Símbolo do Jus.com.br Jus.com.br
Capa da publicação As falhas da E-Ciber e a corrida pela soberania digital
Capa: Sora
Artigo Destaque dos editores

A transição inadiável: análise jurídica e política das fragilidades da E-Ciber e a imperatividade de um marco normativo vinculante para a cibersegurança brasileira

Exibindo página 1 de 2
Anderson de Andrade Bichara
Anderson de Andrade Bichara
Agostinho Gomes Cascardo Junior
Agostinho Gomes Cascardo Junior
Franco Perazzoni
Franco Perazzoni
Ralph de Lima Xavier
15/11/2025 às 16:35

Resumo:


  • O Brasil enfrenta um cenário de ameaças cibernéticas crescente e sofisticado devido à digitalização acelerada.

  • A Estratégia Nacional de Cibersegurança (E-Ciber) representa um avanço, mas carece de força vinculante para impor obrigações e sancionar eficazmente.

  • O arcabouço jurídico brasileiro é fragmentado, com leis setoriais insuficientes, evidenciando a necessidade de um marco normativo vinculante.

Resumo criado por JUSTICIA, o assistente de inteligência artificial do Jus.

A fragilidade da Estratégia Nacional de Cibersegurança expõe o Brasil a riscos digitais. É necessário um marco jurídico vinculante que garanta soberania e resiliência.

Resumo: O Brasil, em meio a um processo de digitalização acelerada, enfrenta um cenário de ameaças cibernéticas crescente e sofisticado, que impõe riscos não apenas à economia e aos serviços essenciais, mas também à soberania e à democracia. A resposta nacional, historicamente, tem se caracterizado por uma abordagem reativa e fragmentada, baseada em um mosaico de leis setoriais e insuficientes. A nova Estratégia Nacional de Cibersegurança (E-Ciber), instituída pelo Decreto nº 12.573/2025, representa um avanço significativo na articulação de uma política pública coesa. No entanto, por sua natureza jurídica de instrumento infralegal, a E-Ciber carece da força vinculante necessária para impor obrigações, fiscalizar e sancionar de forma eficaz, perpetuando a vulnerabilidade do país. A análise comparativa com modelos internacionais, como a Diretiva NIS2, o Regulamento DORA e o Cyber Resilience Act da União Europeia, e o modelo híbrido da CISA e do NIST nos Estados Unidos, evidencia a imperatividade de um regime de comando e controle. O presente artigo examina as limitações da E-Ciber e do arcabouço legal brasileiro existente, propondo a criação de um marco normativo vinculante, com poder de fiscalização e sanção, como condição indispensável para a transição do Brasil de uma "colônia digital vulnerável" para uma nação digitalmente soberana e resiliente.

Palavras-chave: Cibersegurança. Marco Normativo. E-Ciber. Soberania Digital. Políticas Públicas.

Sumário: 1. O Cenário de ameaças cibernéticas e resposta brasileira. 2. A estratégia nacional de cibersegurança e seus limites. 3. O mosaico regulatório brasileiro e suas insuficiências. 4. Modelos internacionais e lições para o Brasil. 4.1. União Europeia. 4.2. Estados Unidos. 5. Proposta de marco vinculante de cibersegurança e soberania digital. 6. Considerações finais.

1. O Cenário de Ameaças Cibernéticas e a Resposta Brasileira

A crescente e acelerada digitalização de todos os setores da sociedade e da economia brasileira expõe o país a um volume alarmante de ameaças cibernéticas. O cenário de risco é de alta criticidade. O Brasil foi alvo de mais de 103,16 bilhões de tentativas de ataques cibernéticos em um único ano. Tais ofensivas não se limitam a indivíduos ou empresas privadas; elas visam de forma crescente órgãos públicos, incluindo instituições ligadas à saúde, tribunais de justiça e entes da administração pública. As consequências desses ataques são multidimensionais, extrapolando as perdas financeiras para prejudicar a oferta de serviços governamentais, comprometer a segurança de infraestruturas críticas e, em última análise, impactar o funcionamento de estruturas democráticas e o pleno gozo de direitos fundamentais, como ocorre com a disseminação massiva de desinformação.

