O governo federal reformulou o Programa de Privacidade e Segurança da Informação (PPSI) dos órgãos públicos. A Portaria SGD/MGI nº 9.511, publicada nesta sexta, 31/10, transforma o programa em uma política de governança e resiliência digital de Estado, amplia o papel da alta administração, reforçando o controle sobre informações sensíveis e fortalecendo a estrutura de resposta a incidentes cibernéticos.
A nova norma, que entra em vigor em 1º de janeiro de 2026, vale para todos os órgãos e entidades da administração pública federal que integram o Sistema de Administração dos Recursos de Tecnologia da Informação (SISP).
Uma das mudanças mais significativas é a inclusão da alta administração na estrutura de governança do PPSI. Até então, a responsabilidade pela execução do programa recaía sobre gestores técnicos — de tecnologia, segurança da informação e proteção de dados. Com a nova portaria, dirigentes e secretários executivos passam a responder formalmente pela gestão de riscos, alocação de recursos e decisões estratégicas sobre privacidade e segurança da informação.
Como resultado, a segurança digital deixa de ser tratada como tema restrito às áreas de TI e passa a integrar o núcleo decisório das instituições. Segundo o texto, cabe à alta administração “viabilizar a implementação da estrutura de governança do PPSI e adotar decisões sobre privacidade e segurança da informação em nível de relevância e prioridade adequadas”.
Outra inovação é a criação da categoria de “informações críticas sobre privacidade e segurança da informação”, que abrange dados sobre infraestrutura, configurações técnicas e arquiteturas de rede dos órgãos públicos.
Essas informações passam a ser classificadas como imprescindíveis à segurança da sociedade e do Estado, podendo ser acessadas apenas por profissionais autorizados. O objetivo é reduzir vulnerabilidades internas, dificultando vazamentos, espionagem e uso indevido de informações sensíveis.
O novo texto também redesenha o papel do Centro Integrado de Segurança Cibernética do Governo Digital (CISC gov.br), criado em 2023. O órgão deixa de ser apenas uma unidade de apoio técnico e passa a funcionar como centro setorial de coordenação da defesa cibernética da administração pública federal.
Entre as novas atribuições, o CISC poderá realizar testes de intrusão e análises de vulnerabilidades em sistemas públicos; emitir determinações e prazos para correção de falhas críticas; monitorar padrões maliciosos no tráfego de rede; e atuar como equipe principal de resposta a incidentes na Plataforma Gov.br e em serviços sob responsabilidade da Secretaria de Governo Digital.
A portaria também obriga todos os órgãos do SISP a notificar incidentes cibernéticos ao CISC, o que deve ampliar a capacidade de detecção precoce de ataques e de coordenação de respostas em nível federal.
O centro se articula com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), mas assume um papel mais abrangente de vigilância e inteligência, em linha com o aumento da superfície digital do governo e da dependência de serviços em nuvem.
O texto também cria o Centro de Excelência em Privacidade e Segurança da Informação (CEPS gov.br), voltado à capacitação de servidores e à promoção de uma cultura de proteção de dados e uso ético das tecnologias.
