Decreto nº 12.573/2025 – Estratégia Nacional de Cibersegurança (E‑Ciber)
- Objetivo.
O Decreto nº 12.573, de 2025, publicado em 5 de agosto de 2025, institui a Estratégia Nacional de Cibersegurança – E‑Ciber, com o propósito de concretizar os objetivos da Política Nacional de Cibersegurança (“PNCiber”), definidos no art. 3º do Decreto nº 11.856/2023.
A E‑Ciber possui um caráter programático e estratégico: ela não impõe obrigações imediatas, mas estrutura diretrizes que serão desenvolvidas por meio de um Plano Nacional de Cibersegurança, com cronograma, governança e iniciativas específicas, a ser proposto pelo Comitê Nacional de Cibersegurança, e aprovado pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional.
- Estrutura em quatro eixos temáticos – art. 1º
A E‑Ciber se organiza nos seguintes eixos temáticos:
1. Proteção e conscientização do cidadão e da sociedade – art. 3º e art. 4º
Atenção especial aos grupos vulneráveis: crianças, idosos, pessoas neurodivergentes;
- Incentivo à capacitação de professores e gestores, campanhas educativas, apoio a vítimas e inclusão da cibersegurança nos currículos escolares;
Promoção da prevenção e combate aos cibercrimes, fraudes digitais e outras ações maliciosas, por meio de atuação multissetorial, além do estímulo ao aprimoramento normativo e estrutural dos canais de notificação de cibercrimes.
2. Segurança e resiliência de serviços essenciais e infraestruturas críticas – art. 5º e art. 6º
Direcionado à continuidade de setores estratégicos de serviços essenciais e infraestruturas críticas, como energia, saúde, transporte, telecomunicações, setor financeiro, dentre outros;
- Incentivo à gestão de riscos, adoção de padrões mínimos, simulações, criação de selo nacional de certificação e estímulo à contratação de seguros contra ciberincidentes.
3. Cooperação e integração entre órgãos e entidades públicas e privadas – art. 7º e art. 8º
- Criação de equipes de prevenção e resposta a incidentes, centros de compartilhamento de informações e laboratórios especializados;
- Implementação de mecanismo nacional de notificação de incidentes e participação em fóruns internacionais.
Conforme se verifica, os eixos temáticos II e III pressupõem a participação do setor privado em cooperação com o setor público. Além disso, fornecem base normativa para que empresas de serviços essenciais e operadoras de infraestruturas críticas venham a ser incluídas no escopo de futuras regulamentações setoriais, que poderão exigir, entre outras medidas:
- Gestão de riscos estruturada e governança de incidentes;
- Adoção de padrões de segurança e certificações nacionais;
- Realização de testes, simulações e exercícios multissetoriais;
- Incentivo de adoção de padrões mínimos de segurança cibernética na contratação com fornecedores.
4. Soberania nacional e governança – art. 9º e art. 10
Atualização da PNCiber, indicadores de maturidade, formação técnica, fomento à inovação tecnológica nacional e redução de dependência tecnológica externa.
- Conclusão:
A E-Ciber consolida um marco importante para o fortalecimento da segurança digital no Brasil. O decreto aponta diretrizes estruturantes que visam promover uma transformação cultural, regulatória e tecnológica, com efeitos de longo prazo. Entre os principais pontos destacam-se:
- Promoção da conscientização coletiva e inclusão digital: Envolvimento de toda a sociedade, com foco nos grupos vulneráveis, para difundir uma cultura de segurança digital desde o ambiente escolar até o setor público e corporativo.
- Base para normas regulatórias futuras: a E‑Ciber estabelece suporte legal de incentivo para que agências reguladoras definam, com base setorial, padrões, certificações, planos de contingência e exigências de seguros e auditorias.
- Fortalecimento da atuação multissetorial: estimula a cooperação entre setor público e setor privado, academia e sociedade civil, em um esforço coordenado de prevenção e resposta a ameaças.
- Fomento à soberania tecnológica: incentiva o desenvolvimento de soluções nacionais, pesquisa e a formação de profissionais, reduzindo dependências externas e fortalecendo ecossistemas de cibersegurança locais.