Desde 2014 houve um crescimento constante e preocupante no número de incidentes cibernéticos divulgados publicamente no mundo, sendo a região da América Latina e Caribe a que apresentou a maior taxa de crescimento regional da última década, em torno de 25% ao ano. Esses números mostram que o problema não é apenas técnico, é estrutural e sistêmico e exigirá respostas regulatórias e institucionais que deem conta da escala e da diversidade das ameaças.
O PL 4752 de 2025 surge diante de um cenário em que ataques deixam de ser eventos excepcionais e passam a integrar o funcionamento ordinário das infraestruturas digitais públicas e privadas. Contudo, o desafio não está apenas em criar novas obrigações formais, mas em converter a resposta normativa em capacidade efetiva de prevenção, detecção e recuperação.
Ao concentrar na lei os objetivos, princípios e deveres estruturantes e deslocar a especificação operacional para atos infralegais, o texto cria espaço para uma regulação progressiva, capaz de acompanhar a evolução das ameaças e das arquiteturas digitais.
Esse desenho é relevante porque reconhece que cibersegurança não se regula de forma homogênea, ou seja, sistemas críticos, serviços essenciais e bases de dados sensíveis demandam níveis distintos de exigência, prazos e mecanismos de supervisão.
Contudo o PL dedica pouca atenção à mensuração de capacidades concretas de prevenção, detecção e resposta. Regulações modernas de cibersegurança têm avançado no sentido de avaliar resultados e não apenas processos. Exercícios de resposta a incidentes, testes periódicos, métricas de tempo de recuperação e simulações de crise são exemplos de instrumentos que permitem verificar se a governança declarada corresponde à resiliência efetiva.
Corre-se o risco de, inadvertidamente, valorizar demais evidência formal de conformidade em detrimento da capacidade operacional de resistir a ataques, isso porque embora o art. 3º liste diretrizes louváveis como a “prevenção e mitigação de riscos” e a “resposta coordenada”, o texto poderia ser mais assertivo ao incorporar princípios de arquitetura moderna. A tríade clássica de confidencialidade, integridade e disponibilidade é insuficiente para sistemas críticos se não vier acompanhada de pilares como autenticação forte, autorização e não repúdio.
O texto também perde a oportunidade de estabelecer balizas claras para a arquitetura de segurança esperada do setor público e de operadores de serviços essenciais. Não se trata de impor tecnologias específicas, mas de reconhecer princípios estruturantes amplamente consolidados, como autenticação robusta, segregação de privilégios, registro auditável de eventos e redução sistemática de superfícies de ataque. A ausência dessas referências enfraquece a capacidade da autoridade de construir normas coerentes e comparáveis ao longo do tempo.
Outro ponto sensível está na relação entre regulação e pesquisa em segurança. Um ambiente normativo que não distingue adequadamente atividades maliciosas de práticas responsáveis de identificação e reporte de vulnerabilidades cria incentivos perversos. A segurança coletiva depende, em larga medida, da atuação de pesquisadores independentes, equipes de resposta e programas de divulgação responsável. Ignorar esse ecossistema equivale a reduzir a visibilidade sobre falhas estruturais e aumentar a probabilidade de exploração silenciosa.
Nesse contexto, países como o Chile (Lei 21.663/2024) e Portugal (novo Art. 8º-A da Lei do Cibercrime) avançam ao despenalizar o “hacking ético” – a pesquisa de vulnerabilidades com reporte responsável, criando um espaço jurídico seguro para a cooperação entre pesquisadores, operadores e autoridades públicas, fortalecendo a prevenção e reduzindo riscos sistêmicos.
Há ainda o desafio da governança na cadeia de suprimentos. Os arts. 13 e 14 exigem a avaliação de riscos de terceiros e a demonstração de conformidade de soluções tecnológicas. Obrigações lineares impostas a fornecedores com capacidades e níveis de exposição distintos tendem a gerar ineficiências e concentração de mercado.
Regulação baseada em risco exige diferenciação por criticidade, dependência sistêmica e maturidade técnica. Sem isso, o resultado pode ser a exclusão de fornecedores nacionais e o reforço de dependências tecnológicas externas, justamente em um campo sensível à soberania digital.
Por fim, a coordenação entre órgãos públicos permanece como um desafio estrutural. A multiplicidade de autoridades com competências sobrepostas, aliada à ausência de mecanismos claros de interoperabilidade informacional, compromete a eficácia da resposta estatal.
Em cenários de incidentes em larga escala, a fragmentação não é apenas ineficiente, ela se torna um fator adicional de vulnerabilidade. Modelos fragmentados de governança tem o potencial de dificultar a articulação de resposta coordenada e a tomada de decisão rápida durante incidentes cibernéticos, porque multiplicam pontos de controle e reduzem a clareza sobre papéis e fluxo de informação.
No âmbito do Poder Executivo, discute-se atualmente, na Casa Civil, o modelo da autoridade responsável pela Política Nacional de Cibersegurança. Para que o marco legal produza efeitos concretos, esse desenho precisa avançar de forma coordenada com o PL 4752, em trilhas ortogonais e complementares, evitando tanto a captura excessiva do texto legal por soluções administrativas contingentes quanto a criação de uma autoridade desconectada das balizas normativas definidas pelo Congresso.
Vale lembrar que o debate sobre modelos de governança não é restrito ao caso brasileiro. Países que passaram por processos similares de desenvolvimento de marcos regulatórios em cibersegurança enfrentaram tensões entre múltiplas autoridades com mandatos sobre proteção de dados, segurança de infraestruturas críticas, defesa nacional e regulação setorial.
Na União Europeia e seu sistema de governança multinível, a Diretiva sobre Segurança de Redes e Informação evoluiu para o Regulamento NIS2, aprovado em 2024, justamente porque a versão original da NIS mostrou lacunas de coordenação entre os Estados-membros e entre autoridades setoriais. A NIS2 estabelece estruturas nacionais de cibersegurança com papéis claros, mas exige que cada Estado-membro adote órgãos com competência centralizada para coordenação de incidentes, notificação e supervisão uniforme.
Na Austrália, o Autoridade de Segurança Cibernética da Austrália (Australian Cyber Security Centre) também foi estabelecida com a missão de integrar capacidades de resposta, investigação e política de cibersegurança com vistas a combater as limitações que uma governança fragmentada gerava para a resposta nacional a incidentes complexos, levando ao redesenho institucional que consolidou funções antes dispersas por agências diversas.
A experiência internacional mostra que países que enfrentaram esse desafio com seriedade optaram por modelos de governança integrados, regulação baseada em risco e autoridades com capacidade técnica real de articulação.
Desse modo, o desafio regulatório está em estruturar capacidades institucionais capazes de operar sob pressão, com clareza de papéis, interoperabilidade informacional e tomada de decisão coordenada. Marcos legais que privilegiam conformidade formal, fragmentam competências ou deixam indefinida a arquitetura de governança tendem a falhar justamente quando mais são necessários.
O PL 4752 representa uma oportunidade relevante para reorganizar a resposta estatal à cibersegurança, mas seu sucesso dependerá menos da extensão das obrigações previstas e mais da qualidade do desenho institucional que sustenta sua implementação.
O sucesso, porém, depende de um cálculo político e regulatório complexo. E, como sempre em cibersegurança, o aprendizado mais caro é o que vem depois do incidente.