Decreto nº 12.573 de 4 de Agosto de 2025

proteção e conscientização do cidadão e da sociedade;

segurança e resiliência dos serviços essenciais e das infraestruturas críticas;

cooperação e integração entre os órgãos e entidades, públicas e privadas; e

soberania nacional e governança.

ciberativos - hardwares, softwares, redes, dispositivos, aplicações, serviços, sistemas e dados utilizados para processar, armazenar ou transmitir informações por meio eletrônico ou digital;

ciberameaça - circunstância ou evento, resultante de ciberofensa, com potencial para impactar, de forma adversa, indivíduos ou organizações, incluídos seus ativos, suas operações, suas funções, sua imagem ou sua reputação;

cibercrime - crime praticado contra ou por meio de ciberativos;

ciberefeito - dano, permanente ou temporário, indisponibilidade ou limitação da operação, total ou parcial, ou mudança de comportamento de ciberativo ou não, resultante de ciberofensa;

ciberincidente - ciberofensa combinada ao ciberefeito real ou potencial resultante de ciberofensa;

ciberofensa - conjunto de ações adotadas no ciberespaço em oposição a ciberativo;

cibersegurança - conjunto de ferramentas, salvaguardas, diretrizes, abordagens de gestão de riscos, ações, treinamentos, melhores práticas, garantias e tecnologias, entre outras medidas usadas para proteger o ciberespaço e os ciberativos do usuário e da organização;

ciberdefesa - conjunto de ações coordenadas pelo Ministério da Defesa, com a finalidade de assegurar a cibersegurança de ciberativos de interesse da defesa nacional e buscar superioridade no domínio cibernético sobre os ciberativos do responsável pela ciberofensa;

ciber-risco - possibilidade de ocorrência de ciberincidente;

tecnologia da informação - conjunto de ciberativos destinados ao processamento de sistemas e de dados; e

tecnologia operacional - conjunto de ciberativos destinados ao comando e ao controle de processos industriais de setores, como manufatura, telecomunicações, energia, medicina, gestão predial, entre outros. Proteção e conscientização do cidadão e da sociedade

crianças e adolescentes;

pessoas idosas; e

pessoas neurodivergentes.

incentivo à atuação segura no ciberespaço;

incentivo à expansão de serviços de apoio às vítimas de ilícitos praticados no ciberespaço;

promoção da identificação e da autenticação de usuários, conforme a necessidade e observado o respeito à privacidade;

incentivo à capacitação de professores e gestores, públicos e privados, em cibersegurança;

incentivo à inclusão de temas relacionados à cibersegurança nos currículos de todos os níveis educacionais;

incentivo à participação em fóruns e atividades acadêmicas, técnicas e profissionais relacionadas à cibersegurança;

incentivo às iniciativas de orientação a microempresas, empresas de pequeno porte e startups na gestão de riscos e na retomada das atividades pós-incidentes cibernéticos;

avaliação de modelos de planos de conformidade em cibersegurança flexíveis para implementação por pessoas jurídicas de direito público;

incentivo ao desenvolvimento de planos de contingência institucionais e à realização de testes e simulações para verificação do nível de cibersegurança no órgão ou na entidade;

promoção da prevenção e do combate aos cibercrimes, às fraudes digitais e a outras ações maliciosas no ciberespaço por meio de atuação multissetorial;

divulgação da Convenção sobre o Crime Cibernético, promulgada pelo Decreto nº 11.491, de 12 de abril de 2023 , e de instrumentos congêneres, nacionais e internacionais, relacionados a cibercrimes vigentes no País;

promoção de ações que aumentem a efetividade das operações contra o cibercrime;

estímulo ao aprimoramento normativo e estrutural dos canais para notificação de cibercrimes; e

incentivo à capacitação e ao aprimoramento dos órgãos de persecução penal na repressão aos cibercrimes. Segurança e resiliência dos serviços essenciais e das infraestruturas críticas

estímulo às entidades dotadas de competências regulatórias para promover a gestão de riscos e adotar medidas de proteção e resposta a ciberincidentes nos seus setores;

desenvolvimento de mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança, a resiliência e a continuidade dos serviços essenciais e das infraestruturas críticas, em especial quanto à adoção de ferramentas de tecnologia da informação e de tecnologia operacional;

adoção de mecanismos de alerta de risco na prestação de serviços digitais;

desenvolvimento e manutenção de lista de alto risco de cibersegurança a ser utilizada como fundamentação para a gestão de ciber-riscos setoriais;

estímulo à adoção de padrões mínimos de segurança para categorias de dados relevantes e sensíveis;

criação e manutenção de selo nacional de certificação de alto nível de segurança de ciberativos;

estímulo à adoção de mecanismos de mitigação de riscos, como seguros contra ciberincidentes, por prestadores de serviços essenciais e operadores de infraestruturas críticas;

incentivo à realização de exercícios e simulações setoriais e multissetoriais regulares destinados ao aprimoramento da resiliência dos serviços essenciais e das infraestruturas críticas;

incentivo ao aprimoramento contínuo dos atos normativos relacionados à cibersegurança, inclusive em relação a padrões mínimos de controle e guias;

estímulo ao aperfeiçoamento da segurança na interoperabilidade de dados e de canais digitais; e

incentivo às empresas brasileiras na contratação de produtos e serviços que adotem padrões mínimos de cibersegurança. Cooperação e integração entre órgãos e entidades, públicas e privadas

estímulo à criação e ao desenvolvimento de:

incentivo à criação de mecanismo nacional de notificação de ciberincidentes;

incentivo à cooperação e à construção da confiança entre instituições acadêmicas e agências, nacionais e internacionais, no âmbito da cibersegurança, com vistas a:

apoio ao fortalecimento da capacidade de cibersegurança dos países do entorno estratégico brasileiro, por iniciativa bilateral ou multilateral; e

incentivo à participação do País em organizações e fóruns internacionais que tratem de cibersegurança. Soberania nacional e governança

atualização, divulgação e implementação da Política Nacional de Cibersegurança, de que trata o art. 4º do Decreto nº 11.856, de 26 de dezembro de 2023 ;

elaboração de modelo nacional de maturidade em cibersegurança, que permita:

formação e capacitação técnico-profissional em cibersegurança em escala compatível com as necessidades nacionais;

redução do débito tecnológico do País em tecnologias emergentes e disruptivas por meio de ações governamentais afirmativas e incrementais;

incentivo ao desenvolvimento de capacidade de avaliação continuada de conformidade em segurança de produtos, em serviços e em tecnologias de cibersegurança;

estímulo ao uso de sistema para troca segura de informações no âmbito da cibersegurança;

incentivo ao setor privado na oferta de produtos, serviços, tecnologias em cibersegurança, especialmente para microempresas, empresas de pequeno porte e startups;

estímulo ao estabelecimento de parcerias com institutos brasileiros de pesquisa e desenvolvimento para ampliar as residências tecnológicas em cibersegurança;

incentivo à criação de linhas de pesquisa para graduação e pós-graduação stricto sensu e concessão de bolsas de estudo para a formação de especialistas e de professores brasileiros em cibersegurança; e

incentivo ao desenvolvimento de produtos, serviços e tecnologias nacionais destinados ao aprimoramento da cibersegurança no País. Plano Nacional de Cibersegurança

as iniciativas estratégicas específicas de forma discriminada;

o cronograma de execução; e

a governança das ações e das atividades estabelecidas neste Decreto.