Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > CAO CIBER >

Sem agência própria, política de cibersegurança pode virar “puxadinho digital”, alerta Patricia Peck

sexta-feira, 14 de novembro de 2025, 14h28

 

O avanço do Projeto de Lei de Cibersegurança no Senado reacendeu uma discussão central para governos e empresas: como construir uma política nacional capaz de reduzir a crescente vulnerabilidade do Brasil a ataques digitais?

 

Na avaliação de Patricia Peck, advogada, PhD e uma das maiores especialistas do Oaís no tema, o desenho institucional proposto até agora está longe de atender à urgência do problema. “Há a percepção de que o governo está montando um ‘puxadinho de ciber’. Pelo número de ameaças, o Brasil deveria ser referência, não extensão improvisada. O Brasil não precisa de um puxadinho. Precisa de estrutura, liderança e coragem regulatória”, alertou ela em entrevista ao IT Forum.

 

A crítica expõe a tensão entre a ambição do texto, que é criar padrões nacionais de segurança, obrigatoriedade de reportes e um fundo dedicado ao tema, e a realidade institucional brasileira, marcada por sobreposição de competências, baixa maturidade e falta de liderança unificada.

 

Nova agência ou adaptação de órgãos já existentes?

 

Um dos pontos mais sensíveis do PL é o desenho do órgão responsável por coordenar a política nacional de cibersegurança. Entre as opções discutidas estão fortalecer estruturas já existentes, como a Agência Nacional de Telecomunicações (Anatel) ou o Gabinete de Segurança Institucional (GSI), ou criar uma Agência Nacional de Cibersegurança.

 

Para Patricia, a escolha não deveria deixar dúvidas. “O melhor cenário é uma agência nova, especializada, com foco exclusivo em cibersegurança. Qualquer alternativa é paliativa. É ‘dar um jeitinho’, mas não quer dizer que será eficiente.”

 

Segundo ela, a Anatel, apesar de ser uma agência madura, não tem governança adequada para atuar de forma transversal, regulando setores tão distintos quanto varejo, financeiro, energia e serviços públicos. “Além disso, existe risco real de conflito de interesses. Não vejo como ajustar isso sem comprometer a credibilidade do órgão”, afirma. Já o GSI, embora tradicionalmente ligado ao tema, não possui modelo de agência, estrutura civil técnica nem autonomia necessárias para regular empresas privadas.

 

Ela argumenta ainda que o entrave atual é político, não financeiro. “Adaptar uma estrutura antiga custa praticamente o mesmo que criar uma. A diferença é que a agência exclusiva nasce com foco, poder e confiança do mercado”, observa.

 

Obrigatoriedade de reporte

 

Outro pilar do PL é a obrigatoriedade de que empresas reportem ao governo incidentes relevantes de cibersegurança. A proposta segue tendência global, mas por aqui peca na execução, segundo a especialista. Hoje, o texto usa expressões como “materialmente relevante” e “incidente significativo”, sem definir parâmetros mínimos de impacto, volume de dados expostos ou tempo de indisponibilidade. “É uma definição muito ampla. E amplitude demais gera interpretações diferentes entre setores, tamanhos de empresas e áreas reguladas”, explica ela.

 

O risco, de acordo com a especialista, é duplo. Primeiro pode sobrecarregar empresas, obrigadas a relatar incidentes de baixo impacto. Segundo, afogar o governo com informações que não geram inteligência útil para resposta nacional.

 

Patricia, então, sugere um modelo misto, combinando critérios quantitativos, como número de usuários afetados, volume de dados vazados, horas de indisponibilidade; critérios qualitativos, que inclui sensibilidade das informações, impacto operacional, setor; e critérios de contexto, com presença em infraestrutura crítica ou risco à soberania nacional.

 

Segundo ela, esse formato daria clareza às empresas e permitiria ao Estado priorizar incidentes que realmente ameaçam sistemas essenciais.

 

Financiamento via FNSP

 

Um ponto que reúne preocupação entre especialistas é o financiamento do programa, que no texto atual vincula recursos ao Fundo Nacional de Segurança Pública (FNSP) e às loterias federais.

 

Embora não rejeite a ideia, Patricia alerta para possibilidade de desvio. “Há risco real de desvirtuamento. Sem governança forte, o dinheiro pode migrar para segurança pública tradicional, longe das necessidades de inovação e resiliência digital.”

 

Para garantir foco e transparência, ela defende elementos como metas estabelecidas em lei; relatórios públicos com números de incidentes evitados e empresas beneficiadas; mecanismos de governança conjunta com o setor privado; e incentivos fiscais para organizações que investirem em cibersegurança.

 

Ela vai além e defende que a pauta deveria dialogar com a reforma tributária. “Há espaço para criar estímulos claros para quem investe em proteção digital. Mas isso ainda não entrou na mesa”, afirma.

 

Desafios para empresas

 

Se aprovado da forma como está, o PL deverá provocar mudanças profundas na governança corporativa. E o impacto será mais severo nas pequenas e médias empresas, que já enfrentam limitações de orçamento, equipes reduzidas e baixa maturidade em segurança digital.

 

Patricia aponta quatro desafios imediatos: falta de estrutura técnica e jurídica para responder rapidamente; necessidade de integração entre jurídico, TI e compliance; dificuldades em manter evidências, logs e trilhas de auditoria; e aumento de custos de implementação e de resposta a incidentes.

 

O ponto mais estrutural, no entanto, é a exigência de uma função dedicada. “Assim como a LGPD trouxe o papel do encarregado de dados, a política de cibersegurança precisa tornar obrigatória a figura do Security Officer, seja interno ou terceirizado.”

 

A ausência desse papel, segundo ela, é uma das razões pelas quais o Brasil segue entre os países mais vulneráveis a ataques.

 

Referências internacionais

 

Enquanto o Brasil discute conceitos básicos, países como Argentina e Chile avançaram nos últimos anos com políticas nacionais de cibersegurança inspiradas em modelos como NIS2, da União Europeia.

 

Para alcançar padrões internacionais, Patricia aponta caminhos como a adoção de frameworks como NIST e normas ISO; a interoperabilidade entre CERTs setoriais; maior articulação entre segurança digital, privacidade e IA; e fortalecimento urgente da ANPD, hoje sobrecarregada e ainda sem regulamentar dispositivos essenciais da LGPD.

 

Os maiores desafios, no entanto, são institucionais e culturais. “A fragmentação entre órgãos públicos dificulta a definição de liderança e atrasa qualquer avanço. Falta coordenação e falta visão integrada”, alerta ela.

 

Fonte: It Fórum.

17/11/2025 China nega, mas vazamento indica criação de

17/11/2025 Jornada Digital Anahp destaca que cibersegurança exige planejamento e ação constante

17/11/2025 Cibersegurança. A melhor defesa? Atacar!

17/11/2025 Os perigos invisíveis dos assistentes de IA: o risco da confiança cega na tecnologia

14/11/2025 Como o básico bem-feito pode evitar incidentes similares à C&M?

14/11/2025 Ataques cibernéticos globais disparam em outubro com avanço do ransomware e da IA explorada por cibercriminosos

14/11/2025 Nubank demite dois funcionários por suspeita de Insider threat

13/11/2025 ANPD determina auditoria de conformidade contra WhatsApp

13/11/2025 Salário de profissionais de cibersegurança chega a R$ 24,6 mil no Brasil; confira valores

13/11/2025 Cibersegurança é desafio para o agro, diz especialista

topo