Economia
01/07/2026FecomercioSP amplia atuação em defesa do Marco Legal de Cibersegurança
Entidade reforça no Senado sua agenda por um ambiente digital mais seguro e competitivo
A Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) segue contribuindo para um Marco Legal da Cibersegurança equilibrado, que proteja especialmente as Micro, Pequenas e Médias Empresas (MPMEs). De acordo com dados do Tribunal de Contas da União (TCU), o Brasil perde, por ano, R$ 100 bilhões com golpes digitais, o que aumenta a necessidade de uma regulação que organize a cibersegurança no País.
Por isso, a FecomercioSP estruturou dez diretrizes para orientar as políticas públicas nacionais de cibersegurança, defendendo uma regulação equilibrada, eficaz e compatível com a realidade MPMEs, as mais afetadas por esse tipo de crime. A Entidade vem acompanhando de forma contínua as discussões no governo federal e no Congresso Nacional, apresentando propostas para fortalecer a segurança digital sem comprometer a competitividade dos negócios.
Como parte dessa agenda, na última terça-feira, 30 de junho, a Federação participou da audiência pública da Comissão de Ciência, Tecnologia, Inovação e Informática (CCT) do Senado Federal, que debateu o PL 4.752/2025, responsável por instituir o Marco Legal da Cibersegurança, criar o Programa Nacional de Segurança e Resiliência Digital e alterar a Lei 13.756/2018.
A participação da FecomercioSP mostra que a segurança cibernética se tornou um tema estratégico para o Estado, para a sociedade e para o setor produtivo. Nesse sentido, a Entidade segue contribuindo para a construção do marco regulatório, apresentando sugestões destinadas ao aprimoramento do texto e à garantia de sua efetividade. O relatório, que deverá ser apresentado em breve, resulta da consolidação de diversas sugestões colhidas ao longo das discussões sobre o tema.
Ataques cibernéticos exigem resposta coordenada
Durante a audiência, que contou com representantes do governo, da academia e do setor produtivo, o advisor em Regulação Digital da FecomercioSP, Rony Vainzof, que também integra o Comitê Nacional de Cibersegurança (CNCiber), alertou para a velocidade que os ataques digitais ganharam com o incremento da Inteligência Artificial (IA). “Criminosos que levavam quase 25 dias para explorar vulnerabilidades, hoje, com a IA, podem levar minutos.”
Segundo o especialista, menos de 1% das vulnerabilidades conhecidas já foi efetivamente corrigido. Além disso, estima-se que o custo anual mundial de incidentes e fraudes cibernéticas chegue a US$ 10,5 trilhões. De acordo com Vainzof, o País vive um paradoxo: “Enquanto lideramos em inovação, também nos tornamos alvo; estamos cada vez mais expostos a ataques”.
Isso ocorre, sobretudo, porque, embora o Brasil esteja entre os líderes na adoção de novas tecnologias, ainda apresenta baixo nível de maturidade na área e carece de uma estrutura oficial responsável por coordenar ações, orientar os diversos setores e acompanhar a evolução da segurança cibernética.
Vainzof ainda salientou que, na oitava reunião ordinária do CNCiber, realizada no fim do ano passado, as 20 instituições representativas da sociedade aprovaram, por unanimidade, tanto a proposta de um Marco Legal da Cibersegurança quanto a criação de um órgão central de coordenação. “Juntos, e com eventuais ajustes, o PL 4.752 e a proposta do CNCiber se complementam para que a transformação digital no Brasil avance com segurança e confiança”, afirmou.
Atuação da FecomercioSP na construção do marco regulatório
A Federação tem defendido um marco horizontal que organize a cibersegurança para reduzir riscos sistêmicos, econômicos, de infraestrutura e de soberania, adotando uma abordagem proporcional ao risco e evitando ônus regulatórios desnecessários sobre agentes de menor exposição. Em 2025, por exemplo, a Entidade entregou ao Gabinete de Segurança Institucional da Presidência da República (GSI) uma proposta para a criação de uma linha de crédito destinada às MPMEs, que poderia ser disponibilizada em condições diferenciadas com o apoio do Banco Interamericano de Desenvolvimento (BID).
A atuação da Federação também incluiu a participação na Aliança Multissetorial pela Cibersegurança Nacional, movimento liderado pelo Instituto Nacional de Combate ao Cibercrime (INCC), que reúne instituições de referência e representantes de diversos setores da economia. A FecomercioSP também esteve mobilizada pela criação da Frente Parlamentar de Apoio à Cibersegurança e Defesa Cibernética Nacional (FrenCyber) no Congresso Nacional.
