Carregando...
Jusbrasil - Legislação
28 de julho de 2021

Decreto 10748/21 | Decreto nº 10.748, de 16 de julho de 2021

Publicado por Presidência da Republica - 1 semana atrás

LEIAM 0 NÃO LEIAM

Institui a Rede Federal de Gestão de Incidentes Cibernéticos. Ver tópico

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, caput, inciso VI, alínea a, da Constituição, DECRETA:

CAPÍTULO I

DA REDE FEDERAL DE GESTÃO DE INCIDENTES CIBERNÉTICOS

Art. 1º Fica instituída a Rede Federal de Gestão de Incidentes Cibernéticos, nos termos do disposto no inciso VII do caput do art. 15 do Decreto nº 9.637, de 26 de dezembro de 2018. Ver tópico

§ 1º A participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos será obrigatória. Ver tópico

§ 2º A participação das empresas públicas e das sociedades de economia mista federais e das suas subsidiárias na Rede Federal de Gestão de Incidentes Cibernéticos será voluntária e ocorrerá por meio de adesão. Ver tópico

§ 3º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia participará da Rede Federal de Gestão de Incidentes Cibernéticos na condição de órgão central do Sistema de Administração dos Recursos de Tecnologia da Informação - Sisp do Poder Executivo federal. Ver tópico

Art. 2º A Rede Federal de Gestão de Incidentes Cibernéticos tem por finalidade aprimorar e manter a coordenação entre órgãos e entidades da administração pública federal direta, autárquica e fundacional para prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação. Ver tópico

Art. 3º São objetivos da Rede Federal de Gestão de Incidentes Cibernéticos: Ver tópico

I - divulgar medidas de prevenção, tratamento e resposta a incidentes cibernéticos; Ver tópico

II - compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas; Ver tópico

III - divulgar informações sobre ataques cibernéticos; Ver tópico

IV - promover a cooperação entre os participantes da Rede; e Ver tópico

V - promover a celeridade na resposta a incidentes cibernéticos. Ver tópico

Art. 4º Para fins do disposto neste Decreto, considera-se: Ver tópico

I - equipe de prevenção, tratamento e resposta a incidentes cibernéticos - grupo de agentes públicos com a responsabilidade de prestar serviços relacionados à segurança cibernética para o órgão ou a entidade da administração pública federal, em observância à política de segurança da informação e aos processos de gestão de riscos de segurança da informação do órgão ou da entidade; Ver tópico

II - equipe de coordenação setorial - equipe de prevenção, tratamento e resposta a incidentes cibernéticos das agências reguladoras, do Banco Central do Brasil ou da Comissão Nacional de Energia Nuclear ou das suas entidades reguladas responsáveis por coordenar as atividades de segurança cibernética e de centralizar as notificações de incidentes das demais equipes do setor regulado; Ver tópico

III - equipes principais - equipes de prevenção, tratamento e resposta a incidentes cibernéticos de entidades, públicas ou privadas, responsáveis por ativos de informação, em especial aqueles relativos a serviços essenciais, cuja interrupção ou destruição, total ou parcial, provoque sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade, nos termos do disposto no inciso I do parágrafo único do art. 1º do Anexo ao Decreto nº 9.573, de 22 de novembro de 2018; Ver tópico

IV - áreas prioritárias - áreas definidas no Plano Nacional de Segurança de Infraestruturas Críticas para a aplicação da Política Nacional de Segurança de Infraestruturas Críticas, nos termos do disposto no inciso I do caput do art. 9º do Anexo ao Decreto nº 9.573, de 2018; Ver tópico

V - incidente cibernético - ocorrência que comprometa, real ou potencialmente, a disponibilidade, a integridade, a confidencialidade ou a autenticidade de sistema de informação ou das informações processadas, armazenadas ou transmitidas por esse sistema, que poderá também ser caracterizada pela tentativa de exploração de vulnerabilidade de sistema de informação que constitua violação de norma, política de segurança, procedimento de segurança ou política de uso; Ver tópico

VI - plano de gestão de incidentes cibernéticos para a administração pública federal - plano que orienta as equipes dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, exceto das agências reguladoras, do Banco Central do Brasil e da Comissão Nacional de Energia Nuclear, sobre a coordenação de atividades referentes à prevenção, ao tratamento e à resposta a incidentes cibernéticos; e Ver tópico

VII - planos setoriais de gestão de incidentes cibernéticos - planos que orientam as equipes nas agências reguladoras, no Banco Central do Brasil, na Comissão Nacional de Energia Nuclear ou nas suas entidades reguladas sobre a coordenação de atividades referentes à prevenção, ao tratamento e à resposta a incidentes cibernéticos inerentes ao setor específico. Ver tópico