Historicamente, a resposta do Brasil a essa realidade de ameaças tem sido descrita como reativa e carente de uma visão sistêmica. Um estudo da Fundação Getúlio Vargas (FGV) sintetiza essa situação de forma incisiva, classificando a abordagem brasileira como "extremamente compartimentada e fragmentada". O professor Luca Belli, que coordenou a pesquisa, utilizou uma metáfora poderosa, comparando a situação a "comprar portas de aço deixando as janelas abertas". Essa avaliação aponta para a existência de um mosaico regulatório disperso, no qual diferentes leis abordam aspectos isolados do ambiente digital, mas nenhuma oferece uma solução coesa e vinculante para a cibersegurança de forma holística.

Diante desse contexto, o presente artigo tem como objetivo analisar a Estratégia Nacional de Cibersegurança (E-Ciber), instituída pelo Decreto nº 12.573/2025, e demonstrar, por meio de uma análise jurídica e comparativa, que a sua natureza de política pública não vinculante é a sua principal fragilidade. O trabalho argumentará que, apesar de ser um passo fundamental, a E-Ciber é insuficiente para garantir a resiliência e a soberania digital do país, e que a transição para um marco normativo com força de lei é uma imperatividade, uma transição inadiável para que o Brasil não se torne uma "colônia digital vulnerável".

2. A Estratégia Nacional de Cibersegurança (E-Ciber): Alcance e Limites de uma Política Não Vinculante

A nova Estratégia Nacional de Cibersegurança (E-Ciber), instituída pelo Decreto nº 12.573/2025, representa um avanço significativo na tentativa do Brasil de se aproximar dos países mais maduros na temática. Sendo a segunda versão do documento e uma estratégia com características de "3ª geração", a E-Ciber busca elevar o nível de maturidade e governança da cibersegurança no país. O documento está estruturado em quatro eixos temáticos que orientam suas ações: proteção e conscientização da sociedade; segurança e resiliência de serviços essenciais e infraestruturas críticas; cooperação e integração entre órgãos e entidades; e soberania nacional e governança. Entre suas metas, a E-Ciber propõe uma governança centralizada, o fortalecimento da soberania tecnológica ao reduzir a dependência de tecnologias estrangeiras, o fomento à inovação e a melhoria da proteção de infraestruturas críticas.

Apesar de suas proposições meritórias, a principal fragilidade da E-Ciber reside em sua natureza jurídica. Por ser instituída por um decreto, a E-Ciber se configura como um ato infralegal, ou seja, um instrumento de política pública que não possui a mesma força vinculante e coercitiva de uma lei aprovada pelo Poder Legislativo. O texto que descreve a estratégia utiliza verbos como "propõe," "promove," "fomenta" e "estimula". Essa linguagem, embora denotando intenção e direcionamento, carece de poder de imposição e sanção.

A ausência de uma força coercitiva inerente ao instrumento legal escolhido para a E-Ciber se manifesta na forma como suas ações serão implementadas. O decreto prevê que as cerca de 40 ações estratégicas serão desdobradas em iniciativas específicas, descritas em Planos Nacionais de Cibersegurança (P-Ciber), a serem atualizados periodicamente pelo Comitê Nacional de Cibersegurança (CNCiber). A dependência desses planos para detalhar as ações é um claro sintoma de sua natureza aspiracional. O decreto estabelece a visão, mas não cria as obrigações legais, nem os mecanismos de fiscalização e controle. Isso significa que, sem um marco legal subsequente que transforme os objetivos da E-Ciber em deveres jurídicos, a sua implementação no setor privado e em entes não-governamentais é baseada primariamente na adesão voluntária e na colaboração interinstitucional, e não na compulsoriedade da lei. O objetivo de "promover o desenvolvimento de mecanismos de regulação, fiscalização, coordenação e controle" não se concretiza por si mesmo com a E-Ciber, deixando o sistema em um estado de vulnerabilidade contínua. Essa lacuna legal é, na verdade, a causa direta da abordagem "compartimentada" do Brasil, diagnosticada por especialistas, pois não há uma norma superior que unifique e imponha um padrão mínimo de segurança para todo o ecossistema digital.

