Legislação

- Compete ao Gabinete de Segurança Institucional da Presidência da República:

I - coordenar a Rede Federal de Gestão de Incidentes Cibernéticos; e

II - convocar reunião da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo para deliberar sobre ocorrência de incidente cibernético grave ou quando identificar risco cibernético elevado, nos termos do disposto no Decreto 9.819, de 3/06/2019.

- Compete ao Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo:

I - coordenar as atividades das equipes de prevenção, tratamento e resposta a incidentes cibernéticos dos integrantes da Rede Federal de Gestão de Incidentes Cibernéticos relativas à prevenção, ao tratamento e à resposta aos incidentes cibernéticos;

II - articular-se, por meio de plataforma computacional dedicada, com as equipes de prevenção, tratamento e resposta a incidentes cibernéticos de que trata o inciso I, para coordená-las;

III - elaborar, atualizar e divulgar o plano de gestão de incidentes cibernéticos para os órgãos e as entidades da administração pública federal direta, autárquica e fundacional;

IV - articular-se com órgãos ou unidades correlatos de outros países;

V - buscar a cooperação internacional, com ênfase no compartilhamento de informações sobre ameaças, vulnerabilidade e incidentes cibernéticos;

VI - difundir alertas, recomendações e estatísticas sobre incidentes cibernéticos para os integrantes da Rede Federal de Gestão de Incidentes Cibernéticos; e

VII - manter atualizado o sítio eletrônico do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo com alertas, recomendações e estatísticas sobre incidentes cibernéticos, ressalvado o disposto no art. 15. [[Decreto 10.748/2021, art. 15.]]

- Compete aos órgãos e às entidades da administração pública federal direta, autárquica e fundacional:

I - instituir e implementar as suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no inciso VII do caput do art. 15 do Decreto 9.637/2018, e nas normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República; [[Decreto 9.637/2018, art. 15.]]

II - apoiar as atividades de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos e as ações de segurança da informação, nos termos do disposto no art. 15 do Decreto 9.637/2018; [[Decreto 9.637/2018, art. 15.]]

III - identificar as equipes principais das áreas prioritárias sob a sua responsabilidade, nos termos do disposto nos incisos III e IV do caput do art. 4º; [[Decreto 10.748/2021, art. 4º.]]

IV - comunicar imediatamente o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, por meio de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, sobre a existência de vulnerabilidades ou incidentes de segurança cibernética que impactem ou que possam impactar os serviços prestados ou contratados, nos termos do disposto no art. 17 do Decreto 9.637/2018; [[Decreto 9.637/2018, art. 17.]]

V - requerer diretamente às equipes principais identificadas, ou por meio da equipe de coordenação setorial, quando instituída, as notificações sobre os incidentes cibernéticos de maior impacto;

VI - notificar o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, diretamente ou por meio da equipe de coordenação setorial, quando instituída, quanto aos incidentes cibernéticos de maior impacto, com base nas informações obtidas das equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua gestão;

VII - promover ações de capacitação e profissionalização de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no art. 15 do Decreto 9.637/2018; [[Decreto 9.637/2018, art. 15.]]

VIII - manter atualizada a infraestrutura utilizada por suas equipes de prevenção, de tratamento e de resposta a incidentes cibernéticos; e

IX - sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações expedidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo.

§ 1º - Os incidentes cibernéticos de maior impacto a que se referem os incisos V e VI do caput serão estabelecidos com base na classificação de severidade que consta do processo de gestão de riscos de segurança da informação do órgão ou da entidade.

§ 2º - O disposto neste artigo também se aplica às agências reguladoras, ao Banco Central do Brasil e à Comissão Nacional de Energia Nuclear.

- Compete às agências reguladoras, ao Banco Central do Brasil e à Comissão Nacional de Energia Nuclear:

I - instituir ou designar equipe de coordenação setorial, nos termos do disposto no inciso II do caput do art. 4º; [[Decreto 10.748/2021, art. 4º.]]

II - apoiar as atividades de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no Decreto 9.637/2018;

III - identificar as equipes principais das áreas prioritárias sob a sua regulação, nos termos do disposto no inciso III e IV do caput do art. 4º; [[Decreto 10.748/2021, art. 4º.]]

IV - requerer às equipes principais identificadas, por meio da equipe de coordenação setorial, as notificações sobre os incidentes cibernéticos de maior impacto;

V - notificar o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, por meio da equipe de coordenação setorial, quanto aos incidentes cibernéticos de maior impacto, com base nas informações obtidas das equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua regulação;

VI - analisar os riscos cibernéticos que deverão constar do plano setorial de gestão de incidentes cibernéticos específico;

VII - estabelecer a sua forma de articulação com a equipe de coordenação setorial;

VIII - identificar outras entidades, públicas ou privadas, relevantes para a segurança cibernética em sua área prioritária;

IX - fornecer informações relativas às equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades de que trata o inciso VIII, que deverão constar do plano setorial de gestão de incidentes cibernéticos; e

X - identificar as infraestruturas críticas de suas áreas prioritárias que requeiram atenção em termos de segurança cibernética nacional.

§ 1º - Os incidentes cibernéticos de maior impacto a que se referem os incisos IV e V do caput serão estabelecidos com base na classificação de severidade que consta do processo de gestão de riscos de segurança da informação do órgão ou da entidade.

§ 2º - O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo divulgará os elementos básicos e a periodicidade de atualização do plano setorial de gestão de incidentes cibernéticos a que se referem os incisos VI e IX do caput em seu sítio eletrônico.

§ 3º - O disposto neste artigo aplica-se também a outros órgãos e entidades da administração pública federal direta, autárquica e fundacional com competência de regulação em área prioritária que venha a ser estabelecida no Plano Nacional de Segurança de Infraestruturas Críticas, no prazo de até dezoito meses, contado da data de notificação pelo Gabinete de Segurança Institucional da Presidência da República, para que o órgão ou a entidade implemente as ações necessárias.

- Compete às equipes de coordenação setorial:

I - elaborar o plano setorial de gestão de incidentes cibernéticos de que trata o inciso VI do caput do art. 13; e [[Decreto 10.748/2021, art. 13.]]

II - coordenar as atividades e centralizar as notificações de incidentes recebidas das demais equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua coordenação.

Parágrafo único - Compete, ainda, às equipes de coordenação setorial obedecer ao disposto nas normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República que dispõem sobre equipes de prevenção, tratamento e resposta a incidentes cibernéticos.