A Presidência da República colocou em consulta minuta de decreto que institui a Estratégia Nacional de Segurança da Informação (E-SegInfo) e o Sistema Integrado de Segurança da Informação (SISInfo), estabelecendo uma nova estrutura de governança para a segurança da informação no âmbito da Administração Pública Federal.
Embora o texto seja direcionado aos órgãos e entidades do Poder Executivo Federal, seus reflexos podem alcançar todo o ecossistema de tecnologia, proteção de dados e segurança da informação, incluindo fornecedores de tecnologia, prestadores de serviços, empresas que mantêm contratos com o setor público e profissionais que atuam em governança, compliance, privacidade e cibersegurança.
A proposta demonstra um movimento relevante do governo federal para consolidar a segurança da informação como uma política pública estruturante, alinhada às discussões contemporâneas sobre proteção de dados pessoais, transformação digital, resiliência cibernética e uso responsável de tecnologias emergentes.
O que a minuta pretende criar?
O decreto propõe a criação de dois instrumentos complementares.
O primeiro é a Estratégia Nacional de Segurança da Informação (E-SegInfo), que funcionará como documento orientador para definição de objetivos, prioridades e ações estratégicas relacionadas à proteção da informação no setor público.
O segundo é o Sistema Integrado de Segurança da Informação (SISInfo), concebido como uma estrutura permanente de coordenação entre órgãos públicos responsáveis pelas atividades de governança, gestão e operação da segurança da informação.
Na prática, o modelo aproxima a segurança da informação de outras agendas já estruturadas na administração pública, como governo digital, gestão de riscos e proteção de dados pessoais.
Segurança da informação além da cibersegurança
Um dos pontos mais relevantes da proposta é a diferenciação entre os conceitos de segurança da informação e cibersegurança.
A minuta adota uma visão ampla de segurança da informação, abrangendo não apenas sistemas e redes, mas também pessoas, processos, documentos, ativos físicos e informações sensíveis.
Nesse contexto, a cibersegurança passa a ser tratada como um subconjunto da segurança da informação, voltado especificamente à proteção de ativos digitais contra ameaças oriundas do ambiente cibernético.
Essa abordagem está alinhada às principais referências internacionais de governança e gestão de riscos, que reconhecem que incidentes de segurança frequentemente decorrem de falhas humanas, processuais ou organizacionais, e não apenas de vulnerabilidades tecnológicas.
Os quatro pilares da estratégia
A E-SegInfo será estruturada em quatro eixos temáticos:
1. Cultura e educação
O objetivo é fortalecer a conscientização dos agentes públicos e consolidar a segurança da informação como prática institucional permanente.
Entre as ações previstas estão campanhas de conscientização, programas de capacitação contínua e iniciativas voltadas à preservação da autenticidade e integridade das informações produzidas pelo poder público.
2. Dados e informações sensíveis
Este eixo contempla medidas relacionadas à proteção de informações classificadas, dados pessoais, prevenção a fraudes, fortalecimento da resiliência institucional e adoção de controles de segurança ao longo de todo o ciclo de vida da informação.
Sob a ótica da proteção de dados, merece destaque a previsão de adoção de padrões mínimos de segurança compatíveis com os riscos associados ao tratamento de dados pessoais.
3. Governança e recursos
A estratégia prevê a modernização do arcabouço normativo de segurança da informação, a ampliação da força de trabalho especializada e a implementação de mecanismos estruturados de gestão de riscos e conformidade.
Também há previsão de fortalecimento da governança institucional e de destinação de recursos orçamentários compatíveis com os riscos e a criticidade dos ativos de informação de cada órgão.
4. Cooperação nacional e internacional
O texto incentiva a cooperação entre órgãos públicos, instituições acadêmicas, setor produtivo e organismos internacionais, buscando ampliar o compartilhamento de boas práticas e fortalecer a capacidade nacional de proteção da informação.
Relação com a LGPD
Embora a proposta não altere diretamente a Lei Geral de Proteção de Dados (LGPD), existe uma clara convergência entre os dois temas.
Diversos dispositivos fazem referência à proteção de dados pessoais, à gestão de riscos e à adoção de controles de segurança adequados à natureza das informações tratadas.
