No Brasil, desde o início do ano, está em vigor a Política Nacional de Cibersegurança, que tem entre outros objetivos o de reduzir o atraso nacional no setor. Isso porque, no País, as empresas e consumidores trouxeram grande parte dos seus negócios e estruturas para o universo digital, mas essa evolução não foi acompanhada de um avanço equivalente na segurança e na governança digital. O objetivo da política é estimular o uso seguro da tecnologia e o combate a crimes cibernéticos. Entre outras medidas, estabelece a criação de um Comitê Nacional de Cibersegurança, que é complementar ao Comitê Gestor da Internet, mas foca somente no aspecto da segurança. E traz, no setor público, um Programa de Privacidade e Segurança da Informação, para aumentar a maturidade digital dos órgãos públicos – e de seus fornecedores.

Mas os movimentos para regulamentação também seguem no Legislativo. O Projeto de Lei 428/24, em tramitação na Câmara dos Deputados, quer obrigar empresas, cooperativas e diversos tipos de entidades a informar aos órgãos reguladores de sua área sobre o status de sua avaliação de riscos cibernéticos. Isso significa que bancos ou corretoras precisariam informar esse dado ao Banco Central, empresas de capital aberto precisariam informar à Comissão de Valores Mobiliários (CVM), seguradoras precisam informar à Superintendência de Seguros Privados (Susep), e assim por diante. As empresas podem ser sujeitas a auditorias para verificação de riscos.

O projeto ainda não foi votado, mas essas iniciativas tendem a se tornar cada vez mais frequentes, à medida que o mundo cibernético se torna mais presente na vida das pessoas e das empresas. Um estudo da Juit, uma plataforma que faz pesquisas de jurisprudência, constatou que a Lei Geral de Proteção de Dados Pessoais (LGPD) já foi citada em mais de 14 mil ações judiciais, em pouco mais de três anos em vigor.

O caminho está traçado. A questão é justamente que está traçado em diversas legislações, diretivas e regulações distintas, algumas nacionais, outras internacionais, sendo que não há interoperabilidade entre elas. Quanto mais o mundo se tornar digital, mais ele passará a incorporar exigências e regulamentações similares às do mundo offline. Isso significa que as empresas precisam se preparar para possuir uma governança cibernética no mínimo suficiente para passar por uma auditoria externa e atender a diferentes tipos de diretivas. Em breve, fornecer relatórios de segurança digital confiáveis e auditáveis será tão comum quanto apresentar balanços contábeis.