O anteprojeto, articulado pelo Gabinete de Segurança Institucional (GSI) e debatido no Comitê Nacional de Cibersegurança (CNCiber), está em avaliação pelo governo federal e depende de tramitação no Congresso. A ideia é criar uma autoridade de cibersegurança com poder normativo, fiscalizatório e sancionador que vá além do âmbito do governo federal.
Conforme relatos, o material apresentado à Câmara de Relações Exteriores e Defesa Nacional (CREDEN) prevê quatro cenários, indo desde uma secretaria dentro de um ministério até uma agência reguladora independente. Entre as opções, destaca-se a possibilidade de ampliar a Anatel para cerca de 250 quadros existentes, convertendo-os em Especialistas em Cibersegurança, com custo relativamente menor do que a criação de uma nova autarquia.
O desenho pró-Anatel baseia-se em capilaridade regional, experiência com infraestrutura crítica e orçamento mais protegido do que estruturas criadas do zero. A função seria mais de coordenação entre reguladores setoriais do que de regulação direta de todos os setores.
Levantamentos indicam resistência de alguns ministérios. MJSP argumenta que poucos países combinam telecomunicações e cibersegurança nesse eixo institucional, enquanto MGI teme desvio de responsabilidades entre a futura autoridade e o GSI. O tema já chega ao Legislativo e há sinais de contrariedade de senadores em relação à governança pela Anatel, complicando o caminho até a aprovação.
Para CISOs e fornecedores, a confirmação da Anatel pode significar maior rigor sobre cadeia de suprimentos e infraestrutura crítica, com auditorias mais frequentes, exigência de evidências formais e sanções. Organizações devem reforçar governança, revisar contratos com fornecedores críticos (tech, telecom, cloud e MSSPs) e alinhar-se aos padrões emergentes.
O roteiro prevê etapas: avaliação na CREDEN, decisão no gabinete do governo e envio ao Congresso, com possibilidade de unificação entre textos Executivo e Senado. Enquanto isso, recomenda-se que as empresas comecem pelo básico: inventário de ativos críticos, mapeamento de dependências externas e planos de resposta a incidentes com evidências de controle prontos para auditoria.