Em junho deste ano, a Entidade também reforçou sua atuação sobre o PL de Cibersegurança em reuniões em Brasília, inclusive com o ministro Marcos Antônio Amaro dos Santos, do GSI; Francisco de Oliveira Castro, assessor parlamentar do GSI; Luiz Fernando Moraes da Silva, diretor do Departamento de Segurança Cibernética do GSI; e Marcelo Malagutti, assessor especial do ministro.
Propostas para fortalecer a segurança cibernética no Brasil
Todas essas iniciativas consolidam o compromisso da Entidade com o fortalecimento da segurança digital e a promoção de um ambiente de negócios mais resiliente no Brasil. Confira, a seguir, os principais aspectos que o Marco Legal da Cibersegurança e uma Autoridade Nacional de Cibersegurança podem endereçar, na visão da FecomercioSP.
Marco Legal da Cibersegurança
- Redução da insegurança jurídica: definir conceitos, escopos, papéis, obrigações proporcionais, critérios de risco, prazos para registro de incidentes, interação com normas setoriais e regras para o compartilhamento e o tratamento de informações críticas.
- Abordagem baseada em risco: estabelecer obrigações legais proporcionais ao nível de risco, em especial para infraestruturas críticas e serviços essenciais.
- Harmonização regulatória: evitar sobreposição de competências entre órgãos como Banco Central, Anatel, CVM, ANPD, Aneel, ANS e outros reguladores, criando uma camada nacional de coordenação, e não novas obrigações redundantes.
- Prevenção da dupla punição (‘bis in idem’): promover a coordenação entre a autoridade central de cibersegurança, a ANPD e os reguladores setoriais a fim de evitar que um mesmo incidente resulte em múltiplas sanções desproporcionais baseadas no mesmo fato.
- Tratamento de incidentes cibernéticos sem vazamento de dados pessoais: contemplar situações como ataques de ransomware, DDoS, comprometimento de fornecedores de software e interrupções em hospitais, sistemas de energia, telecomunicações e meios de pagamento.
- Incidente não significa culpa automática: priorizar a avaliação da maturidade, da diligência, da governança, da capacidade de resposta e da melhoria contínua, em vez da responsabilização automática pelo simples fato de um ataque ter ocorrido.
- Proteção das informações críticas compartilhadas pelas empresas: assegurar a confidencialidade de relatórios de incidentes, vulnerabilidades, registros (logs), indicadores de comprometimento, informações de arquitetura e planos de resposta, evitando seu uso indevido.
- Alinhamento com as melhores práticas internacionais: aproximar o Brasil de modelos adotados por Chile, Singapura, União Europeia, Austrália, Canadá, Estados Unidos e Reino Unido, que avançam em marcos voltados para a resiliência cibernética, a proteção de infraestruturas críticas e a cooperação entre os setores público e privado.
- Fortalecimento da competitividade: um marco legal bem estruturado reduz custos, aumenta a previsibilidade regulatória, fortalece a confiança digital, protege cadeias críticas e torna o Brasil mais competitivo.
Autoridade Nacional de Cibersegurança
- Coordenação nacional: a cibersegurança exige uma instância responsável por coordenar respostas a incidentes significativos, promover a articulação entre os setores público e privado, compartilhar inteligência sobre ameaças e definir claramente as atribuições de cada ator.
- Atuação técnica e preventiva: a autoridade deve emitir normas e alertas, consolidar informações, coordenar a resposta a incidentes significativos, orientar setores críticos, produzir guias, promover capacitação e apoiar o aumento da maturidade em cibersegurança.
- Complementaridade com os reguladores setoriais: o órgão central não deve substituir instituições como Banco Central, Anatel, CVM, ANPD, Aneel e ANS, mas atuar como instância de coordenação, harmonização e resposta.
- Canal único em situações de crise: oferecer às empresas e à sociedade um ponto de contato claro para o registro de incidentes, com definição das informações necessárias, dos prazos e das garantias de confidencialidade.
- Redução da duplicidade regulatória: articular-se com reguladores setoriais e com a ANPD para evitar exigências conflitantes, registros repetidos e interpretações divergentes.
- Atuação baseada em cooperação: funcionar como parceira do ecossistema de cibersegurança, estimulando confiança, inteligência compartilhada e melhoria contínua, com a aplicação de sanções restrita a casos de negligência grave ou descumprimento deliberado.