Lei Geral da Cibersegurança: o que pode mudar na sua empresa?

De acordo com um estudo da Fortinet, apenas no primeiro semestre de 2025 o Brasil registrou 315 bilhões de tentativas de ataques cibernéticos, o que representa 84% de todas as ocorrências da América Latina. Diante desse volume de ameaças, a segurança digital deixa de ser uma questão técnica restrita ao departamento de TI para se tornar uma prioridade jurídica e de reputação para as empresas. Nesse cenário, a minuta da Lei Geral da Cibersegurança, apresentada pelo CNCiber em abril de 2026, se torna cada vez mais urgente. Embora o texto ainda precise passar pela aprovação do Congresso, ele já desenha o novo padrão de proteção para redes e sistemas no Brasil. A minuta, que prevê 180 dias para adequação após a aprovação da lei, não apenas organiza as regras de segurança cibernética em nível nacional, como também estabelece o Sistema Nacional de Cibersegurança e uma Autoridade Nacional para fiscalizar o setor, trazendo uma clareza regulatória que o mercado ainda não tinha. LGPD x Lei Geral da Cibersegurança Diferente da LGPD, que foca na privacidade e no tratamento de dados pessoais, a nova Lei Geral da Cibersegurança tem um escopo mais amplo, voltado à proteção de infraestruturas digitais e redes e na resiliência contra ataques como o ransomware. Sua empresa está preparada para lidar com um vazamento de dados? Enquanto a legislação publicada em 2018 regula como as empresas coletam, armazenam e compartilham informações de pessoas físicas, a Lei Geral de Cibersegurança olha para os ativos tecnológicos e a continuidade da operação, independentemente de haver dados pessoais envolvidos. Essa diferença cria um desafio para o compliance digital: o seu negócio pode estar em dia com a privacidade dos clientes e, ainda assim, estar em risco perante a nova lei se não contar com controles de segurança, ferramentas de monitoramento ou planos de ação para responder a invasões que paralisem os sistemas. Simplificando o comparativo: enquanto a LGPD protege o ouro (ou seja, os dados pessoais), a Lei Geral da Cibersegurança foca na resistência do cofre (a infraestrutura tecnológica). Não basta garantir que o dado esteja sob sigilo se a estrutura que o protege puder ser danificada. Por isso, as duas leis são complementares: enquanto uma cuida da informação, a outra garante que o sistema onde ela trafega permaneça seguro. 3 destaques da nova lei A proposta estabelece os pilares de como o governo pretende fiscalizar e punir quem não priorizar a segurança digital: A lei cria o Sistema Nacional de Cibersegurança (SNCiber), que seria coordenado pelo Gabinete de Segurança Institucional (GSI), e uma autoridade específica para ditar as regras e monitorar o mercado. Atualmente, a Anatel é a principal candidata para assumir o lado operacional da fiscalização O descumprimento das normas envolve penalidades que incluem: advertência com prazo para correção, multas que podem chegar a 2% do faturamento — limitadas a R$ 50 milhões por infração —, suspensão da distribuição de produtos ou serviços de cibersegurança e restrição ao acesso a financiamentos públicos O texto enquadra como serviços essenciais áreas como comunicações, serviços via satélite, data centers e nuvem. Estão obrigados a se adequar os operadores de infraestruturas críticas e provedores de serviços essenciais, além de entes públicos. O alcance se estende também aos fornecedores diretos e indiretos, ou seja, se o seu negócio faz parte da cadeia de suprimentos de um setor crítico, você também terá que seguir as diretrizes. Vale destacar ainda que a responsabilidade pela segurança não pode ser terceirizada: mesmo com parceiros externos envolvidos, o agente principal responde pela implementação das medidas Quem precisa se adequar agora e como agir A minuta prevê um prazo de 180 dias para adequação após a aprovação da lei, contados a partir da publicação oficial. É um período curto para mudanças estruturais, o que reforça a importância de iniciar o diagnóstico antes mesmo da sanção final pelo Congresso. A regra atinge qualquer operadora de infraestrutura crítica, provedora de serviços essenciais e a sua cadeia de suprimentos. Entenda por onde começar: Identifique de forma minuciosa os sistemas que sustentam o seu negócio e faça um inventário rigoroso de permissões para saber quem acessa cada base de dados e por qual motivo Designe um responsável por cibersegurança integrado à alta administração da sua empresa Implemente uma Equipe de Tratamento e Resposta a Incidentes (ETIRs), ou seja, um grupo dedicado à prevenção e à ação rápida diante de crises cibernéticas Estabeleça controles técnicos e operacionais que façam sentido para o porte e o nível de risco da sua empresa. Isso inclui manter planos de gestão de incidentes atualizados e protocolos para notificar autoridades e usuários afetados em caso de invasões relevantes Avalie seus fornecedores de tecnologia, incluindo os de ferramentas de CRM, automação, analytics e armazenamento para que eles estejam alinhados à lei, lembrando que a responsabilidade pela integridade da operação não termina na contratação do serviço Antecipe-se à nova regulamentação com a Ligga Telecom Estar em dia com a nova Lei Geral da Cibersegurança é o que garante que o seu negócio continue crescendo sem interrupções, mesmo em um cenário de ataques cibernéticos constantes. Na Ligga Telecom, entregamos a inteligência necessária para blindar os seus sistemas e garantir que a sua infraestrutura esteja pronta para as novas exigências nacionais. Conheça todas as nossas soluções corporativas e comece a se preparar para o novo marco legal da cibersegurança no Brasil.