3. O Mosaico Regulatório Brasileiro: A Insuficiência do Arcabouço Jurídico Existente

A análise do arcabouço legal brasileiro revela um conjunto de normas que, embora importantes em seus respectivos campos, não se articulam de forma a prover um sistema de cibersegurança robusto e coeso. Essa fragmentação corrobora a avaliação de que a abordagem nacional é um "mosaico regulatório" incapaz de proteger a infraestrutura crítica e a sociedade de forma sistêmica.

A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) é frequentemente apontada como o principal marco legal de segurança digital no Brasil. No entanto, seu escopo é estritamente a proteção de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade. A LGPD é, sem dúvida, uma legislação com poder de sanção. Seu artigo 52 lista um regime de penalidades que inclui advertência, multa de até 2% do faturamento (limitado a R$ 50 milhões), bloqueio e eliminação de dados. No entanto, a LGPD atua primordialmente sobre a consequência de um incidente (o vazamento de dados pessoais), e não sobre a causa de falhas sistêmicas de segurança. A lei não tem prerrogativas para auditar ou impor padrões de segurança a infraestruturas de telecomunicações ou energia, por exemplo, a menos que uma falha nesses sistemas resulte em um incidente com dados pessoais. Isso deixa vastas áreas da infraestrutura crítica sem uma proteção legal vinculante.

Outro pilar da legislação digital brasileira, o Marco Civil da Internet (Lei nº 12.965/2014), tem uma abordagem igualmente reativa quando se trata da responsabilidade de provedores por conteúdos de terceiros. O Artigo 19 determina que a responsabilidade civil do provedor por danos decorrentes de conteúdo gerado por terceiros é subsidiária e só ocorre em caso de descumprimento de uma ordem judicial que determine a indisponibilização do conteúdo ilícito. A exceção se aplica a casos que envolvem menores de idade. A dependência do processo judicial é a antítese da proatividade exigida em cibersegurança. Enquanto a velocidade de um ataque cibernético é medida em milissegundos, a resposta judicial pode levar dias, semanas ou até meses. Essa abordagem consagra um modelo reativo que é fundamentalmente inadequado para a dinâmica do ciberespaço atual.

A falta de coerência regulatória é evidenciada em conflitos entre diferentes leis, como o caso da Lei do Cadastro Positivo (Lei nº 12.414/2011). Um estudo jurídico aponta que as alterações que permitiram a inclusão automática de dados dos cidadãos nessa base ferem os direitos fundamentais de privacidade e o princípio da anuência prévia estabelecidos pela LGPD. Este conflito regulatório não é uma falha isolada; é a prova concreta da fragmentação legislativa no Brasil. A existência de leis que se contradizem cria insegurança jurídica e demonstra a ausência de uma visão holística e de harmonização regulatória, corroborando o diagnóstico da FGV sobre uma abordagem "compartimentada".

O quadro abaixo ilustra de forma sintética a insuficiência das leis existentes em prover um marco de cibersegurança coeso.

Legislação

Natureza Jurídica

Foco Principal

Abordagem

Limitações em Cibersegurança

E-Ciber

Política Pública (Decreto)

Governança e Estratégia

Proativa (Intenção)

Não é vinculante, não impõe sanções, implementação dependente de P-Ciber.

LGPD

Lei

Proteção de Dados Pessoais

Proativa e Reativa (Sanção)

Foco restrito a dados pessoais; não abrange a resiliência de infraestruturas críticas.

Marco Civil da Internet

Lei

Direitos e Responsabilidades de Provedores

Reativa (Judicial)

A responsabilidade civil depende de ordem judicial, o que é incompatível com a velocidade de ataques cibernéticos.

Lei do Cadastro Positivo

Lei

Proteção ao Crédito

Reativa (Individual)

Alterações que criam conflito com a LGPD, evidenciando a falta de harmonização legislativa.

