Em 2022, o Brasil registrou mais de 100 bilhões de tentativas de ataque cibernético, resultando em prejuízos estimados em R$ 1,5 trilhão em 2024. Os setores mais impactados — financeiro, saúde e infraestrutura crítica — representam exatamente o que a nova Estratégia Nacional de Cibersegurança (E-Ciber) pretende proteger.
No início de agosto de 2025, o governo brasileiro publicou o Decreto nº 12.573/2025, revogando a estratégia anterior de 2020 e instituindo cinco pilares estratégicos que serão desdobrados no futuro Plano Nacional de Cibersegurança (P-Ciber), organizado pelo Comitê Nacional de Cibersegurança (CNCiber).
Para empresas, especialmente as que atuam em setores regulados como finanças, saúde, telecomunicações e energia, a pergunta central é: como sair do discurso e transformar diretrizes em métricas, orçamento e governança?
Neste artigo iremos analisar o novo ciclo da E‑Ciber, explorar seus eixos temáticos, avaliar desafios e oportunidades e mostrar como a Asper Cibersegurança pode ajudar a traduzir o plano no papel em maturidade prática.
Ouça o resumo desse artigo:
Da teoria à prática: os cinco pilares da E-Ciber 2025
A E-Ciber 2025 nasce de uma constatação: a primeira versão de 2020 trouxe conceitos importantes, mas careceu de mecanismos de execução e métricas padronizadas.
O decreto de 2025 busca resolver isso através de cinco pilares estratégicos com aplicação direta no ambiente corporativo.
Soberania e Interesses Nacionais: reduzindo dependência tecnológica com o E-Ciber
O primeiro pilar incentiva o desenvolvimento de soluções nacionais de cibersegurança, com prioridade para PMEs e startups brasileiras.
Para empresas, a E-Ciber significa oportunidades de parcerias estratégicas com fornecedores locais e potencial redução de custos de licenciamento internacional.
As ações incluem avaliação de conformidade nacional, certificação de produtos e formação de profissionais especializados.
Empresas que já sofrem com escassez de mão de obra qualificada podem se beneficiar dos programas de capacitação previstos, especialmente aqueles focados em inclusão de grupos subrepresentados.
Garantia de Direitos Fundamentais: compliance além da LGPD
O segundo pilar da E-Ciber alinha a cibersegurança com proteção de dados, privacidade e liberdade de expressão. Estabelece padrões mínimos para dados sensíveis e promove autenticação forte através de certificação digital.
Para empresas reguladas, isso significa evolução das práticas de compliance — não basta apenas estar em conformidade com a LGPD, mas também demonstrar aderência aos novos padrões nacionais de segurança de dados. As campanhas de ciber-higiene previstas podem complementar programas internos de conscientização.
Prevenção, Tratamento e Resposta: o que muda na gestão de incidentes
Este pilar da E-Ciber toca diretamente no dia a dia operacional das empresas. Prevê a criação de um mecanismo nacional unificado para notificação de ciberincidentes e estabelece proteção obrigatória para infraestruturas críticas e serviços essenciais.
Para organizações de setores regulados, isso implica que o e-Ciber vai forçar a adaptação dos planos de continuidade existentes, integração com CSIRTs setoriais e participação obrigatória em simulações multissetoriais. O decreto também incentiva a divulgação coordenada de vulnerabilidades, exigindo processos internos mais estruturados de gestão de patches.
Cooperação e Atuação Internacional: inteligência compartilhada
O quarto pilar da E-Ciber reconhece que ameaças cibernéticas são globais e exigem colaboração. Empresas multinacionais ou que operam com parceiros internacionais precisarão alinhar suas práticas de compartilhamento de inteligência de ameaças com os novos mecanismos de cooperação.
A participação ativa em fóruns internacionais de cibersegurança pode gerar vantagens competitivas, especialmente para empresas que buscam expandir operações ou validar suas práticas internacionalmente.
Cultura e Conscientização: além dos treinamentos obrigatórios
O último pilar da E-Ciber estabelece que cibersegurança deve fazer parte da cultura organizacional. Prevê capacitação de gestores e implementação de “confiança zero” em serviços digitais — conceito que vai além do Zero Trust técnico e inclui mudanças comportamentais.
Para empresas, isso significa evolução dos programas de conscientização tradicionais para abordagens mais abrangentes, incluindo suporte especializado para PMEs que sofreram ciberincidentes.
Por que essa versão é diferente?
Além de simplificar os eixos, a E‑Ciber 2025 estabelece que cada ação estratégica tenha um indicador de desempenho próprio.
Segundo o assessor especial do GSI/PR Dr. Marcelo Malagutti, a ideia é avaliar cada eixo pelo desempenho médio de seus indicadores. Ele explica que a primeira proposta do P‑Ciber está em elaboração e que a estratégia não influenciará o orçamento federal de 2026, mas deverá orientar as discussões para 2027.
Isso reforça a necessidade de que empresas privadas se antecipem, criando seus próprios KPIs e reservas orçamentárias para acompanhar a estratégia.
O cronograma abaixo do e-Ciber mostra como empresas podem se posicionar estrategicamente em cada marco da implementação:
Essa linha do tempo evidencia que organizações proativas terão vantagem competitiva ao estruturar governança e KPIs antes das exigências se tornarem obrigatórias.
Desafios e oportunidades: maturidade como diferencial competitivo
A implementação da nova E-Ciber não virá sem obstáculos. O próprio decreto admite que seu sucesso dependerá da criação de uma cultura de cibersegurança em toda a sociedade.
Entre os principais desafios estão:
- Atualização contínua de conhecimento — as ameaças evoluem rapidamente, e os novos padrões exigirão certificações e especializações constantes.
- Escassez de talentos — o Brasil já enfrenta déficit de profissionais qualificados. A demanda gerada pela E-Ciber pode agravar essa lacuna.
- Integração de sistemas legados — muitas empresas operam com sistemas obsoletos. Adequá-los às novas exigências é tecnicamente complexo.
- Gestão de consequências — o decreto não traz penalidades imediatas; a harmonização com normas setoriais e a eventual criação de uma agência nacional de cibersegurança ainda são temas em aberto.
Apesar dos desafios, as oportunidades são significativas. A valorização dos especialistas, o desenvolvimento de soluções nacionais e o crescimento do mercado de seguros cibernéticos são tendências apontadas na própria estratégia.
O Dr. Malagutti destaca que as iniciativas do P‑Ciber terão indicadores e que a E‑Ciber prevê um modelo brasileiro de maturidade para aferir a evolução do setor. Para organizações privadas, isso significa que medir sua exposição cibernética passará a ser requisito de compliance, não apenas boa prática.
O especialista também alerta que é preciso mudar a mentalidade de que cibersegurança é custo. Ele defende a lógica do “custo de não fazer” (de não implementar a nova E-Ciber), lembrando que muitas instituições que sofrem ataques graves vão à falência poucos meses depois. Além das perdas financeiras, há o custo reputacional e a dificuldade de recuperar a confiança dos clientes.
O que a E‑Ciber exige das empresas reguladas
Empresas de setores regulados como bancos, operadoras de saúde, concessionárias de energia e telecom — estão no foco da E-Ciber.
Com as principais modalidades de ataque concentradas em phishing (35%), ransomware (25%), DDoS (20%) e malware (15%), o decreto exige padrões mínimos de segurança e mecanismos de certificação para serviços essenciais.
Isso implica várias frentes de trabalho:
- Inventário de ativos críticos – antes de definir controles, é preciso mapear todos os sistemas e dados que sustentam processos de negócio. A E‑Ciber enfatiza a criação de listas de alto risco para fundamentar a gestão setorial de ciber‑riscos.
- Planos de continuidade e testes regulares – o decreto incentiva a realização de exercícios e simulações setoriais para aprimorar a resiliência de serviços essenciais. Para empresas reguladas, isso pode significar integrar simulações de ataque e de recuperação no cronograma de auditorias internas.
- Métricas de exposição – o futuro modelo de maturidade deverá incluir indicadores para cada iniciativa do P‑Ciber. Organizações precisam definir quais métricas (por exemplo, tempo médio de detecção, taxa de conformidade de patches, número de acessos privilegiados) vão servir de evidência de conformidade.
- Integração com frameworks setoriais – diversos setores já seguem normas específicas (BACEN, ANS, ANEEL, LGPD). A E‑Ciber funcionará como vetor unificador, exigindo que relatórios de conformidade demonstrem aderência tanto às normas setoriais quanto ao modelo nacional de maturidade.
- Orçamento e governança – como a estratégia ainda não impacta o orçamento federal de 2026, cabe às empresas prever recursos próprios. Isso envolve formalizar programas de cibersegurança, apresentar retornos de investimento ao conselho e garantir participação da alta gestão na definição de métricas e cronogramas.
Do discurso à execução: transformando diretrizes em KPIs, orçamento e governança
A principal crítica à E‑Ciber 2020 era que o documento permanecia no nível conceitual.
A versão 2025 abre caminho para métricas e para o modelo nacional de maturidade, mas a responsabilidade de execução recai sobre cada organização.
Para sair do papel, as empresas devem:
- Definir indicadores alinhados aos quatro eixos. Por exemplo, no eixo de proteção e conscientização, uma empresa pode medir a porcentagem de colaboradores treinados em phishing. No eixo de resiliência, indicadores podem incluir o tempo de recuperação de serviços essenciais após um incidente.
- Conectar métricas a riscos e orçamento. Uma boa governança transforma indicadores em argumentos para alocar recursos. Ao mostrar, por exemplo, que uma redução no tempo de detecção de incidentes diminui perdas financeiras, a área de segurança fala a linguagem do CFO.
- Integrar governança de identidades e gestão de privilégios. A soberania digital e a governança exigem segregação de funções, controle de acesso mínimo e rastreabilidade. Isso só é possível com processos claros de gestão de identidade e acesso (IAM) e gestão de credenciais privilegiadas, complementados por ferramentas que ofereçam evidências auditáveis.
- Orquestrar prevenção, detecção e resposta. A E‑Ciber ressalta a importância de CSIRTs e centros de compartilhamento de informações. Organizações precisam ir além de soluções pontuais; devem criar ferramentas integradas que monitorem, simulem ataques e automatizem a resposta.
- Envolver a liderança. A PNSI exige que órgãos públicos indiquem um CISO e criem comitês internos. No setor privado, a participação do conselho e da alta direção é igualmente crítica. Indicadores e relatórios devem ser apresentados em linguagem acessível, conectando riscos cibernéticos a impacto no negócio.
Como a Asper transforma estratégia em prática
Como Managed Security Services Provider (MSSP) de referência, a Asper está preparada para ajudar organizações a cumprir a E‑Ciber de ponta a ponta. O Cyber Fusion Center (CFC), coração da empresa, opera 24 horas por dia combinando monitoramento, inteligência de ameaças, simulações e resposta a incidentes. Essa abordagem de segurança em camadas se alinha diretamente às exigências da estratégia nacional.
Governança de identidades com SailPoint e controle de privilégios com CyberArk
A E‑Ciber enfatiza a proteção de ciberativos críticos e a adoção de padrões mínimos de segurança.
A plataforma SailPoint, oferecida pela Asper, permite estruturar políticas de identidade, certificação de acessos e ciclo de vida de usuários em conformidade com normas setoriais.
Já o CyberArk garante o princípio do privilégio mínimo, segregando funções, controlando credenciais de administradores e gerando trilhas de auditoria.
Essas soluções ajudam a comprovar que a organização possui controles efetivos e pode evidenciar conformidade quando o modelo nacional de maturidade for implementado.
Monitoramento e resposta 24×7 com o CFC
A E‑Ciber exige que setores críticos estabeleçam sistemas de alerta e resposta a incidentes. O CFC da Asper oferece visibilidade comportamental e detecção de anomalias em tempo real.
Com detecção comportamental baseada em telemetria (EDR/XDR), o CFC identifica atividades suspeitas mesmo sem assinaturas de vírus.
Quando um incidente ocorre, a equipe isolada o dispositivo, investiga a origem e guia o cliente na remediação. Esse serviço 24×7 é particularmente relevante porque incidentes costumam ocorrer fora do horário comercial – uma das dores mais comuns apontadas por CISOs.
Simulações e teste de resiliência
Para atender ao requisito de realização de exercícios e simulações regulares, a Asper utiliza plataformas de breach and attack simulation para simular ataques reais sem impactar o ambiente.
Essas simulações revelam lacunas de configuração, ajudam a definir métricas de exposição e fortalecem planos de continuidade.
Integração de inteligência e relatórios executivos
O CFC não se limita a monitorar alertas. Ele correlaciona inteligência de ameaças global com o contexto local brasileiro e fornece relatórios executivos que traduzem indicadores técnicos em insights estratégicos. Isso atende à recomendação de que cada iniciativa do P‑Ciber tenha indicadores de desempenho.
Ao entregar painéis e evidências auditáveis, a Asper ajuda clientes a demonstrar conformidade perante órgãos reguladores e a justificar investimentos.
Maturidade é estratégia
A nova E-Ciber marca um momento decisivo para a segurança digital no Brasil. Ao consolidar cinco pilares estratégicos, criar um mecanismo de medição e prever um modelo nacional de maturidade, o governo reconhece que cibersegurança é pilar de soberania e competitividade. Mas decretos, por si só, não garantem proteção.
O assessor do GSI observa que a eficácia da estratégia depende de indicadores claros e de uma cultura de segurança que entenda cibersegurança como investimento.
Para as empresas, especialmente as de setores regulados, o desafio imediato é traduzir diretrizes em planos, KPIs e orçamento. Isso envolve mapear ativos, testar a resiliência, gerir identidades e privilégios, monitorar continuamente e integrar a alta gestão nas decisões.
A Asper Cibersegurança se posiciona como parceiro estratégico nesse processo, oferecendo tecnologia, expertise e serviços gerenciados que convertem a E-Ciber de um PDF em prática diária.
A maturidade em cibersegurança com a nova E-Ciber deixou de ser um diferencial opcional e tornou‑se um requisito competitivo. A pergunta que fica é: sua organização está pronta para provar que cumpre as diretrizes da E‑Ciber?
Fale com os especialistas da Asper e descubra como transformar o plano nacional em vantagens reais para o seu negócio.