CAPÍTULO II

DA COMPOSIÇÃO

Art. 5º A Rede Federal de Gestão de Incidentes Cibernéticos será composta pelo Gabinete de Segurança Institucional da Presidência da República, pelos órgãos e pelas entidades da administração pública federal direta, autárquica e fundacional e, observado o disposto nos § 2º do art. 1º, pelas empresas públicas e sociedades de economia mista e pelas suas subsidiárias que aderirem à Rede. Ver tópico

§ 1º O Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República coordenará a Rede Federal de Gestão de Incidentes Cibernéticos por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo. Ver tópico

§ 2º Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional atuarão na Rede Federal de Gestão de Incidentes Cibernéticos por meio das suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto nos inciso I a III do caput do art. 4º. Ver tópico

§ 3º Observado o interesse do Estado em relação à segurança cibernética nacional, outras entidades públicas ou privadas poderão ser convidadas pelo Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos, por meio de ofício, desde que cumpridos os requisitos de que trata o art. 7º. Ver tópico

Art. 6º No âmbito do Ministério da Defesa e das Forças Singulares, a articulação com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo será feita prioritariamente por meio da equipe de coordenação setorial, operada pelo Comando de Defesa Cibernética, na condição de órgão central do Sistema Militar de Defesa Cibernética. Ver tópico

§ 1º Excepcionalmente, as equipes de prevenção, tratamento e resposta a incidentes cibernéticos do Ministério da Defesa e das Forças Singulares poderão articular-se diretamente com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, hipótese em que deverão informar a equipe de coordenação setorial do Ministério da Defesa. Ver tópico

§ 2º As informações compartilhadas pelas equipes de prevenção, tratamento e resposta a incidentes cibernéticos de que trata o § 1º com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo observarão as restrições legais de acesso a dados em razão das necessidades de segurança do Estado. Ver tópico

Art. 7º A adesão das entidades de que trata o § 2º do art. 1º será formalizada por ato do dirigente máximo do órgão da administração pública federal direta ao qual estejam vinculadas ou subordinadas. Ver tópico

§ 1º Quando da elaboração do ato de que trata o caput, o órgão da administração pública federal direta avaliará se há necessidade de dispor sobre requisitos adicionais às normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República em decorrência das atividades desenvolvidas pelas entidades de que trata o Ver tópico

§ 2º do art. 1º, principalmente quando essas atividades estiverem relacionadas com infraestrutura crítica. Ver tópico

§ 2º As entidades de que trata o § 2º do art. 1º que solicitarem a adesão à Rede Federal de Gestão de Incidentes Cibernéticos deverão cumprir os seguintes requisitos para serem aprovadas pelo Gabinete de Segurança Institucional da Presidência da República: Ver tópico

I - possuir equipe de prevenção, tratamento e resposta a incidentes cibernéticos implementada de acordo com as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República; e Ver tópico

II - encaminhar ao Gabinete de Segurança Institucional da Presidência da República, por meio de sua equipe de prevenção, tratamento e resposta a incidentes cibernéticos ou de sua equipe de coordenação setorial, termo de adesão à Rede Federal de Gestão de Incidentes Cibernéticos assinado pelo dirigente máximo ou representante legal. Ver tópico

§ 3º A adesão à Rede Federal de Gestão de Incidentes Cibernéticos dependerá da aprovação formal pelo Gabinete de Segurança Institucional da Presidência da República, que poderá recusá-la motivadamente, mesmo que tenham sido cumpridos os requisitos estabelecidos neste artigo. Ver tópico

§ 4º O disposto neste artigo se aplica, no que couber, a outras pessoas jurídicas de direito privado e às pessoas jurídicas de direito público interno de outros Poderes e entes federativos que forem convidadas pelo Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos. Ver tópico

§ 5º A colaboração espontânea, caso a caso, das entidades de que trata o § 2º do art. 1º com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo ou com quaisquer de seus integrantes independerá da adesão à Rede Federal de Gestão de Incidentes Cibernéticos. Ver tópico

Art. 8º As pessoas jurídicas que não pertencerem à administração pública federal direta, autárquica e fundacional e que tiverem firmado termo de adesão com o Gabinete de Segurança Institucional da Presidência da República para integrar a Rede Federal de Gestão de Incidentes Cibernéticos deverão reportar-se à equipe de coordenação setorial à qual estiverem vinculadas ou, na sua inexistência, diretamente ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, nas hipóteses de: Ver tópico

I - incidente cibernético que extrapole a sua capacidade de saná-lo; e Ver tópico

II - vulnerabilidade em ativos de informação que a sua equipe de prevenção, tratamento e resposta a incidentes cibernéticos julgue que possa causar incidente cibernético, tanto em sua rede computacional quanto na de outras entidades. Ver tópico

