Da Redação.
Minuta da Lei Geral da Cibersegurança estabelece prazo de 180 dias para adaptação de setores críticos; custo médio de violações de dados no país já atingiu R$7,19 milhões em 2025
O Brasil consolidou-se como o epicentro das ameaças digitais na América Latina, concentrando 84% das tentativas de ataques da região. Dados da Fortinet revelam que, apenas no primeiro semestre de 2025, o país sofreu 315 bilhões de tentativas de ataques cibernéticos, incluindo 309 bilhões de investidas do tipo DDoS (negação de serviço) e mais de 28 mil incidentes de ransomware. Este cenário de vulnerabilidade extrema acelera agora uma resposta regulatória sem precedentes: a minuta da Lei Geral da Cibersegurança, apresentada pelo Conselho Nacional de Cibersegurança (CNCiber).
A proposta legislativa prevê a criação do Sistema Nacional de Cibersegurança (SNCiber) e de uma autoridade nacional com poderes para regulamentar, fiscalizar e aplicar sanções severas. Empresas enquadradas como “agentes obrigados” — que incluem operadores de infraestruturas críticas e provedores de serviços essenciais — terão um prazo desafiador de apenas 180 dias para adequação após a publicação das normas. O descumprimento pode resultar em multas de até 2% do faturamento, limitadas a R$50 milhões por infração.
O custo da inércia e os vetores de risco
A urgência não é apenas regulatória, mas financeira. De acordo com o relatório Cost of a Data Breach 2025, da IBM, o custo médio de uma violação de dados no Brasil chegou a R$7,19 milhões por incidente, acima dos R$ 6,75 milhões registrados no ano anterior. Os principais vetores de comprometimento identificados são o phishing (18%), falhas na cadeia de suprimentos e terceiros (15%) e a exploração de vulnerabilidades sistêmicas (13%).
Para Luiz Claudio Lopes, CEO da consultoria LC SEC, a futura legislação marca uma mudança de paradigma. “Segurança deixará de ser apenas uma preocupação técnica e passará a ser uma obrigação de governança, com evidências, responsáveis e prestação de contas“, afirma o executivo. Ele alerta que o prazo de seis meses previsto na minuta é exíguo para organizações que ainda não possuem inventários de ativos formalizados ou planos estruturados de resposta a incidentes.
Maturidade operacional como diferencial
Inspirada em diretrizes internacionais, como a NIS2 da União Europeia, a proposta brasileira exige que a responsabilidade sobre a segurança digital suba para os conselhos de administração e áreas de compliance. Setores que lidam com dados sensíveis e alta dependência tecnológica, como saúde, fintechs e plataformas digitais, são apontados como os mais vulneráveis.
Especialistas da LC SEC reforçam que a preparação deve focar em diagnóstico de maturidade e gestão de riscos, indo além da simples aquisição de ferramentas. Auditorias periódicas, testes de vulnerabilidade e o monitoramento contínuo de fornecedores tendem a se tornar pilares obrigatórios para a continuidade operacional das empresas no novo cenário regulatório brasileiro.