Além disso, a minuta incorpora conceitos amplamente discutidos no contexto da privacidade e da proteção de dados, especialmente a necessidade de considerar requisitos de segurança desde a concepção de sistemas, serviços digitais e políticas públicas.
A proposta reforça uma tendência observada nos últimos anos: a crescente aproximação entre as agendas de privacidade, segurança da informação e governança digital.
Governança obrigatória para os órgãos públicos
Com a aprovação do decreto, os órgãos e entidades abrangidos deverão elaborar e manter um Plano Diretor de Segurança da Informação (PDSI).
Esse plano deverá contemplar, entre outros elementos:
- gestão de riscos;
- metas e ações de segurança da informação;
- programas de conscientização e capacitação;
- planejamento orçamentário;
- indicadores de desempenho.
A medida busca criar maior padronização na forma como a segurança da informação é planejada e executada dentro da administração pública federal.
Sistema estruturante e uso de inteligência artificial
Outro ponto de destaque é a criação de um sistema estruturante nacional destinado a apoiar as atividades de governança, gestão de riscos, avaliação de conformidade, compartilhamento de informações e gerenciamento de incidentes.
A minuta prevê expressamente que esse sistema poderá utilizar recursos de inteligência artificial e outras tecnologias emergentes para apoiar as atividades de segurança da informação.
Ao mesmo tempo, o texto estabelece que tais tecnologias deverão observar requisitos relacionados à segurança, transparência, proteção de dados pessoais e proteção de informações classificadas.
Embora a previsão seja genérica, ela sinaliza uma tendência de utilização crescente de soluções baseadas em inteligência artificial para monitoramento, detecção de ameaças, análise de riscos e apoio à tomada de decisão em segurança da informação.
Aspectos que merecem acompanhamento
A proposta representa um avanço relevante na consolidação de uma política nacional de segurança da informação para o setor público. No entanto, alguns pontos provavelmente continuarão sendo objeto de discussão ao longo do processo regulatório.
Entre eles, destacam-se:
- a forma de articulação entre o Gabinete de Segurança Institucional (GSI) e outros órgãos que atuam em temas correlatos, como proteção de dados e governo digital;
- os critérios que serão utilizados para implementação do conceito de soberania sobre os dados tratados pelo sistema estruturante;
- os mecanismos de integração entre as iniciativas de segurança da informação, cibersegurança e proteção de dados pessoais;
- os futuros atos normativos que detalharão os requisitos técnicos e operacionais previstos na estratégia.
A minuta de decreto representa mais um passo na evolução do arcabouço regulatório brasileiro relacionado à proteção da informação.
O texto demonstra que a segurança da informação vem sendo tratada cada vez mais como um tema transversal, conectado à proteção de dados pessoais, à continuidade dos serviços públicos, à gestão de riscos e à transformação digital do Estado.
Para organizações que atuam junto ao setor público, fornecedores de tecnologia, profissionais de privacidade e segurança da informação e equipes de compliance, acompanhar a evolução desta proposta será fundamental para compreender as futuras exigências regulatórias e as tendências de governança que poderão influenciar tanto o setor público quanto o privado nos próximos anos.
Como o Assis e Mendes pode apoiar
A proposta da Estratégia Nacional de Segurança da Informação e do SISInfo reforça a tendência de que a segurança da informação, a proteção de dados e a governança digital caminhem juntas. Para empresas que atuam com o setor público, fornecem tecnologia ou lidam com informações sensíveis, acompanhar essa evolução é essencial para antecipar riscos e se preparar para novas exigências regulatórias.
O Assis e Mendes apoia organizações na revisão de políticas de segurança da informação, adequação à LGPD, estruturação de programas de compliance e governança, além de orientação sobre contratos com o setor público e fornecedores. Nossa equipe acompanha de perto as mudanças regulatórias para ajudar sua empresa a estar um passo à frente.
📲 Converse com a nossa equipe diretamente pelo WhatsApp:
👉 Clique aqui para iniciar a conversa
Sobre o autor
Fernanda Soares é advogada no Assis e Mendes Advogados, especialista em Compliance, Proteção de Dados e LGPD. Atua como DPO e Controller Jurídica, apoiando empresas na implementação de programas de governança, proteção de dados e conformidade regulatória.
