O Brasil acaba de oficializar a terceira geração da Política Nacional de Segurança da Informação (PNSI) com o Decreto Nº 12.573, que institui a Estratégia Nacional de Cibersegurança (E-Ciber).

E, pessoalmente, ao ler o texto, tive a impressão de estar vendo algo que esperávamos há anos. Não porque seja revolucionário, mas porque formaliza o que já víamos no campo: segurança como serviço essencial, e não como acessório técnico.

Afinal, o que a E-Ciber define?

A E-Ciber é um plano de alto nível para orientar como o país vai proteger seus ativos digitais, tudo mesmo: infraestrutura, sistemas, serviços, dispositivos e, principalmente, dados.

O escopo cobre todo o Poder Executivo Federal, mas o decreto deixa claro que Estados, Municípios e empresas privadas que operam Infraestruturas Críticas (setor financeiro, energia, saúde, telecomunicações, transporte etc.) tendem a ser impactados de forma direta.

Os pilares estratégicos da E-Ciber 

O decreto reúne a estratégia em quatro grandes eixos:

Proteção e conscientização da sociedade

Garantir que a população, empresas e órgãos públicos entendam riscos digitais e consigam reagir a eles. É elevar o “mínimo aceitável” de segurança no país.

Segurança e resiliência em serviços essenciais

O eixo mais sensível. Estamos falando de energia, telecom, saúde, finanças, transporte. A meta é simples: se houver ataque, o país precisa seguir funcionando.

Cooperação público-privada

Nenhuma organização resolve segurança sozinha. O decreto reforça a troca de informações e incentiva soluções nacionais. Para quem trabalha com tecnologia, isso é sinal de maturidade: estamos construindo capacidade interna e reduzindo dependências externas.

Soberania e governança

Inclui a criação de um Modelo Nacional de Maturidade em Cibersegurança. Ou seja: o governo quer uma régua clara para medir evolução. Isso tende a virar base para auditorias, certificações e exigências contratuais.

Contexto adicional: risco cibernético é percebido como risco sistêmico

Além do texto do decreto, o tema ganha ainda mais relevância quando olhamos para fora dele.

No Relatório de Estabilidade Financeira de novembro de 2025, o Banco Central destaca que incidentes cibernéticos já são percebidos como risco sistêmico pelas instituições financeiras. O documento cita perdas financeiras, fragilidades no uso de APIs, problemas envolvendo fornecedores terceirizados e até casos de cooptação de colaboradores.

Ou seja: os incidentes recentes não são casos isolados, eles revelam que a superfície de ataque cresceu e que controles essenciais falharam em parte do sistema financeiro.

Essa visão reforça a importância da E-Ciber como marco de alinhamento: o país coloca segurança no mesmo patamar de infraestrutura crítica, e quando isso acontece, todo o ecossistema, setor público, privado e academia tende a evoluir junto.

Leia mais: O Desafio da Gestão de vulnerabilidades [CVEs]: Insights dos Clientes da Getup

Implementação da E-Ciber: perguntas em aberto

Na prática, o Decreto define o “norte”, mas ainda falta o mais difícil: transformar diretrizes em algo mensurável, algo que o próprio Banco Central já vem cobrando ao apontar que boa parte das instituições ainda sofre com controles frágeis, dependências externas mal geridas e exposição operacional significativa.

A partir daqui, surgem algumas perguntas  ainda sem resposta clara:

• Como será feita a fiscalização? Quem audita? Com qual metodologia?

• Vai existir algum tipo de certificação, selo de conformidade ou modelo à la NIST/ISO adaptado para o Brasil? O Art. 10 abre espaço para isso.

• Haverá metas, indicadores e consequências reais para quem não cumprir? Sem incentivos e penalizações, a estratégia vira papel.

• Como garantir que a adoção de soluções nacionais não vire apenas uma diretriz genérica, mas um mecanismo real de fortalecimento da indústria local? Essas questões definem se a E-Ciber vira um projeto transformador ou só mais um documento bem-intencionado.

A base técnica: rastreabilidade, SBOM e Zero CVEs

Há um ponto importante que o decreto não explicita, mas que está implícito em qualquer estratégia moderna de segurança: a maturidade depende de fundamentos sólidos.

A execução da E-Ciber pressupõe práticas como:

• Rastreabilidade clara dos componentes (supply chain intelligence);

• SBOM atualizado e verificável;

• Cadeias de suprimento assinadas e auditáveis;

• Artefatos com vulnerabilidades próximas de zero.

Esses pilares não são apenas boas práticas: refletem exatamente os problemas que órgãos reguladores já vêm observando na vida real, como o Banco Central apontou ao destacar incidentes envolvendo APIs, fornecedores terceirizados e cadeias de suprimento frágeis. A maturidade técnica prevista na E-Ciber conversa diretamente com essas vulnerabilidades mapeadas.

E é exatamente nesse nível que soluções como o Quor se encaixam: facilitando a adoção desses padrões desde a origem do software, trazendo previsibilidade, consistência e evidência técnica para atender às futuras exigências de governança.

Leia mais: Glossário da cadeia de software (Kubernetes, containers, SBOM, CVEs): Edição Quor

Próximo passo: do decreto ao campo, no Kubicast

Este artigo é a introdução.

No próximo Kubicast, vamos conversar com pessoas que participaram da formulação da E-Ciber, para entender:

• Como transformar diretrizes em requisitos auditáveis;

• Como vai funcionar a fiscalização;

• Se existe um caminho para programas de certificação nacionais;

• O que muda para quem fornece tecnologia ou opera serviços críticos.

A E-Ciber é o mapa. Agora começa a parte mais importante: percorrê-lo.

Referências

1. Decreto 12.573: https://www.in.gov.br/en/web/dou/-/decreto-n-12.573-de-4-de-agosto-de-2025-646200784

2. PNSI: https://agenciagov.ebc.com.br/noticias/202508/governo-federal-institui-a-terceira-geracao-da-politica-nacional-de-seguranca-da-informacao

3. Relatório de Estabilidade Financeira: https://www.bcb.gov.br/content/publicacoes/ref/202510/RELESTAB202510-refPub.pdf