e‑Ciber saiu do PDF: o que muda de verdade para sua empresa
Em 2022, o Brasil registrou mais de 100 bilhões de tentativas de ataque cibernético, resultando em prejuízos estimados em R$ 1,5 trilhão em 2024. Os setores mais impactados — financeiro, saúde e infraestrutura crítica — representam exatamente o que a nova Estratégia Nacional de Cibersegurança (E-Ciber) pretende proteger. No início de agosto de 2025, o governo brasileiro publicou o Decreto nº 12.573/2025, revogando a estratégia anterior de 2020 e instituindo cinco pilares estratégicos que serão desdobrados no futuro Plano Nacional de Cibersegurança (P-Ciber), organizado pelo Comitê Nacional de Cibersegurança (CNCiber). Para empresas, especialmente as que atuam em setores regulados como finanças, saúde, telecomunicações e energia, a pergunta central é: como sair do discurso e transformar diretrizes em métricas, orçamento e governança? Neste artigo iremos analisar o novo ciclo da E‑Ciber, explorar seus eixos temáticos, avaliar desafios e oportunidades e mostrar como a Asper Cibersegurança pode ajudar a traduzir o plano no papel em maturidade prática. Ouça o resumo desse artigo: Da teoria à prática: os cinco pilares da E-Ciber 2025 A E-Ciber 2025 nasce de uma constatação: a primeira versão de 2020 trouxe conceitos importantes, mas careceu de mecanismos de execução e métricas padronizadas. O decreto de 2025 busca resolver isso através de cinco pilares estratégicos com aplicação direta no ambiente corporativo. Soberania e Interesses Nacionais: reduzindo dependência tecnológica com o E-Ciber O primeiro pilar incentiva o desenvolvimento de soluções nacionais de cibersegurança, com prioridade para PMEs e startups brasileiras. Para empresas, a E-Ciber significa oportunidades de parcerias estratégicas com fornecedores locais e potencial redução de custos de licenciamento internacional. As ações incluem avaliação de conformidade nacional, certificação de produtos e formação de profissionais especializados. Empresas que já sofrem com escassez de mão de obra qualificada podem se beneficiar dos programas de capacitação previstos, especialmente aqueles focados em inclusão de grupos subrepresentados. Garantia de Direitos Fundamentais: compliance além da LGPD O segundo pilar da E-Ciber alinha a cibersegurança com proteção de dados, privacidade e liberdade de expressão. Estabelece padrões mínimos para dados sensíveis e promove autenticação forte através de certificação digital. Para empresas reguladas, isso significa evolução das práticas de compliance — não basta apenas estar em conformidade com a LGPD, mas também demonstrar aderência aos novos padrões nacionais de segurança de dados. As campanhas de ciber-higiene previstas podem complementar programas internos de conscientização. Prevenção, Tratamento e Resposta: o que muda na gestão de incidentes Este pilar da E-Ciber toca diretamente no dia a dia operacional das empresas. Prevê a criação de um mecanismo nacional unificado para notificação de ciberincidentes e estabelece proteção obrigatória para infraestruturas críticas e serviços essenciais. Para organizações de setores regulados, isso implica que o e-Ciber vai forçar a adaptação dos planos de continuidade existentes, integração com CSIRTs setoriais e participação obrigatória em simulações multissetoriais. O decreto também incentiva a divulgação coordenada de vulnerabilidades, exigindo processos internos mais estruturados de gestão de patches. Cooperação e Atuação Internacional: inteligência compartilhada O quarto pilar da E-Ciber reconhece que ameaças cibernéticas são globais e exigem colaboração. Empresas multinacionais ou que operam com parceiros internacionais precisarão alinhar suas práticas de compartilhamento de inteligência de ameaças com os novos mecanismos de cooperação. A participação ativa em fóruns internacionais de cibersegurança pode gerar vantagens competitivas, especialmente para empresas que buscam expandir operações ou validar suas práticas internacionalmente. Cultura e Conscientização: além dos treinamentos obrigatórios O último pilar da E-Ciber estabelece que cibersegurança deve fazer parte da cultura organizacional. Prevê capacitação de gestores e implementação de “confiança zero” em serviços digitais — conceito que vai além do Zero Trust técnico e inclui mudanças comportamentais. Para empresas, isso significa evolução dos programas de conscientização tradicionais para abordagens mais abrangentes, incluindo suporte especializado para PMEs que sofreram ciberincidentes. Por que essa versão é diferente? Além de simplificar os eixos, a E‑Ciber 2025 estabelece que cada ação estratégica tenha um indicador de desempenho próprio. Segundo o assessor especial do GSI/PR Dr. Marcelo Malagutti, a ideia é avaliar cada eixo pelo desempenho médio de seus indicadores. Ele explica que a primeira proposta do P‑Ciber está em elaboração e que a estratégia não influenciará o orçamento federal de 2026, mas deverá orientar as discussões para 2027. Isso reforça a necessidade de que empresas privadas se antecipem, criando seus próprios KPIs e reservas orçamentárias para acompanhar a estratégia. O cronograma abaixo do e-Ciber mostra como empresas podem se posicionar estrategicamente em cada marco da implementação: Essa linha do tempo evidencia que organizações proativas terão vantagem competitiva ao estruturar governança e KPIs antes das exigências se tornarem obrigatórias. Desafios e oportunidades: maturidade como diferencial competitivo A implementação da nova E-Ciber não virá sem obstáculos. O próprio decreto admite que seu sucesso dependerá da criação de uma cultura de cibersegurança em toda a sociedade. Entre os principais desafios estão: Apesar dos desafios, as oportunidades são significativas. A valorização dos especialistas, o desenvolvimento de soluções nacionais e o crescimento do mercado de seguros cibernéticos são tendências apontadas na própria estratégia. O Dr. Malagutti destaca que as iniciativas do P‑Ciber terão indicadores e que a E‑Ciber prevê um modelo brasileiro de maturidade para aferir a evolução do setor. Para organizações privadas, isso significa que medir sua exposição cibernética passará a ser requisito de compliance, não apenas boa prática. O especialista também alerta que é preciso mudar a mentalidade de que cibersegurança é custo. Ele defende a lógica do “custo de não fazer” (de não implementar a nova E-Ciber), lembrando que muitas instituições que sofrem ataques graves vão à falência poucos meses depois. Além das perdas financeiras, há o custo reputacional e a dificuldade de recuperar a confiança dos clientes. O que a E‑Ciber exige das empresas reguladas Empresas de setores regulados como bancos, operadoras de saúde, concessionárias de energia e telecom — estão no foco da E-Ciber. Com as principais modalidades de ataque concentradas em phishing (35%), ransomware (25%), DDoS (20%) e malware (15%), o decreto exige padrões mínimos de segurança e mecanismos de certificação para serviços essenciais. Isso implica várias frentes de trabalho: Do discurso à execução: transformando diretrizes em KPIs,
