Lei Geral da Cibersegurança: o que muda com a nova regulamentação no Brasil
Nova Lei de Cibersegurança: o que muda para as empresas

Um estudo da Fortinet revelou que, apenas no primeiro semestre de 2025, o Brasil registrou 315 bilhões de tentativas de ataques cibernéticos, representando 84% de todas as ocorrências na América Latina. Diante desse volume de ameaças, a segurança digital deixou de ser uma questão técnica restrita ao departamento de TI para se tornar uma prioridade jurídica e de reputação para as empresas.

A urgência da Lei Geral da Cibersegurança

Nesse cenário, a minuta da Lei Geral da Cibersegurança, apresentada pelo CNCiber em abril de 2026, torna-se cada vez mais urgente. Embora o texto ainda precise passar pela aprovação do Congresso, ele já desenha o novo padrão de proteção para redes e sistemas no Brasil. A minuta prevê 180 dias para adequação após a aprovação da lei e não apenas organiza as regras de segurança cibernética em nível nacional, como também estabelece o Sistema Nacional de Cibersegurança e uma Autoridade Nacional para fiscalizar o setor, trazendo clareza regulatória que o mercado ainda não tinha.

LGPD versus Lei Geral da Cibersegurança

Diferente da LGPD, que foca na privacidade e no tratamento de dados pessoais, a nova Lei Geral da Cibersegurança tem um escopo mais amplo, voltado à proteção de infraestruturas digitais e redes e na resiliência contra ataques como o ransomware. Enquanto a legislação de 2018 regula como as empresas coletam, armazenam e compartilham informações de pessoas físicas, a Lei Geral de Cibersegurança olha para os ativos tecnológicos e a continuidade da operação, independentemente de haver dados pessoais envolvidos.

Banner largo do Pickt — app de listas de compras colaborativas para Telegram

Essa diferença cria um desafio para o compliance digital: seu negócio pode estar em dia com a privacidade dos clientes e, ainda assim, estar em risco perante a nova lei se não contar com controles de segurança, ferramentas de monitoramento ou planos de ação para responder a invasões que paralisem os sistemas. Simplificando: enquanto a LGPD protege o ouro (os dados pessoais), a Lei Geral da Cibersegurança foca na resistência do cofre (a infraestrutura tecnológica). Não basta garantir que o dado esteja sob sigilo se a estrutura que o protege puder ser danificada. Por isso, as duas leis são complementares: uma cuida da informação, a outra garante que o sistema onde ela trafega permaneça seguro.

3 destaques da nova lei

A proposta estabelece os pilares de como o governo pretende fiscalizar e punir quem não priorizar a segurança digital:

  • Criação do Sistema Nacional de Cibersegurança (SNCiber), coordenado pelo Gabinete de Segurança Institucional (GSI), e uma autoridade específica para ditar regras e monitorar o mercado. Atualmente, a Anatel é a principal candidata para assumir o lado operacional da fiscalização.
  • Penalidades para descumprimento incluem advertência com prazo para correção, multas de até 2% do faturamento (limitadas a R$ 50 milhões por infração), suspensão da distribuição de produtos ou serviços de cibersegurança e restrição ao acesso a financiamentos públicos.
  • Serviços essenciais abrangem áreas como comunicações, serviços via satélite, data centers e nuvem. Estão obrigados a se adequar operadores de infraestruturas críticas, provedores de serviços essenciais e entes públicos. O alcance se estende também a fornecedores diretos e indiretos. A responsabilidade pela segurança não pode ser terceirizada: mesmo com parceiros externos, o agente principal responde pela implementação das medidas.

Quem precisa se adequar agora e como agir

A minuta prevê um prazo de 180 dias para adequação após a aprovação da lei, contados da publicação oficial. É um período curto para mudanças estruturais, o que reforça a importância de iniciar o diagnóstico antes mesmo da sanção final pelo Congresso. A regra atinge qualquer operadora de infraestrutura crítica, provedora de serviços essenciais e sua cadeia de suprimentos. Entenda por onde começar:

Banner pós-artigo do Pickt — app de listas de compras colaborativas com ilustração familiar
  1. Identifique de forma minuciosa os sistemas que sustentam seu negócio e faça um inventário rigoroso de permissões para saber quem acessa cada base de dados e por qual motivo.
  2. Designe um responsável por cibersegurança integrado à alta administração da sua empresa.
  3. Implemente uma Equipe de Tratamento e Resposta a Incidentes (ETIRs), grupo dedicado à prevenção e ação rápida diante de crises cibernéticas.
  4. Estabeleça controles técnicos e operacionais que façam sentido para o porte e nível de risco da sua empresa, incluindo planos de gestão de incidentes atualizados e protocolos para notificar autoridades e usuários afetados em caso de invasões relevantes.
  5. Avalie seus fornecedores de tecnologia, incluindo ferramentas de CRM, automação, analytics e armazenamento, para que estejam alinhados à lei, lembrando que a responsabilidade pela integridade da operação não termina na contratação do serviço.

Antecipe-se à nova regulamentação

Estar em dia com a nova Lei Geral da Cibersegurança garante que seu negócio continue crescendo sem interrupções, mesmo em um cenário de ataques cibernéticos constantes. É essencial contar com parceiros que ofereçam inteligência para blindar seus sistemas e garantir que sua infraestrutura esteja pronta para as novas exigências nacionais.