Art. 9º A saída da pessoa jurídica de que trata o § 4º do art. 7º da Rede Federal de Gestão de Incidentes Cibernéticos ocorrerá: Ver tópico

I - a pedido de seu dirigente máximo; ou Ver tópico

II - por decisão do Gabinete de Segurança Institucional da Presidência da República, na hipótese de: Ver tópico

a) descumprimento dos requisitos de que trata o art. 7º; Ver tópico

b) descumprimento do disposto no plano setorial de gestão de incidentes cibernéticos; ou Ver tópico

c) conveniência administrativa. Ver tópico

CAPÍTULO III

DAS COMPETÊNCIAS

Art. 10. Compete ao Gabinete de Segurança Institucional da Presidência da República: Ver tópico

I - coordenar a Rede Federal de Gestão de Incidentes Cibernéticos; e Ver tópico

II - convocar reunião da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo para deliberar sobre ocorrência de incidente cibernético grave ou quando identificar risco cibernético elevado, nos termos do disposto no Decreto nº 9.819, de 3 de junho de 2019. Ver tópico

Art. 11. Compete ao Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo: Ver tópico

I - coordenar as atividades das equipes de prevenção, tratamento e resposta a incidentes cibernéticos dos integrantes da Rede Federal de Gestão de Incidentes Cibernéticos relativas à prevenção, ao tratamento e à resposta aos incidentes cibernéticos; Ver tópico

II - articular-se, por meio de plataforma computacional dedicada, com as equipes de prevenção, tratamento e resposta a incidentes cibernéticos de que trata o inciso I, para coordená-las; Ver tópico

III - elaborar, atualizar e divulgar o plano de gestão de incidentes cibernéticos para os órgãos e as entidades da administração pública federal direta, autárquica e fundacional; Ver tópico

IV - articular-se com órgãos ou unidades correlatos de outros países; Ver tópico

V - buscar a cooperação internacional, com ênfase no compartilhamento de informações sobre ameaças, vulnerabilidade e incidentes cibernéticos; Ver tópico

VI - difundir alertas, recomendações e estatísticas sobre incidentes cibernéticos para os integrantes da Rede Federal de Gestão de Incidentes Cibernéticos; e Ver tópico

VII - manter atualizado o sítio eletrônico do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo com alertas, recomendações e estatísticas sobre incidentes cibernéticos, ressalvado o disposto no art. 15. Ver tópico

Art. 12. Compete aos órgãos e às entidades da administração pública federal direta, autárquica e fundacional: Ver tópico

I - instituir e implementar as suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no inciso VII do caput do art. 15 do Decreto nº 9.637, de 2018, e nas normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República; Ver tópico

II - apoiar as atividades de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos e as ações de segurança da informação, nos termos do disposto no art. 15 do Decreto nº 9.637, de 2018; Ver tópico

III - identificar as equipes principais das áreas prioritárias sob a sua responsabilidade, nos termos do disposto nos incisos III e IV do caput do art. 4º; Ver tópico

IV - comunicar imediatamente o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, por meio de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, sobre a existência de vulnerabilidades ou incidentes de segurança cibernética que impactem ou que possam impactar os serviços prestados ou contratados, nos termos do disposto no art. 17 do Decreto nº 9.637, de 2018; Ver tópico

V - requerer diretamente às equipes principais identificadas, ou por meio da equipe de coordenação setorial, quando instituída, as notificações sobre os incidentes cibernéticos de maior impacto; Ver tópico

VI - notificar o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, diretamente ou por meio da equipe de coordenação setorial, quando instituída, quanto aos incidentes cibernéticos de maior impacto, com base nas informações obtidas das equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua gestão; Ver tópico

VII - promover ações de capacitação e profissionalização de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no art. 15 do Decreto nº 9.637, de 2018; Ver tópico

VIII - manter atualizada a infraestrutura utilizada por suas equipes de prevenção, de tratamento e de resposta a incidentes cibernéticos; e Ver tópico

IX - sanar, com urgência, as vulnerabilidades cibernéticas, em especial aquelas identificadas nos alertas e nas recomendações expedidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo. Ver tópico

§ 1º Os incidentes cibernéticos de maior impacto a que se referem os incisos V e VI do caput serão estabelecidos com base na classificação de severidade que consta do processo de gestão de riscos de segurança da informação do órgão ou da entidade. Ver tópico

§ 2º O disposto neste artigo também se aplica às agências reguladoras, ao Banco Central do Brasil e à Comissão Nacional de Energia Nuclear. Ver tópico

Art. 13. Compete às agências reguladoras, ao Banco Central do Brasil e à Comissão Nacional de Energia Nuclear: Ver tópico

