Brasil aprova decreto que endurece regras de cibersegurança, responsabiliza empresas e inclui tema no currículo escolar
Diante do aumento expressivo de crimes virtuais, entrou em vigor no dia 4 de agosto o Decreto 12.573/2025. O decreto, assinado pelo presidente Luiz Inácio Lula da Silva, estabelece a nova Estratégia Nacional de Segurança Cibernética. A medida endurece as regras para proteção digital no Brasil, exigindo que setores essenciais, como energia, saúde, bancos e governo, adotem padrões mínimos obrigatórios de segurança. O governo poderá obrigar empresas privadas que oferecem produtos ou serviços com alto risco digital a obter um Selo Nacional de Segurança Cibernética.
O decreto surge em meio a um cenário cada vez mais crítico para o país. O rápido avanço das tecnologias digitais tem exposto lacunas institucionais, falta de profissionais especializados e dificuldades no fortalecimento das empresas públicas e privadas. Segundo a pesquisa Digital Trust Insights 2025, 1 em cada 3 empresas brasileiras sofreu perdas acima de US$ 1 milhão devido a ciberataques nos últimos anos. Ainda mais preocupante: apenas 2% dessas empresas possuem estratégias eficazes de proteção.
Para Wanderson Castilho, referência em investigações cibernéticas, a medida é um divisor de águas no combate ao cibercrime no país: “Pela primeira vez, temos um decreto que impõe regras claras e sanções reais para empresas e instituições que negligenciam a segurança digital. Essa regulamentação robusta transforma a segurança digital de um diferencial competitivo em uma obrigação legal. Agora, está na lei: proteger sistemas e dados é uma obrigação, não uma escolha. Quem ignorar essa nova realidade estará, literalmente, expondo a empresa à Justiça”, afirma Castilho.
Principais impactos da nova estratégia de segurança:
Para empresas privadas, será obrigatório ter uma equipe de resposta a incidentes, capaz de identificar, conter e mitigar ameaças de forma ágil. Elas serão criminalmente responsabilizadas em caso de omissão na adoção de medidas de segurança cibernética. Caso essa estrutura não exista ou falhe por negligência, configurando descumprimento da lei, a empresa e seus responsáveis poderão responder criminalmente. Eles enfrentarão processos judiciais, multas elevadas e danos irreparáveis ao nome da empresa.
Órgãos públicos: setores críticos serão obrigados a adotar padrões mínimos de segurança cibernética, incluindo medidas como criptografia, autenticação multifator e monitoramento contínuo. Todos os órgãos deverão elaborar e manter atualizados planos de gestão de riscos cibernéticos e protocolos de resposta a incidentes, garantindo a capacidade de prevenir, detectar e reagir rapidamente a ameaças digitais.
Para os cidadãos, a nova política prevê a inclusão de conteúdos sobre cibersegurança nos currículos escolares de todos os níveis de ensino, desde a educação básica até a superior. O objetivo é formar cidadãos digitalmente mais conscientes, críticos e preparados para lidar com ameaças virtuais.
“Estamos diante de um marco histórico. Não é apenas uma lei, é uma mudança de cultura que coloca a proteção digital no centro das prioridades nacionais. Quem ainda vê segurança cibernética como custo vai precisar rever esse pensamento, porque, daqui para frente, a ausência de medidas de proteção pode significar não só prejuízo financeiro, mas também responsabilização criminal. O Brasil está, finalmente, tratando o cibercrime com a seriedade que ele exige”, finaliza Castilho.