4. Lições e Modelos Internacionais: A Imperatividade de um Regime Coesivo

A ineficácia da abordagem brasileira se torna ainda mais evidente ao ser comparada com os modelos regulatórios adotados por economias mais desenvolvidas. A União Europeia e os Estados Unidos, por exemplo, implementaram estruturas que se baseiam na imposição de deveres e na centralização da governança.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

4.1. A União Europeia: O Paradigma dos Marcos Vinculantes

A União Europeia optou por um modelo de comando e controle, no qual a conformidade é obrigatória e as sanções são severas.

A Diretiva NIS2 (Diretiva 2022/2555) é o principal exemplo. Ao contrário da E-Ciber, que é uma estratégia, a NIS2 é uma diretiva vinculante que visa estabelecer um "alto nível comum de cibersegurança" em toda a União. A NIS2 expandiu o escopo para incluir mais setores e impõe obrigações claras de gestão de riscos, notificação de incidentes em prazos curtos e um regime de sanções rigoroso. As penalidades para o não cumprimento podem chegar a €10 milhões ou 2% do faturamento global, com a possibilidade de sanções não financeiras, como ordens de conformidade e até proibições temporárias a executivos em caso de negligência grave. A NIS2 ilustra um modelo que contrasta diretamente com a abordagem brasileira de "promoção" e "estímulo", pois ela não apenas define o que deve ser feito, mas confere às autoridades nacionais o poder de exigir e punir.

O Regulamento DORA (Digital Operational Resilience Act - Regulamento 2022/2554) é um marco regulatório setorial que se dedica especificamente ao setor financeiro. Ele preenche uma lacuna crítica ao impor regras claras para a gestão de riscos de Tecnologia da Informação e Comunicação (TIC), notificação de incidentes e testes de resiliência, incluindo testes de penetração. O DORA demonstra a necessidade de regulação vertical para setores críticos, focando na resiliência operacional do sistema financeiro como um todo, reconhecendo que uma falha pode ameaçar a estabilidade de todo o sistema.

O Cyber Resilience Act (CRA), por sua vez, representa uma inovação regulatória ao impor requisitos de cibersegurança a fabricantes de hardware e software com componentes digitais. O CRA exige que os fabricantes garantam a segurança ao longo de todo o ciclo de vida do produto e, ao impor "segurança por design" e "configurações seguras por padrão", ele transfere a responsabilidade da vítima (o usuário final) para a fonte (o fabricante). Isso eleva a barra de segurança de forma proativa para todo o mercado, reduzindo a superfície de ataque para empresas e indivíduos.

4.2. Os Estados Unidos: O Modelo Híbrido de Governança e Incentivo

Nos Estados Unidos, o modelo se baseia em uma governança centralizada e em um conjunto de diretrizes que se tornam compulsórias para a esfera governamental e sua cadeia de suprimentos. A CISA (Cybersecurity and Infrastructure Security Agency) atua como a coordenadora nacional para a segurança e resiliência de infraestruturas críticas, com poder para emitir "diretivas operacionais vinculantes" para agências federais.

A NIST Cybersecurity Framework (CSF) é um conjunto de diretrizes e melhores práticas, sendo voluntário para o setor privado, mas obrigatório para agências federais e seus contratados. A conformidade se torna um requisito contratual, garantindo que as empresas que lidam com dados do governo ou fazem parte da cadeia de suprimentos federal atendam a padrões rigorosos de segurança. Esse modelo cria um poderoso efeito de cascata, elevando os padrões de segurança em grande parte da economia sem a necessidade de uma lei abrangente para todos os setores.

O quadro abaixo sintetiza as diferenças fundamentais entre a E-Ciber e os marcos regulatórios internacionais analisados.

Marco Regulatório

Localidade

Natureza Jurídica

Escopo

Exemplos de Obrigações

Sanções

E-Ciber

Brasil

Política Pública (Decreto)

Cidadãos, empresas, infraestruturas críticas, governo.

