O governo aprovou a Estratégia Nacional de Segurança Cibernética (E-Ciber) por meio do Decreto nº 10.222, assinado pelo presidente Jair Bolsonaro e publicado no Diário Oficial da União nesta quinta-feira, 6. O Decreto já está em vigor a partir desta data e estabelece as medidas de cibersegurança a serem adotadas por todos os órgãos e entidades da administração pública federal, conforme estava previsto no inciso I do art. 6º do Decreto nº 9.637/2018, um dos últimos atos do governo Michel Temer e que institui a Política Nacional de Segurança da Informação.
O Decreto traz em anexo a estratégia em si. Conforme o documento, que pode ser baixado clicando aqui, a E-Ciber tem como objetivo implantar "macrodiretrizes basilares para que o setor público, o setor produtivo e a sociedade possam usufruir de um espaço cibernético resiliente, confiável, inclusivo e seguro". Neste contexto, propõe "tornar o Brasil mais próspero e confiável no ambiente digital; aumentar a resiliência brasileira às ameaças cibernéticas; e fortalecer a atuação brasileira em segurança cibernética no cenário internacional".
A estratégia tem eixos temáticos relativos à proteção e à segurança: governança da segurança cibernética nacional, o universo conectado e seguro e a proteção estratégica, analisando elementos considerados "transformadores", como a dimensão normativa, a P&D&I, a dimensão internacional e parcerias estratégicas e a educação.
Para tanto, as ações previstas visam fortalecer a governança, estabelecendo um modelo centralizado no âmbito nacional, criando um conselho nacional de segurança cibernética. A função de coordenação da cibersegurança em âmbito nacional fica a cargo do Gabinete de Segurança Institucional (GSI), da Presidência da República, alinhado a ações do Ministério da Defesa.
O plano também estabelece a promoção de ambiente participativo, colaborativo, confiável e seguro entre setor público, privado e sociedade. E pretende elevar o nível de proteção do governo e das infraestruturas críticas, considerando uso de dispositivos seguros e endpoints nas organizações públicas; aprimorar o arcabouço legal sobre o tema; incentivar soluções inovadoras; ampliar a cooperação internacional e a parceria entre setor público, privado, academia e sociedade; e elevar o "nível de maturidade da sociedade", com campanhas de conscientização e capacitação.
Vale notar que o decreto cita em sua abordagem de governança os centros estatais e privados de tratamento e resposta aos incidentes cibernéticos, como o CERT.br, de responsabilidade nacional; e o CITR/Dataprev, GRA/Serpro (ambas na lista de privatizações) e CSIRT/Prodesp como centros de infraestrutura de telecomunicações. Do poder público, cita o CTIR Gov do Executivo, GRIS-CD do Legislativo, e GATI, CLRI e TRF-3 do Judiciário. O texto coloca que o CTIR Gov, como órgão central do governo que deve ser "fortalecido" e outorgado com atuação em âmbito nacional.
A E-Ciber já havia sido colocada em consulta pública em setembro do ano passado, e é o primeiro módulo da Estratégia Nacional de Segurança da Informação (ENSI), prevista na Política Nacional de Segurança da Informação (PSNI) instituída no Decreto de 2018.