A Resolução nº 361 de 17/12/2020 do Conselho Nacional de Justiça (CNJ) trata da criação de Protocolo de Prevenção a Incidentes Cibernéticos no âmbito do Poder Judiciário (PPICiber/PJ).[1]
A determinação da adoção do Protocolo de Prevenção a Incidentes Cibernéticos se justifica pelo fato de que ao Conselho Nacional de Justiça compete coordenar o planejamento e a gestão estratégica de Tecnologia da Informação e Comunicação (TIC) do Poder Judiciário.
A imposição da medida, como destacado no texto da Resolução, entre outros fatores, é imprescindível para garantir a segurança cibernética do ecossistema digital do Poder Judiciário brasileiro, notadamente diante do significativo aumento de incidentes cibernéticos na internet.[2]
Com base nessas premissas o Conselho Nacional determinou que todos os órgãos do Poder Judiciário adotassem um Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ), formado por um conjunto de medidas voltadas à prevenção a incidentes cibernéticos em seu mais alto nível, segundo os parâmetros indicados na Portaria CNJ nº 292/2020.
De acordo com a Resolução, elaboração de um plano de ação com vistas à construção do próprio Protocolo, no âmbito de cada Tribunal, deveria ser efetivada no prazo máximo de sessenta dias, contados da publicação da Portaria CNJ nº 292/2020.
Para garantir a eficiência das medidas, o Protocolo de Prevenção a Incidentes Cibernéticos deve ser periodicamente atualizado.
A definição das regras previstas nesse ato tem por base o teor das seguintes normas: Portaria CNJ nº 292/2020; Lei nº 13.709/2018[3]; Lei nº 12.965/2014; Lei nº 12.527/2011; Resolução CNJ nº 215/2015; Resolução CNJ nº 211/2015[4]; Resolução CNJ nº 176/2013; Portaria CNJ nº 249/2020; e Portaria CNJ nº 242/ 2020.
Para ampliar a apreciação do tema recomenda-se a leitura das diretrizes contidas nas seguintes normas:
i) Portaria CNJ nº 242/2020, que institui o Comitê de Segurança Cibernética do Poder Judiciário dispôs sobre a normatização para criação do Centro de Tratamento de Incidentes de Segurança Cibernética (CTISC) do CNJ. Esse órgão será o canal oficial para divulgação de ações preventivas e corretivas sobre ameaças ou de ataques cibernéticos no âmbito do Poder Judiciário;
ii) Instrução Normativa GSI nº 1/2020, que tratou da Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal;
iii) Norma Complementar nº 04/IN01/DSIC/GSIPR, que previu as Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal;
iv) Norma Complementar nº 06/IN01/DSIC/GSIPR, que estabeleceu as Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF);
v) Norma Complementar nº 08/IN01/DSIC/GSIPR, preconizou as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal; e
vi) Norma Complementar nº 21/IN01/DSIC/GSIPR, que definiu Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta.
A referência genérica aos pontos mais salientes da Resolução CNJ nº 361/2020 não impede que se reconheça que as providências destacam a relevância da atuação do Conselho Nacional de Justiça (CNJ) como promotor dos princípios essenciais do Estado Democrático de Direito e dos postulados constitucionais.
[1] Este é o décimo quarto de uma série de outros textos que tratam das orientações normativas do Conselho Nacional de Justiça.
[2] Ademais, ponderou-se que não se pode desprezar a relevância da definição de parâmetros objetivos de Segurança da Informação, nos termos das orientações da NBR ISO/IEC 27001:2013.
[3] Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709/2018). Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
[4] Nesse contexto, vale lembrar que a Resolução CNJ nº 211/2015 definiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) e estabeleceu as diretrizes para sua governança, gestão e infraestrutura.