Cooperação, fomento, estímulo.

Nenhuma.

NIS2

União Europeia

Diretiva (Vinculante)

Setores essenciais e importantes (energia, transporte, saúde, etc.).

Gestão de riscos, notificação de incidentes (prazos curtos), auditorias.

Multas de até €10M ou 2% do faturamento global; sanções não financeiras.

DORA

União Europeia

Regulamento (Vinculante)

Setor financeiro.

Gestão de riscos de TIC, testes de resiliência, notificação de incidentes.

Multas substanciais, não detalhadas nos trechos.

CRA

União Europeia

Regulamento (Vinculante)

Produtos com componentes digitais (hardware e software).

Segurança por design, atualizações de segurança ao longo do ciclo de vida, configurações seguras por padrão.

Restrições de venda, recolhimento de produtos, multas de €5-15M ou 1-2,5% do faturamento global.

NIST CSF

Estados Unidos

Diretriz (Voluntária)

Federal agencies e contratados; voluntário para o setor privado.

Identificar, Proteger, Detectar, Responder, Recuperar.

Obrigatório via contratos federais. A não-conformidade pode levar à perda de contratos.

5. Rumo a um Marco de Cibersegurança e Soberania Digital: Elementos para um Futuro Vinculante

A realidade da ameaça cibernética no Brasil e a análise comparativa com modelos internacionais deixam claro que a soberania digital e a resiliência das infraestruturas críticas não serão alcançadas por meio de um instrumento de natureza não vinculante. A fragilidade da abordagem "fragmentada" e "reacional" persistirá enquanto as obrigações de cibersegurança não forem transformadas de "desejáveis" para "obrigatórias".

A proposta de um "Marco de Cibersegurança e Soberania Digital", formulada pelo estudo da FGV, alinha-se diretamente com os modelos internacionais analisados e oferece um caminho concreto para o futuro. Para que tal marco seja eficaz, ele deve conter os seguintes elementos essenciais, inspirados nas lições aprendidas:

  • Governança Centralizada e com Poder de Fiscalização: A E-Ciber já propõe uma governança centralizada com o CNCiber , mas a futura lei deve conceder a esse órgão, ou a um novo, poder real de fiscalização, auditoria e emissão de diretrizes vinculantes.

  • Obrigações Proativas e de Gestão de Riscos: A legislação deve impor a empresas e entidades de infraestrutura crítica a implementação de medidas de gestão de risco e resiliência, com base em frameworks reconhecidos, como o NIST. Essas obrigações devem ir além da mera proteção de dados pessoais, abrangendo a integridade e a disponibilidade dos sistemas e serviços essenciais.

  • Notificação Obrigatória de Incidentes: A notificação de incidentes deve ser compulsória e em prazos curtos, como exigido pela NIS2. Isso permite que as autoridades monitorem a situação, coordenem respostas e mitiguem a propagação de ameaças de forma eficaz, em vez de depender de relatos voluntários.

  • Um Regime de Sanções Eficaz: O novo marco deve ter um regime de sanções que combine multas financeiras severas com sanções não monetárias, como auditorias obrigatórias e a divulgação pública de violações. O valor das multas deve ser suficiente para incentivar a conformidade e dissuadir o descumprimento, alinhando-se aos percentuais de faturamento aplicados em outras jurisdições.

A soberania nacional está intrinsecamente ligada à soberania digital. A dependência de tecnologias estrangeiras e a falta de um marco vinculante criam uma vulnerabilidade que vai além do âmbito técnico, atingindo a capacidade do país de proteger seus próprios interesses estratégicos no ciberespaço. Conforme apontado pela FGV, essa ausência de um arcabouço robusto pode, em última análise, transformar o Brasil em uma "colônia digital vulnerável".

