Promissor?
Sim, acredito nisso. O Brasil tem base – mercado de TI, talento jovem, pressão externa – para virar o jogo. Países como Estônia provam que é possível. Mas esse futuro depende de execução impecável, engajamento setorial e foco no agora. Como CISO, estou esperançoso, mas com os pés no chão: o potencial está aí, é hora de fazer acontecer.
*Pedro Nuno é Head de Cyber Segurança, Privacidade de Dados, Prevenção a Fraudes, Gestão de Riscos e Autor
