A digitalização das infraestruturas críticas, que inclui setores vitais como energia, água, transportes e comunicações, traz consigo desafios substanciais para a cibersegurança, exigindo a construção de um arcabouço jurídico e regulatório robusto e bem definido.
A crescente dependência dessas infraestruturas de sistemas digitais e interconectados aumenta significativamente a sua vulnerabilidade a ataques cibernéticos, os quais podem gerar consequências devastadoras, como a interrupção de serviços essenciais e a compromissão da segurança nacional. Diante desse cenário, a experiência internacional oferece lições valiosas para que o Brasil possa desenvolver um marco regulatório próprio, capaz de enfrentar essas ameaças de maneira eficaz.
Internacionalmente, a regulamentação da cibersegurança para infraestruturas críticas varia amplamente entre as diferentes jurisdições, refletindo particularidades locais, mas todas as abordagens compartilham um objetivo comum: garantir a proteção das estruturas vitais contra as ameaças cibernéticas.
Na União Europeia, a Diretiva NIS (Diretiva sobre Segurança de Redes e Informação) destaca-se como um marco regulatório fundamental, estabelecendo exigências de segurança para os operadores de serviços essenciais. A diretiva impõe aos Estados-membros a responsabilidade de identificar esses operadores e assegurar que implementem medidas de segurança adequadas e eficazes para mitigar riscos cibernéticos.
Nos Estados Unidos, a Agência de Segurança Cibernética e de Infraestrutura (CISA) lidera os esforços de proteção das infraestruturas críticas, operando sob uma estrutura normativa que foi significativamente reforçada pela Ordem Executiva sobre Melhoria da Cibersegurança, emitida em 2021. Essa ordem enfatiza a necessidade de colaboração estreita entre o setor público e o privado, bem como a adoção de padrões de segurança mais rigorosos e uniformes, que sirvam de base para a resiliência nacional frente a ciberataques.
A experiência australiana também oferece insights importantes. A Lei de Segurança de Infraestruturas Críticas (CISA), promulgada em 2018, estabelece obrigações específicas para os operadores desses setores, incluindo a necessidade de reportar incidentes cibernéticos em tempo real e de desenvolver planos de resposta a incidentes. Essa legislação foi reforçada após uma série de ataques cibernéticos direcionados a setores essenciais, como telecomunicações e energia, demonstrando a importância de uma regulamentação flexível e responsiva às novas ameaças.
Israel adota uma abordagem altamente proativa em sua defesa cibernética, com o Centro Nacional de Cibersegurança realizando simulações de ataques em larga escala para testar e aprimorar a resiliência dos sistemas críticos. Esse tipo de exercício é complementado por uma estrutura regulatória rigorosa, que exige conformidade com padrões de cibersegurança de alto nível, criando um ambiente no qual a segurança é tratada como uma prioridade estratégica de longo prazo.
Essas experiências internacionais destacam a centralidade do Direito na construção de uma defesa cibernética eficaz. No contexto da proteção das infraestruturas críticas, o Direito não só estabelece as bases para as ações regulatórias, como também cria os mecanismos necessários para a implementação de medidas preventivas, a gestão de riscos e a resposta a incidentes.
A normatização dessas práticas é essencial para assegurar que os operadores de infraestruturas críticas estejam em conformidade com os padrões de segurança estabelecidos, e que disponham das ferramentas necessárias para responder de forma eficiente a eventuais crises cibernéticas.
No Brasil, a importância de um marco jurídico claro e específico é indiscutível. A definição de responsabilidades, a imposição de obrigações e a implementação de requisitos mínimos de segurança são componentes fundamentais para garantir a proteção das infraestruturas críticas nacionais. O país pode se beneficiar enormemente da análise das práticas internacionais bem-sucedidas, adaptando-as às suas próprias necessidades e peculiaridades. A cooperação internacional, observada entre países europeus, bem como a colaboração entre o setor público e privado, como nos Estados Unidos, são aspectos que o Brasil deve considerar em sua abordagem regulatória.
Nesse contexto, a iniciativa do "Guardião Cibernético", um exercício de simulação de ataques cibernéticos conduzido pelo Comando de Defesa Cibernética do Exército (COMDCIBER), surge como uma prática relevante e necessária. O "Guardião Cibernético" visa criar um ambiente realista no qual as infraestruturas críticas, como as de comunicação, energia e aviação, são submetidas a ataques simulados, permitindo que as vulnerabilidades sejam identificadas e que as capacidades de resposta sejam aprimoradas. Contudo, para que tais exercícios sejam verdadeiramente eficazes, é imperativo que sejam precedidos de uma regulamentação que forneça o suporte necessário para a sua implementação prática e que garanta a aplicação dos aprendizados obtidos.
A construção de um marco regulatório eficaz no Brasil, inspirado nas melhores práticas internacionais, deve priorizar a segurança das infraestruturas críticas como uma questão de soberania nacional. A legislação brasileira precisa ser abrangente, clara e dinâmica, capaz de responder às rápidas mudanças no cenário global de cibersegurança. Além disso, a integração entre direito e tecnologia deve ser promovida de maneira consistente, assegurando que as inovações tecnológicas sejam acompanhadas por normas jurídicas que garantam a proteção dos interesses nacionais.
Conclui-se, portanto, que o Direito desempenha um papel essencial na estruturação e normatização das estratégias de cibersegurança para infraestruturas críticas. A criação de uma legislação forte e abrangente é indispensável para que o Brasil possa não apenas proteger suas infraestruturas críticas, mas também garantir a continuidade dos serviços essenciais e a segurança da população em um ambiente cada vez mais digitalizado e interconectado. A implementação de práticas como o Guardião Cibernético, aliada a um arcabouço jurídico bem estabelecido, é um passo crucial para assegurar que o país esteja preparado para enfrentar os desafios do ciberespaço e proteger sua soberania em um mundo digital.
Walter Calza Neto, DPO do Corinthians.
