Legislação

- A Rede Federal de Gestão de Incidentes Cibernéticos será composta pelo Gabinete de Segurança Institucional da Presidência da República, pelos órgãos e pelas entidades da administração pública federal direta, autárquica e fundacional e, observado o disposto nos § 2º do art. 1º, pelas empresas públicas e sociedades de economia mista e pelas suas subsidiárias que aderirem à Rede. [[Decreto 10.748/2021, art. 1º.]]

§ 1º - O Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República coordenará a Rede Federal de Gestão de Incidentes Cibernéticos por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.

§ 2º - Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional atuarão na Rede Federal de Gestão de Incidentes Cibernéticos por meio das suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto nos inciso I a III do caput do art. 4º. [[Decreto 10.748/2021, art. 1º.]]

§ 3º - Observado o interesse do Estado em relação à segurança cibernética nacional, outras entidades públicas ou privadas poderão ser convidadas pelo Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos, por meio de ofício, desde que cumpridos os requisitos de que trata o art. 7º. [[Decreto 10.748/2021, art. 7º.]]

- No âmbito do Ministério da Defesa e das Forças Singulares, a articulação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo será feita prioritariamente por meio da equipe de coordenação setorial, operada pelo Comando de Defesa Cibernética, na condição de órgão central do Sistema Militar de Defesa Cibernética.

§ 1º - Excepcionalmente, as equipes de prevenção, tratamento e resposta a incidentes cibernéticos do Ministério da Defesa e das Forças Singulares poderão articular-se diretamente com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, hipótese em que deverão informar a equipe de coordenação setorial do Ministério da Defesa.

§ 2º - As informações compartilhadas pelas equipes de prevenção, tratamento e resposta a incidentes cibernéticos de que trata o § 1º com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo observarão as restrições legais de acesso a dados em razão das necessidades de segurança do Estado.

- A adesão das entidades de que trata o § 2º do art. 1º será formalizada por ato do dirigente máximo do órgão da administração pública federal direta ao qual estejam vinculadas ou subordinadas. [[Decreto 10.748/2021, art. 1º.]]

§ 1º - Quando da elaboração do ato de que trata o caput, o órgão da administração pública federal direta avaliará se há necessidade de dispor sobre requisitos adicionais às normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República em decorrência das atividades desenvolvidas pelas entidades de que trata o § 2º do art. 1º, principalmente quando essas atividades estiverem relacionadas com infraestrutura crítica. [[Decreto 10.748/2021, art. 1º.]]

§ 2º - As entidades de que trata o § 2º do art. 1º que solicitarem a adesão à Rede Federal de Gestão de Incidentes Cibernéticos deverão cumprir os seguintes requisitos para serem aprovadas pelo Gabinete de Segurança Institucional da Presidência da República: [[Decreto 10.748/2021, art. 1º.]]

I - possuir equipe de prevenção, tratamento e resposta a incidentes cibernéticos implementada de acordo com as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República; e

II - encaminhar ao Gabinete de Segurança Institucional da Presidência da República, por meio de sua equipe de prevenção, tratamento e resposta a incidentes cibernéticos ou de sua equipe de coordenação setorial, termo de adesão à Rede Federal de Gestão de Incidentes Cibernéticos assinado pelo dirigente máximo ou representante legal.

§ 3º - A adesão à Rede Federal de Gestão de Incidentes Cibernéticos dependerá da aprovação formal pelo Gabinete de Segurança Institucional da Presidência da República, que poderá recusá-la motivadamente, mesmo que tenham sido cumpridos os requisitos estabelecidos neste artigo.

§ 4º - O disposto neste artigo se aplica, no que couber, a outras pessoas jurídicas de direito privado e às pessoas jurídicas de direito público interno de outros Poderes e entes federativos que forem convidadas pelo Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos.

§ 5º - A colaboração espontânea, caso a caso, das entidades de que trata o § 2º do art. 1º com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo ou com quaisquer de seus integrantes independerá da adesão à Rede Federal de Gestão de Incidentes Cibernéticos. [[Decreto 10.748/2021, art. 1º.]]

- As pessoas jurídicas que não pertencerem à administração pública federal direta, autárquica e fundacional e que tiverem firmado termo de adesão com o Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos deverão reportar-se à equipe de coordenação setorial à qual estiverem vinculadas ou, na sua inexistência, diretamente ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, nas hipóteses de:

I - incidente cibernético que extrapole a sua capacidade de saná-lo; e

II - vulnerabilidade em ativos de informação que a sua equipe de prevenção, tratamento e resposta a incidentes cibernéticos julgue que possa causar incidente cibernético, tanto em sua rede computacional quanto na de outras entidades.

- A saída da pessoa jurídica de que trata o § 4º do art. 7º da Rede Federal de Gestão de Incidentes Cibernéticos ocorrerá: [[Decreto 10.748/2021, art. 7º.]]

I - a pedido de seu dirigente máximo; ou

II - por decisão do Gabinete de Segurança Institucional da Presidência da República, na hipótese de:

a) descumprimento dos requisitos de que trata o art. 7º; [[Decreto 10.748/2021, art. 7º.]]

b) descumprimento do disposto no plano setorial de gestão de incidentes cibernéticos; ou

c) conveniência administrativa.