Assuntos relacionados
Direito da informática Informática e Governo Legislação de 2025 Decretos de 2025 E-Ciber (Estratégia Nacional de Cibersegurança) Decreto nº 12.573 (E-Ciber)
Sobre os autores
Imagem do autor Anderson de Andrade Bichara
Anderson de Andrade Bichara

Diretor de Operações Brasil na GIF Internacional, doutorando em Sustentabilidade Social e Desenvolvimento na Universidade Aberta de Portugal, mestre em Criminología Aplicada y Investigación Policial (UCAV, Espanha), com MPA em Gestão de Órgãos de Segurança Pública pela Universidade Cândido Mendes. Delegado de Polícia Federal desde 2003. Especialização em Bases Teórico Metológicas da Criminologia na Universidade de São Paulo. Foi Auditor Fiscal e Técnico do Tesouro Nacional.

Imagem do autor Agostinho Gomes Cascardo Junior
Agostinho Gomes Cascardo Junior

Delegado de Polícia Federal desde 2006, atualmente exercendo a função de Adido Policial Federal do Brasil na Bolívia (desde 2022), já tendo ocupado a função de Superintendente da Polícia Federal em Rondônia (2020 - 2022). Doutorando em Sustentabilidade Social e Desenvolvimento (UAb, Portugal), Mestre em Ciência de Sistemas de Informação Geográfica pela Universidade Nova de Lisboa (2021) e Especialista em Segurança Pública (2018) e está cursando Especialização em Gestão de Riscos, Compliance e Auditoria pela PUC/PR. Possui Professional Certificate in Blockchain Fundamentals pela University of California/Berkeley (2021), Geospatial Intelligence Collegiate Certificate pela United States Geospatial Intelligence Foundation (2020) e Cryptocurrency Tracing Certified Examiner (CTCE) pela CipherTrace (2022).

Imagem do autor Franco Perazzoni
Franco Perazzoni

Doutor em Sustentabilidade Social e Desenvolvimento (UAb/Portugal) e pesquisador de pós-doutorado no POSCOHR – Coimbra e na ENAP (Escola Nacional de Administração Pública, Brasil), com estudos voltados à interface entre meio ambiente, saúde, tecnologia e governança. Mestre em Ciência e Sistemas de Informação Geográfica (UNL/Portugal) e em Alta Direção em Segurança Internacional (UC3M/Espanha). Atua no campo das tecnologias emergentes aplicadas à sociedade, com foco em ciência de dados, IA, GEOINT, OSINT, blockchain, cibersegurança e marcos legais relacionados à transparência, integridade e prevenção de ilícitos. Professor, pesquisador e orientador voluntário na Universidade de Brasília (NEAz/UnB), concentra-se na produção de conhecimento e no desenvolvimento de soluções inovadoras que integrem tecnologia, direitos humanos e políticas públicas. Delegado de Polícia Federal.

Ralph de Lima Xavier

Security Advisor Sênior, especialista em cibersegurança e Hacker Ético, com mais de duas décadas de experiência em projetos estratégicos no Brasil e em Portugal. Expertise em SOC, Cloud Computing (AWS), infraestrutura de rede e implementação de frameworks globais de segurança. Referência no setor, instrutor Cisco CCNA e colunista no portal Livecoins.

Como citar este texto (NBR 6023:2018 ABNT)

BICHARA, Anderson Andrade ; CASCARDO JUNIOR, Agostinho Gomes et al. A transição inadiável: análise jurídica e política das fragilidades da E-Ciber e a imperatividade de um marco normativo vinculante para a cibersegurança brasileira. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 30, n. 8172, 15 nov. 2025. Disponível em: https://jus.com.br/artigos/116190. Acesso em: 5 dez. 2025.

Leia seus artigos favoritos sem distrações, em qualquer lugar e como quiser

Assine o JusPlus e tenha recursos exclusivos

  • Baixe arquivos PDF: imprima ou leia depois
  • Navegue sem anúncios: concentre-se mais
  • Esteja na frente: descubra novas ferramentas
Economize 17%
Logo JusPlus
JusPlus
de R$
29,50
por

R$ 2,95

No primeiro mês

Cobrança mensal, cancele quando quiser
Assinar
Já é assinante? Faça login
Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Colabore
Publique seus artigos
Fique sempre informado! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos