GSI é autorizado a impor regras de segurança da informação sem ouvir outras pastas

O Presidente Jair Bolsonaro publicou nesta quarta, 03 de março de 2021, um novo Decreto (10.641) com alterações na Política Nacional de Segurança da Informação (Decreto 9.637/18) que, em especial, garantem independência ao Gabinete de Segurança Institucional da Presidência da República competência isolada para expedir normas sobre o tema. 

Em termos práticos, caiu o trecho do Decreto que exigia atuação conjunta com o Comitê Gestor da Segurança da Informação na edição de normas, estratégias e requisitos de segurança em produtos ou na articulação com outros agentes de resposta a incidentes cibernéticos. 

Esse Comitê reúne duas dezenas de ministérios, além da Controladoria Geral da União, Advocacia Geral da União e Banco Central. Ele foi mantido, mas esvaziada a atribuição específica de “assessorar o Gabinete de Segurança Institucional da Presidência da República nas atividades relacionadas à segurança da informação”, uma vez que a mesma Política dispensa o GSI de ouvir o Comitê. 

Além de mudanças de redação – como a separação dos ministérios das Comunicações e de Ciência e Tecnologia no Comitê – o Decreto traz mudanças nos comitês internos de segurança da informação de cada órgão público, ao dispensar que seus membros tenham pelo menos comissão equivalente a DAS 5. E, ainda, inserida a previsão de que “o gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto”.

Finalmente, o novo Decreto altera a redação da PNSI, quando prevê que “os órgãos e as entidades da administração pública federal direta, autárquica e fundacional, nos atos administrativos que envolvam ativos de tecnologia da informação, sem prejuízo dos demais dispositivos legais, incorporarão as normas de segurança da informação estabelecidas pelo Gabinete de Segurança Institucional da Presidência da República”.

A mudança cortou o trecho seguinte da redação anterior, que dizia “e os normativos de gestão de tecnologia da informação e comunicação e de segurança da informação do Ministério do Planejamento, Desenvolvimento e Gestão”. Essa pasta não existe mais, mas foi incorporada pelo Ministério da Economia.