Grupo com governo e operadoras vai medir a "cibermaturidade"

O Comitê Nacional de Cibersegurança (CNCiber) instituiu dois novos grupos de trabalho temáticos voltados à implementação da Política Nacional de Cibersegurança. As medidas foram publicadas nesta segunda-feira, 22, no Diário Oficial da União, por meio das Resoluções nº 19 e nº 20, ambas de 19 de junho. Os colegiados terão prazo de até seis meses para apresentar seus resultados.

Um dos grupos será responsável pela implementação piloto do Modelo Brasileiro de Avaliação de Cibermaturidade (CIMBRA), enquanto o outro desenvolverá uma proposta de taxonomia, parâmetros e recomendações para utilização de indicadores relativos à incidência e aos impactos de ciberincidentes.

As iniciativas reúnem representantes do governo, do setor regulado, da academia e da sociedade civil. O grupo responsável pela implementação piloto do CIMBRA será coordenado pelo Gabinete de Segurança Institucional (GSI) da Presidência da República.

Além do GSI, participam do colegiado representantes do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), Ministério das Comunicações, Ministério da Ciência, Tecnologia e Inovação (MCTI), Ministério do Desenvolvimento, Indústria, Comércio e Serviços (MDIC), Banco Central, Anatel, CGI.br, CPqD, Conexis/Brasscom, Assepro, Fundação Getulio Vargas (FGV), Instituto Peck de Cidadania Digital (IPCD) e RNP.

O Modelo Brasileiro de Avaliação de Cibermaturidade vai avaliar o nível de maturidade em segurança cibernética de organizações participantes.

Indicadores de ciberincidentes

Já o segundo grupo de trabalho terá como missão elaborar uma proposta de taxonomia e definir parâmetros para utilização de indicadores relacionados à incidência e aos impactos de ciberincidentes pelo CNCiber.

Esse colegiado será coordenado pela Federação das Indústrias do Estado de São Paulo (Fiesp), em conjunto com o Gabinete de Segurança Institucional.

Também integram o grupo representantes da Anatel, MGI, MCTI, MDIC, CGI.br, RNP, Conexis/Brasscom, Assepro, Fundação Getulio Vargas, Instituto Peck de Cidadania Digital e Instituto dos Advogados de São Paulo (IASP).

O objetivo é desenvolver critérios que permitam padronizar a classificação e a utilização de indicadores sobre incidentes cibernéticos, criando uma referência comum para as atividades do Comitê Nacional de Cibersegurança.

As duas resoluções estabelecem prazo de até seis meses para funcionamento dos grupos de trabalho. Os órgãos e entidades que desejarem indicar representantes diferentes daqueles que já integram o CNCiber terão cinco dias úteis para encaminhar os nomes. Após esse período, caberá ao presidente do Comitê Nacional de Cibersegurança designar formalmente os integrantes de cada grupo.

As medidas representam mais uma etapa da estruturação dos trabalhos do CNCiber, colegiado criado pelo Decreto nº 11.856/2023 para apoiar a formulação e a implementação da Política Nacional de Cibersegurança.