A minuta da Lei Geral da Cibersegurança apresentada pelo Conselho Nacional de Cibersegurança (CNCiber) deve acelerar a pressão sobre empresas brasileiras para estruturar governança, gestão de riscos e capacidade de resposta a incidentes antes mesmo da aprovação definitiva da legislação, como alerta a LC SEC, especializada em cibersegurança e compliance.
CONTEÚDO RELACIONADO – Brasil é alvo de ataque que dribla dupla autenticação
O texto propõe a criação do Sistema Nacional de Cibersegurança e de uma autoridade nacional responsável por regulamentar, fiscalizar e aplicar sanções relacionadas ao tema, atingindo operadores de infraestruturas críticas, provedores de serviços essenciais e órgãos públicos enquadrados na futura norma.
A proposta estabelece que empresas consideradas agentes obrigados terão 180 dias para se adequar após a publicação das normas aplicáveis, cumprindo exigências relacionadas à gestão de riscos, governança, resposta a incidentes, auditoria, registro de evidências e mecanismos de conformidade contínua. A medida surge em um contexto de crescimento expressivo das ameaças digitais no país, já que, segundo levantamento da Fortinet, o Brasil concentrou 315 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, o equivalente a 84% do total registrado na América Latina, além de 309 bilhões de tentativas de ataques DDoS e 28,1 mil incidentes de ransomware no período. A minuta também prevê multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração.
Esse volume elevado de ataques expõe principalmente empresas que ainda operam sem processos estruturados de prevenção, monitoramento contínuo, gestão de acessos e resposta rápida a incidentes. Na avaliação deLuiz Claudio, CEO e fundador da LC SEC, o principal impacto da futura legislação está na mudança de posicionamento da cibersegurança dentro das organizações, deixando de ser tratada apenas como uma questão técnica para ocupar espaço definitivo na agenda de governança e continuidade operacional.
“A futura Lei Geral da Cibersegurança deve acelerar uma mudança importante no Brasil: segurança deixará de ser apenas uma preocupação técnica e passará a ser uma obrigação de governança, com evidências, responsáveis, processos e prestação de contas”, afirma.
Segundo a IBM, o custo médio de uma violação de dados no Brasil chegou a R$ 7,19 milhões em 2025, acima dos R$ 6,75 milhões registrados no ano anterior. Entre os principais vetores de comprometimento estão phishing, responsável por 18% das violações analisadas, comprometimento de terceiros e cadeia de suprimentos, com 15%, e exploração de vulnerabilidades, com 13%.
Para a LC SEC, o prazo previsto na minuta tende a ser especialmente desafiador para organizações que ainda não possuem inventário formalizado de ativos, plano de resposta a incidentes, políticas atualizadas, classificação de dados ou processos estruturados de gestão de fornecedores. “Cento e oitenta dias parecem muito tempo no papel, mas é pouco para uma empresa que ainda não sabe quais ativos possui, quais sistemas são críticos, quem tem acesso administrativo, quais fornecedores acessam dados sensíveis e como responder a um incidente”, diz Luiz Claudio.
A comparação com a diretiva europeia NIS2 reforça o potencial de transformação da proposta brasileira, já que, assim como ocorreu na União Europeia, a tendência é que a responsabilidade sobre cibersegurança avance para conselhos, diretorias e áreas de compliance, exigindo não apenas políticas formais, mas também capacidade prática de demonstrar controles, auditorias, testes e gestão contínua de riscos.
Na visão da empresa, um dos principais desafios será a maturidade operacional das organizações, pois muitas companhias já possuem iniciativas isoladas de segurança, mas ainda não conseguem comprovar revisão periódica de acessos, monitoramento de fornecedores, testes recorrentes de vulnerabilidade ou organização adequada de evidências para auditorias regulatórias.
Os setores considerados mais vulneráveis são aqueles que concentram dados sensíveis, dependência tecnológica e forte integração com terceiros, como saúde, fintechs, plataformas digitais, fornecedores de tecnologia e empresas de atendimento. O segmento de saúde, em especial, preocupa pela combinação entre sistemas legados, grande volume de integrações e elevada exposição de dados críticos.
Segundo Luiz Claudio, a preparação para a futura lei deve começar por governança e diagnóstico de maturidade, e não apenas pela aquisição de ferramentas. Inventário de ativos, gestão de riscos, revisão de acessos, testes de segurança, conscientização interna, monitoramento de ameaças e estruturação de resposta a incidentes tendem a se tornar pilares centrais da adequação regulatória. “O maior erro das empresas será esperar a lei entrar em vigor para começar a se preparar. Quem ainda não tem inventário de ativos, gestão de riscos, plano de resposta a incidentes e avaliação de fornecedores provavelmente não resolve isso com qualidade em 180 dias”, conclui.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn, X e WhatsApp
