O Brasil registrou 315 bilhões de tentativas de ataques cibernéticos somente no primeiro semestre de 2025, o equivalente a 84% de todas as ocorrências contabilizadas na América Latina no mesmo período, segundo levantamento da Fortinet. O volume alarmante de ameaças coloca o país no centro do debate sobre regulação digital e acelera a necessidade de um marco legal robusto para o setor.
É nesse contexto que ganha força a minuta da Lei Geral da Cibersegurança, apresentada em abril de 2026 pelo Comitê Nacional de Cibersegurança (CNCiber). O texto ainda depende de aprovação pelo Congresso Nacional, mas já estabelece as bases do que será o novo padrão de proteção de redes e sistemas no país.
A segurança digital deixa de ser uma questão técnica restrita ao departamento de TI e passa a ser uma prioridade jurídica e de reputação para empresas de todos os setores.
Entre as principais medidas previstas na minuta está a criação do Sistema Nacional de Cibersegurança e de uma Autoridade Nacional responsável por fiscalizar o cumprimento das novas regras. A proposta traz uma clareza regulatória inédita para o mercado: pela primeira vez, haverá um órgão específico para supervisionar a proteção das infraestruturas digitais brasileiras.
Uma vez aprovada, as empresas terão um prazo de 180 dias para se adequar às exigências da lei, o que torna urgente o início do planejamento interno, especialmente para negócios que ainda não possuem políticas estruturadas de segurança da informação.
Embora complementar à Lei Geral de Proteção de Dados (LGPD), a nova legislação tem um escopo distinto. Enquanto a LGPD centra-se na privacidade e no tratamento de dados pessoais, a Lei Geral da Cibersegurança foca na proteção de infraestruturas digitais e redes, com ênfase na resiliência operacional contra ameaças como ransomware e ataques a cadeias de suprimentos.
Na prática, as duas legislações se complementam: uma empresa pode estar em conformidade com a LGPD e, ainda assim, precisar de adequações significativas para atender às exigências da nova lei de cibersegurança.
Especialistas recomendam que as organizações não aguardem a aprovação definitiva do texto para agir. O mapeamento de vulnerabilidades, a revisão de contratos com fornecedores de tecnologia e o fortalecimento das políticas internas de segurança são passos que podem ser iniciados imediatamente, e que colocarão as empresas em posição mais favorável quando o prazo de 180 dias começar a correr.
