O Projeto de Lei 428/24 traz regras sobre cibersegurança na prestação de serviços e atividades econômicas que empreguem sistemas de informação. Atualmente, uma imensa gama de serviços usa sistema de informação, desde bancos a farmácias.
O texto define como ameaça de cibersegurança a ocorrência não autorizada com riscos à confidencialidade, integridade de sistemas de informação e incidente de cibersegurança. O texto inclui as definições e regras no Marco Civil da Internet.
Segundo o deputado Carlos Zarattini (PT-SP), autor da proposta, a preocupação com as ameaças e incidentes de cibersegurança é um tema global. “A necessidade de medidas para garantir a segurança dos sistemas de informação vem merecendo a atenção dos governos e adoção de novas leis que ampliem a responsabilização dos agentes de mercado diante de clientes e usuários”, afirmou.
Órgão regulador
A proposta obriga empresas, cooperativas e entidade que preste serviço ao público e use sistema de informação a submeter ao respectivo órgão regulador e fiscalizador informe sobre avaliação e gestão dos riscos de ameaças de cibersegurança.
O órgão regulador vai depender da área de atuação do empreendimento – agências reguladoras, Comissão de Valores Mobiliários (CVM), Superintendência de Seguros Privados (Susep) ou Banco Central, conforme o caso.
Mercado e bancos
Os agentes de mercado também devem avisar sobre qualquer incidente ou ameaça de cibersegurança, detalhando a natureza, o alcance e a cronologia do ocorrido.
Para quem atua em áreas sensíveis como serviços bancários ou financeiros, seguros, valores mobiliários, há a orientação extra de informar sobre auditorias realizadas ou em andamento para garantir a proteção dos ativos de seus clientes.
Publicidade e responsabilidade
Caberá ao órgão regulador e fiscalizador avaliar a conveniência e a oportunidade de divulgar incidentes ou ameaças ao público, considerando fatores como impactos econômicos no setor e risco para a segurança nacional.
O órgão também vai apurar a responsabilidade do agente de mercado sobre os incidentes de cibersegurança e aplicará as sanções cabíveis.
“Essas medidas visam trazer ao debate a necessidade de uma proteção mais firme e sólida da segurança cibernética, com amparo legal, e que ultrapasse a lógica de ‘chorar sobre o leite derramado’”, disse Zarattini.
Custos dos ataques cibernéticos
Segundo a IBM, empresa de tecnologia da informação, o custo médio global de uma violação de dados em 2023 foi de US$ 4,45 milhões. Além disso, 51% das organizações planejavam aumentar os investimentos em segurança por conta de violações sofridas.
O Brasil é o país latino-americano que mais sofre com ataques cibernéticos, de acordo com dados da Febrabantech, evento de tecnologia de informação do setor financeiro. Foram 23 bilhões de tentativas de ataques, só 1º semestre de 2023.
Próximos passos
A proposta tramita em caráter conclusivo e será analisada pelas comissões de Indústria, Comércio e Serviços; de Comunicação; e de Constituição e Justiça e de Cidadania.