O Gabinete de Segurança Institucional da Presidência da República e a Agência Nacional de Telecomunicações avançam em uma reorganização institucional que aponta para a consolidação de um modelo único de governança da cibersegurança nacional.
Essa articulação, apresentada publicamente durante o evento Brasil Ciberseguro 2025 no final de outubro, reflete uma mudança pragmática nos planos originais para enfrentar ataques cibernéticos crescentes que têm impactado infraestruturas críticas brasileiras.
A decisão estratégica de transformar a Anatel em autoridade central de cibersegurança, em vez de criar uma agência inteiramente nova, representa uma solução que combina eficiência orçamentária com capilaridade já estabelecida.
O ministro-chefe do GSI, Marcos Antonio Amaro dos Santos, reconheceu publicamente que a proposta original de instituir uma Agência Nacional de Cibersegurança (ANCiber) com cinco anos de implementação gradual, 800 servidores e orçamento anual de aproximadamente R$ 600 milhões não obteve viabilidade junto ao Executivo. A migração massiva da população brasileira de telefonia fixa para móvel, segundo Amaro, abriu oportunidade para que a agência de telecomunicações absorva essa nova competência sem desviar de suas atribuições tradicionais.
O Contexto de Urgência
A necessidade dessa reorganização emerge de um cenário de vulnerabilidade crescente. O Brasil integra a lista de países mais visados por ataques cibernéticos na América Latina, registrando mais de 26 bilhões de tentativas de invasão apenas em 2024, com aumento de 20% em relação ao ano anterior.
Durante 2025, o país enfrentou casos emblemáticos que incluem o maior ataque cibernético da história do sistema bancário nacional, incidentes de ransomware contra provedores de tecnologia na saúde e invasões a operadoras de telecomunicações. O setor financeiro liderou os ataques de alto impacto em 2025, seguido por saúde, telecomunicações e órgãos governamentais.
A fragmentação institucional amplifica esses riscos. Atualmente, múltiplos órgãos com jurisdições sobrepostas — Polícia Federal, CGU, GSI, Abin e Serpro — lidam com aspectos isolados da cibersegurança nacional, resultando em respostas mais lentas diante de crises.
Essa desarticulação também afeta a capacidade de formulação de políticas coerentes e aplicáveis em escala nacional.
A Estrutura Proposta
O anteprojeto de lei em discussão no Comitê Nacional de Cibersegurança (CNCiber) prevê que a Anatel assuma funções de regulação, fiscalização e controle em matéria de cibersegurança. Um grupo de trabalho liderado pelo GSI, Ministério da Gestão e Anatel trabalhou em prazo de dois meses para reformular o marco legal, esperando encaminhá-lo ao Congresso Nacional em breve.
A tramitação ocorrerá em paralelo ao projeto de lei 4752/25, apresentado pela Frente Parlamentar de Apoio à Cibersegurança e à Defesa Cibernética, que aguarda relator na Comissão de Constituição e Justiça do Senado.
A escolha da Anatel justifica-se por três fatores principais. Primeiro, a agência dispõe de grande capilaridade nacional, com presença em todas as capitais estaduais e corpo técnico altamente qualificado.
Segundo, já opera sob marcos regulatórios robustos desenvolvidos ao longo de seus 28 anos de atuação, experiência que pode ser transferida ao novo escopo. Terceiro, demonstrou disposição em absorver essa capacidade regulatória, segundo admissão do secretário de Segurança da Informação e Cibernética, André Molina.youtube
Marco Regulatório em Evolução
A Anatel já atua em segurança digital através do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado em 2020 e objeto de revisões em 2024 e 2025.
A Resolução nº 767/2024 expandiu o escopo de empresas reguladas para incluir operadoras de cabos submarinos, prestadoras de serviço móvel com rede própria, operadores que oferecem tráfego de mercado e atacado, além de data centers que integram redes de telecomunicações.
As obrigações regulatórias incluem implementação de política de segurança cibernética aprovada por conselho de administração, notificação de incidentes relevantes à Anatel, avaliações periódicas de vulnerabilidades e envio de informações sobre infraestruturas críticas.
Empresas devem utilizar fornecedores que comprovem compatibilidade com princípios de segurança cibernética e realizem auditoria periódica independente, com exceção de startups quando as contratantes se responsabilizem pela conformidade.
Complementando esse arcabouço, a Anatel publicou em dezembro de 2025 a Consulta Pública nº 48/2025 sobre requisitos de conformidade para data centers que integram redes de telecomunicações, estabelecendo critérios mínimos de resiliência, segurança cibernética, sustentabilidade e compatibilidade eletromagnética.
O período de adaptação previsto é de um ano após publicação final.
A Estratégia Nacional como Base
O Decreto nº 12.573 de 4 de agosto de 2025 instituiu a nova Estratégia Nacional de Cibersegurança (E-Ciber), substituindo a versão de 2020.
Organizada em quatro eixos — proteção e conscientização do cidadão, segurança de serviços essenciais e infraestruturas críticas, cooperação entre órgãos públicos e privados, e soberania nacional — a estratégia estabelece diretrizes que a centralização sob Anatel operacionalizará.
A E-Ciber prevê criação de lista de ameaças de alto risco cibernético, incentivo à contratação de seguros contra ciberincidentes, certificação nacional de produtos e serviços de tecnologia, e exigência de padrões mínimos de segurança para proteção de dados sensíveis.
Também contempla formação em larga escala de profissionais especializados, incentivos a linhas de pesquisa e desenvolvimento seguro de tecnologias emergentes como inteligência artificial, computação quântica, blockchain e 5G.
O Plano Nacional de Cibersegurança, previsto como principal instrumento de execução, deverá detalhar iniciativas estratégicas, cronogramas e estruturas de governança, com possibilidade de ajustes periódicos.
Diferentemente da versão anterior, não possui prazo de vigência fixo.
Estruturação de Recursos Humanos
A transformação da Anatel em autoridade de cibersegurança demanda aumento de quadro técnico especializado. Em dezembro de 2025, o CNCiber finalizava negociação de conversão de 250 vagas ociosas em postos de Especialista em Cibersegurança, reduzindo necessidade de novas contratações e aproveitando estrutura orçamentária existente.
Esse mecanismo de reprogramação de recursos exemplifica a pragmaticidade da solução frente aos constrangimentos fiscais.
Integração com Governança Pública
Complementando essa arquitetura, a Portaria SGD/MGI nº 9.511/2025, publicada em 28 de outubro e vigente a partir de 1º de janeiro de 2026, instituiu o Programa de Privacidade e Segurança da Informação (PPSI) na administração pública federal.
A medida cria o Centro Integrado de Segurança Cibernética do Governo Digital (CISC gov.br) e o Centro de Excelência em Privacidade e Segurança da Informação (CEPS gov.br), ambos vinculados à Secretaria de Governo Digital. Essas estruturas assegurarão coordenação técnica contínua para prevenção, detecção e resposta a incidentes no setor público, em sinergia com as funções regulatórias que a Anatel exercerá no setor privado.
Desafios e Perspectivas
A consolidação dessa arquitetura enfrenta desafios operacionais. A fragmentação histórica de competências em múltiplos órgãos deixou lacunas de inteligência que não se colmam por decreto.
A capacidade de resposta em tempo real a incidentes sofisticados exige infraestrutura de comunicação e coordenação que transcende apenas a estrutura da Anatel, demandando integração efetiva com Polícia Federal, Abin e demais órgãos de segurança.
Adicionalmente, a sofisticação crescente dos ataques — que incluem espionagem direcionada a operadores financeiros e telecomunicações, sabotagem de sistemas de controle industrial e malware destrutivo associado a tensões geopolíticas — indica que regulação apenas do setor de telecomunicações, ainda que com visão expandida, pode não cobrir completamente a superfície de risco nacional.
O sucesso da iniciativa dependerá da velocidade de aprovação legislativa no Congresso, da adequação orçamentária para operacionalização, da capacidade de recrutamento de especialistas em mercado altamente competitivo, e da efetiva coordenação com órgãos complementares de segurança.
O fato de que um anteprojeto tenha sido finalizado antes do encerramento de 2025 e esteja em vias de apresentação ao Congresso sugere que os articuladores percebem essa janela de oportunidade como temporária, refletindo pressão política pela ação concreta no tema.
A aposta do governo federal em converter uma agência reguladora tradicional em autoridade de governança cibernética nacional representa movimento pragmático frente às limitações orçamentárias, mas testa as fronteiras entre competência regulatória e responsabilidade operacional de segurança.
Os próximos meses de discussão parlamentar e implementação inicial revelarão se a capilaridade institucional da Anatel e sua experiência regulatória constituem suficiência para o escopo expandido que ora lhe se propõe.
