Minuta da Lei Geral de Cibersegurança divulgada pelo CNCiber
Em abril de 2026, o Comitê Nacional de Cibersegurança (CNCiber) divulgou a minuta da Lei Geral de Cibersegurança. O texto busca estabelecer princípios, diretrizes e regras gerais para a cibersegurança no Brasil, além de instituir o Sistema Nacional de Cibersegurança. A proposta é especialmente relevante para empresas cuja operação depende de infraestrutura digital, tratamento de dados e prestação de serviços tecnológicos.
A proposta também se insere em um contexto regulatório mais amplo de fortalecimento da agenda de cibersegurança no Brasil, especialmente após a instituição da Política Nacional de Cibersegurança (PNCiber) e da Estratégia Nacional de Cibersegurança (E-Ciber). Nesse sentido, a minuta pode ser lida como uma tentativa de dar densidade legal a diretrizes e estruturas que já vinham sendo desenvolvidas no plano infralegal.
No plano institucional, a proposta prevê a criação do Sistema Nacional de Cibersegurança (SNCiber), da Rede Nacional de Cibersegurança (RENCiber), do Centro Nacional de Cibersegurança (CENCiber) e da figura de uma autoridade nacional de cibersegurança, além da atuação coordenada com autoridades setoriais. Trata-se de uma tentativa de estruturar, em nível normativo, uma arquitetura mais integrada para governança, coordenação e resposta a incidentes.
Outro aspecto relevante é o alcance material da proposta. A minuta não se limita a infraestruturas críticas em sentido estrito, ela alcança operadores de infraestruturas críticas, provedores de serviços essenciais e entes públicos de maior porte. Entre os serviços essenciais abrangidos estão, por exemplo, comunicações, energia, finanças, governo digital, infraestruturas digitais, saúde, educação, saneamento e transportes. No caso de infraestruturas digitais, a minuta menciona expressamente datacenters, serviços de nuvem, DNS, TLD, CDN, MSPs e MSSPs.
No que se refere às obrigações, a proposta avança para um modelo mais concreto de governança. O texto prevê deveres relacionados à gestão de risco, à indicação de responsável na alta administração, à manutenção de cadastro atualizado, à notificação de ciberincidentes relevantes, à comunicação de vulnerabilidades relevantes ao CENCiber e à instituição de ETIR, além da adoção de medidas técnicas, operacionais e organizacionais proporcionais ao risco. A previsão de sandbox regulatório já nas disposições iniciais também sugere a tentativa de combinar supervisão mais estruturada com espaço para experimentação controlada.
O regime sancionatório igualmente chama atenção. A minuta prevê advertência, obrigação de fazer ou não fazer, suspensão do fornecimento de produtos ou serviços relacionados à infração e multa de até 2% do faturamento, limitada a R$ 50 milhões por infração. Embora ainda se trate de proposta, o texto já aponta para um modelo mais estruturado de responsabilização administrativa em cibersegurança, com potencial impacto sobre governança interna, gestão de vulnerabilidades, resposta a incidentes e definição de responsabilidades ao longo da operação.
Para empresas de tecnologia, plataformas, provedores de infraestrutura digital e organizações cuja operação dependa intensamente de dados e conectividade, a minuta já merece atenção. Ainda que se trate de proposta em discussão, seu conteúdo oferece indicações relevantes sobre a direção que a agenda regulatória de cibersegurança pode assumir no curto e médio prazo. Nesse contexto, a consultoria jurídica pode agregar valor não apenas na leitura dos impactos potenciais da proposta, mas também na revisão de estruturas de governança, políticas internas, fluxos de resposta, cláusulas contratuais e desenho de conformidade em cibersegurança.
Referências
Minuta da Lei Geral de Cibersegurança proposta pelo CNCiber: https://www.gov.br/gsi/pt-br/colegiados-do-gsi/comite-nacional-de-ciberseguranca-cnciber/atas/minuta-da-lei-geral-ciberseguranca-proposta-pelo-cnciber.pdf
Decreto nº 11.856/2023, que institui a Política Nacional de Cibersegurança (PNCiber) e cria o CNCiber: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/D11856.htm
Decreto nº 12.573/2025, que institui a Estratégia Nacional de Cibersegurança (E-Ciber): https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2025/decreto/D12573.htm
JOTA, Lei Geral de Cibersegurança: por que é necessária e o que está em jogo: https://www.jota.info/opiniao-e-analise/colunas/direitos-tecnologias/lei-geral-de-ciberseguranca-por-que-e-necessaria-e-o-que-esta-em-jogo
Mobile Time, Lei Geral de Cibersegurança: especialistas comemoram a minuta: https://www.mobiletime.com.br/noticias/10/04/2026/lei-geral-ciberseguranca/
TeleSíntese, CNCiber divulga minuta de lei com regras de cibersegurança para telecom, nuvem e data centers: https://telesintese.com.br/cnciber-divulga-minuta-de-lei-com-regras-de-ciberseguranca-para-telecom-nuvem-e-data-centers/
TeleTime, CNCiber conclui anteprojeto da Lei Geral da Cibersegurança: https://teletime.com.br/06/04/2026/cnciber-conclui-anteprojeto-da-lei-geral-da-ciberseguranca/