No dia 4 de agosto de 2025, o Governo Federal publicou o Decreto nº 12.573, instituindo oficialmente a nova Estratégia Nacional de Cibersegurança (E-Ciber). Estruturada em quatro eixos principais — proteção do cidadão e da sociedade, resiliência de serviços essenciais e infraestruturas críticas, cooperação entre instituições e promoção da soberania nacional — a nova estratégia representa um marco regulatório importante para o enfrentamento dos riscos no domínio cibernético. Contudo, uma análise crítica e comparativa evidencia avanços relevantes, mas também fragilidades que podem comprometer sua efetividade.
Entre os pontos positivos, destaca-se a abrangência temática e conceitual da E-Ciber. O decreto apresenta uma taxonomia moderna e clara, com definições como “ciberofensa”, “ciberefeito” e “ciberativos” que conferem precisão jurídica e técnica ao texto. Além disso, a estratégia demonstra sensibilidade social ao priorizar a proteção de grupos vulneráveis, como crianças, idosos e pessoas neurodivergentes — um diferencial em relação a muitas estratégias estrangeiras que costumam negligenciar esse aspecto. Também merece destaque a ênfase na integração entre os setores público, privado e acadêmico, com estímulo à criação de equipes de resposta a incidentes, centros de compartilhamento de informações e laboratórios especializados, em linha com modelos adotados por países como Estados Unidos (por meio da CISA) e Reino Unido (com o NCSC).
Outro ponto forte é a preocupação com a soberania tecnológica nacional. A estratégia valoriza a produção de soluções de cibersegurança no Brasil e incentiva a capacitação técnica e científica em larga escala, o que pode reduzir a dependência externa e fomentar a inovação no setor. A promoção de produtos, serviços e tecnologias nacionais é uma iniciativa coerente com os esforços de países como Israel, que alinham segurança digital à política industrial e à inovação.
Apesar desses avanços, a E-Ciber apresenta fragilidades significativas. A primeira delas é a ausência de metas quantificáveis, cronogramas claros e indicadores de desempenho. Diferente de países como Estônia ou Israel, que estabelecem marcos temporais e metas de maturidade cibernética, o decreto brasileiro se limita a diretrizes genéricas, o que dificulta o monitoramento e a avaliação dos resultados. Além disso, embora o Gabinete de Segurança Institucional (GSI) tenha a responsabilidade de coordenar a política, não está claro se esse órgão possui autoridade prática para liderar ações integradas entre os diversos ministérios e agências envolvidas.
Outro ponto crítico é a ausência de previsão orçamentária. O texto não menciona fontes de financiamento, volume de recursos ou mecanismos de incentivo para garantir a execução das ações previstas. Sem garantias financeiras, há o risco real de que a E-Ciber se torne mais uma política ambiciosa no papel, mas esvaziada na prática. A subestimação do setor privado também chama atenção: embora haja menções pontuais a startups e pequenas empresas, não há políticas concretas de fomento, como incentivos fiscais, linhas de crédito ou estímulo a parcerias público-privadas — elementos presentes em estratégias da União Europeia e dos Estados Unidos.
Adicionalmente, a E-Ciber omite questões críticas no contexto atual da cibersegurança, como a proteção dos sistemas eleitorais e o combate à desinformação. Países como EUA, França e Alemanha já incorporaram esses temas como prioridades estratégicas, dada sua relevância para a estabilidade democrática. Ignorar essas ameaças, especialmente em um contexto de crescente polarização e uso político das redes, representa uma vulnerabilidade que deveria ser abordada com urgência.
Em comparação com iniciativas internacionais, é possível observar que países como Israel integram defesa e inovação sob uma mesma estrutura institucional, com forte sinergia entre forças armadas, universidades e o setor privado. Já os Estados Unidos, por meio da CISA, combinam ações técnicas com campanhas educativas, protocolos de gestão de crise e proteção de infraestruturas críticas com recursos robustos e autoridade interagencial. A Estônia, por sua vez, mantém uma abordagem descentralizada, com foco em interoperabilidade, confiança digital e cidadania eletrônica.
Em conclusão, a nova Estratégia Nacional de Cibersegurança do Brasil representa um avanço normativo importante e necessário. Seu desenho está alinhado com as melhores práticas internacionais e aborda diversos aspectos relevantes do ecossistema digital. No entanto, sua efetividade dependerá de três fatores-chave: liderança política com autoridade operacional, governança interinstitucional bem definida e recursos financeiros compatíveis com a ambição do projeto. Sem esses elementos, há o risco de repetir um padrão recorrente no Brasil — o de boas ideias engavetadas por falta de execução.