I - instituir ou designar equipe de coordenação setorial, nos termos do disposto no inciso II do caput do art. 4º; Ver tópico

II - apoiar as atividades de suas equipes de prevenção, tratamento e resposta a incidentes cibernéticos, nos termos do disposto no Decreto nº 9.637, de 2018; Ver tópico

III - identificar as equipes principais das áreas prioritárias sob a sua regulação, nos termos do disposto no inciso III e IV do caput do art. 4º; Ver tópico

IV - requerer às equipes principais identificadas, por meio da equipe de coordenação setorial, as notificações sobre os incidentes cibernéticos de maior impacto; Ver tópico

V - notificar o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo, por meio da equipe de coordenação setorial, quanto aos incidentes cibernéticos de maior impacto, com base nas informações obtidas das equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua regulação; Ver tópico

VI - analisar os riscos cibernéticos que deverão constar do plano setorial de gestão de incidentes cibernéticos específico; Ver tópico

VII- estabelecer a sua forma de articulação com a equipe de coordenação setorial; Ver tópico

VIII - identificar outras entidades, públicas ou privadas, relevantes para a segurança cibernética em sua área prioritária; Ver tópico

IX - fornecer informações relativas às equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades de que trata o inciso VIII, que deverão constar do plano setorial de gestão de incidentes cibernéticos; e Ver tópico

X - identificar as infraestruturas críticas de suas áreas prioritárias que requeiram atenção em termos de segurança cibernética nacional. Ver tópico

§ 1º Os incidentes cibernéticos de maior impacto a que se referem os incisos IV e V do caput serão estabelecidos com base na classificação de severidade que consta do processo de gestão de riscos de segurança da informação do órgão ou da entidade. Ver tópico

§ 2º O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo divulgará os elementos básicos e a periodicidade de atualização do plano setorial de gestão de incidentes cibernéticos a que se referem os incisos VI e IX do caput em seu sítio eletrônico. Ver tópico

§ 3º O disposto neste artigo aplica-se também a outros órgãos e entidades da administração pública federal direta, autárquica e fundacional com competência de regulação em área prioritária que venha a ser estabelecida no Plano Nacional de Segurança de Infraestruturas Críticas, no prazo de até dezoito meses, contado da data de notificação pelo Gabinete de Segurança Institucional da Presidência da República, para que o órgão ou a entidade implemente as ações necessárias. Ver tópico

Art. 14. Compete às equipes de coordenação setorial: Ver tópico

I - elaborar o plano setorial de gestão de incidentes cibernéticos de que trata o inciso VI do caput do art. 13; e Ver tópico

II - coordenar as atividades e centralizar as notificações de incidentes recebidas das demais equipes de prevenção, tratamento e resposta a incidentes cibernéticos das entidades sob a sua coordenação. Ver tópico

Parágrafo único. Compete, ainda, às equipes de coordenação setorial obedecer ao disposto nas normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República que dispõem sobre equipes de prevenção, tratamento e resposta a incidentes cibernéticos. Ver tópico

CAPÍTULO IV

DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 15. As informações específicas sobre os incidentes cibernéticos e sobre as configurações e características técnicas de ativos de informação de cada órgão ou entidade da administração pública federal direta, autárquica e fundacional são consideradas imprescindíveis à segurança da sociedade e do Estado. Ver tópico

§ 1º As informações de que trata o caput somente poderão ser acessadas por profissionais autorizados pelas autoridades responsáveis pelos ativos de informação dos órgãos ou das entidades da administração pública federal direta, autárquica e fundacional. Ver tópico

§ 2º O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo divulgará em seu sítio eletrônico estatísticas gerais de interesse público relacionadas aos incidentes cibernéticos ocorridos nos órgãos e nas entidades da administração pública federal direta, autárquica e fundacional. Ver tópico

Art. 16. As ações previstas para o funcionamento da Rede Federal de Gestão de Incidentes Cibernéticos a cargo dos órgãos e das entidades de que trata o art. 13 que incluam a instituição ou a designação das equipes de coordenação setorial deverão ser implementadas no prazo de dezoito meses, contado da data de publicação deste Decreto. Ver tópico

Art. 17. Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional de que trata o § 1º do art. 1º deverão implementar as ações previstas para o funcionamento da Rede Federal de Gestão de Incidentes Cibernéticos no prazo de um ano, contado da data de publicação deste Decreto. Ver tópico

Art. 18. Este Decreto entra em vigor na data de sua publicação. Ver tópico

Brasília, 16 de julho de 2021; 200º da Independência e 133º da República.

JAIR MESSIAS BOLSONARO

Augusto Heleno Ribeiro Pereira

Este texto não substitui o publicado no DOU de 19.7.2021.

*

×

1 Comentário

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

Certo. continuar lendo