Posteriormente, em 18 de dezembro de 2025, o Banco Central do Brasil (BCB) publicou duas resoluções com novas exigências que enrijecem a política de segurança cibernética nacional e pressionam o sistema financeiro com novas obrigações de governança, prevenção e respostas a incidentes.
Conforme o BCB, o prazo para as instituições se adequarem às novas exigências de segurança é até 1º de março de 2026. O normativo aponta mudanças nos requisitos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem.
Continue a leitura para ver, na prática, o que muda nos requisitos de cibersegurança.
O que muda na política de segurança cibernética?
O Banco Central e o Conselho Monetário Nacional (CMN) atualizaram as regras da política de segurança cibernética para instituições reguladas do sistema financeiro.
Entre as novas exigências, destacam-se os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, que passam a ser tratados como infraestrutura crítica.
Segundo as resoluções BCB nº 538 e CMN nº 5.274 detalham a adoção de mecanismos específicos de proteção, incluindo controles de autenticação, criptografia, rastreabilidade, gestão de vulnerabilidades, testes de intrusão periódicos e ações de monitoramento.
Além disso, devem ser realizados testes de forma independente e gerar documentação formal, incluindo planos de ação para correção das vulnerabilidades identificadas. Os resultados, assim como incidentes cibernéticos relevantes e testes de continuidade de negócios, passam a integrar os relatórios periódicos à alta administração.
Ambientes sensíveis, como PIX, STR e RSFN, passam a exigir isolamento físico e lógico, monitoramento contínuo e avaliações periódicas de vulnerabilidades.
Da mesma forma, os controles também se aplicam a sistemas de terceiros executados com recursos computacionais da própria instituição, reforçando a responsabilidade sobre fornecedores e serviços de nuvem.
Nesse sentido, o novo modelo estabelece 14 diretrizes obrigatórias e detalha exigências que antes ficavam a critério de cada instituição. Na prática, as resoluções passam a exigir:
- Autenticação
- Mecanismos de criptografia
- Prevenção e detecção de intrusão
- Prevenção de vazamento de informações
- Proteção contra softwares maliciosos
- Rastreabilidade
- Gestão de cópias de segurança (backup)
- Avaliação e correção de vulnerabilidades
- Controles de acesso
- Hardening de ativos de tecnologia
- Proteção de rede
- Gestão de certificados digitais
- Requisitos de segurança para integração via APIs
- Ações de inteligência no ambiente cibernético
Portanto, isso significa sair de uma lógica reativa — baseada em respostas pontuais a incidentes — para um modelo proativo e orientado por risco, no qual não basta “ter política”: é preciso provar a execução.
Qual o impacto da política de segurança cibernética para as instituições financeiras?
Primeiramente, as novas exigências regulatórias não demandam apenas “políticas”, mas sim uma capacidade operacional comprovável, o que aumenta a pressão regulatória por padrões mais elevados de segurança para instituições reguladas.
Ainda mais com a digitalização acelerada, o crescimento exponencial do PIX, os volumes de transação que passam pela Rede do Sistema Financeiro Nacional e o aumento da sofisticação das ameaças, torna-se insustentável um modelo regulatório baseado em diretrizes vagas.
Esse movimento tem impacto direto na maturidade digital do país. Contudo, para as empresas, isso pode significar redução de riscos operacionais e reputacionais.
Além de maior confiança de clientes, parceiros e investidores, dada a ampliação da previsibilidade, menor superfície de ataque e maior capacidade de sustentar a inovação digital com segurança.
Conforme destaca Frederico Tostes, Country Manager da Fortinet Brasil, um dos pontos centrais da Resolução CMN nº 5.274 é a integração entre tecnologia, processos e pessoas.
Nesse caso, as mudanças ocorrem em meio a um cenário de crescente preocupação com a cibersegurança, especialmente após incidentes recentes contra instituições financeiras e a identificação de provedores terceirizados como um elo vulnerável na cadeia tecnológica.
O que as instituições financeiras precisam fazer agora?
Certamente, as novas resoluções consolidam uma mudança clara na postura regulatória: não basta declarar aderência, é necessário demonstrar capacidade operacional contínua. Nesse contexto, destacam-se seis ações principais:
Transformar política em execução comprovável
Revisar a política de segurança cibernética e vinculá-la a controles mínimos efetivamente executados, com responsáveis, periodicidade e evidências auditáveis contínuas. A expectativa regulatória deixa de ser declaratória e passa a ser operacional.
Estruturar o pentest anual como processo regulatório
Planejar testes de intrusão independentes com escopo adequado, garantir relatório técnico e executivo, formalizar plano de ação e manter documentação e evidências de correção conforme práticas observadas em análises e fiscalizações.
Fortalecer rastreabilidade e trilhas de auditoria
Assegurar que logs relevantes sejam coletados, retidos e protegidos contra alteração ou exclusão, permitindo reconstrução de eventos, investigação de incidentes e atendimento a demandas de fiscalização.
Elevar o nível de controle sobre identidades e acessos
Reforçar autenticação forte, especialmente em ambientes críticos e na comunicação via RSFN, e implementar controles rigorosos para acessos privilegiados, com segregação de funções e rastreabilidade das ações.
Formalizar a gestão de vulnerabilidades e correções
Adotar processos periódicos de identificação, priorização e tratamento de vulnerabilidades em ativos e sistemas, com SLAs definidos, validação pós-correção e histórico documentado.
Reforçar proteção de dados e continuidade operacional
Fortalecer a governança de cópias de segurança — incluindo segregação, controle de acesso e testes regulares de restauração — além de revisar controles relacionados à gestão de chaves e certificados, reduzindo riscos de exposição ou uso indevido por terceiros.
Se você chegou até aqui e faz parte do sistema financeiro, e precisa adequar-se as novas medidas? Ainda dá tempo!
Confira nossas soluções já alinhadas às melhores práticas internacionais para acelerar sua adequação regulatória. Converse com nossos especialistas!
