Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 13/06/2022 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022061300038
38
Nº 111, segunda-feira, 13 de junho de 2022
ISSN 1677-7042
Seção 1
a) mau funcionamento ou indisponibilidade que afete de forma significativa a
operação normal do sistema;
b) operação do sistema em desacordo com o disposto na regulação e nas
regras editadas pela entidade administradora de mercado organizado; e
c) acesso não autorizado;
V - diretrizes para a avaliação da relevância dos incidentes e ações de
comunicação interna e externa necessárias;
VI - estabelecimento de requisitos mínimos de qualificação e experiência para
os funcionários e prepostos relevantes que operam ou gerenciam sistemas críticos; e
VII - implementação, para os sistemas críticos, de indicadores e seus
respectivos limites de tolerância que permitam a avaliação de seu desempenho
operacional e riscos envolvidos.
§ 2º A entidade administradora de mercado organizado deve manter sistema
de armazenamento e recuperação de dados referentes às ofertas e operações realizadas
que permitam sua consulta ou reconstituição.
§ 3º A entidade administradora de mercado organizado deve:
I - encaminhar anualmente ao conselho de administração e à SMI relatório
sobre o resultado dos testes dos sistemas críticos, indicando, quanto às deficiências
identificadas, as ações planejadas para saná-las; e
II - manter à disposição do conselho de administração e da SMI registros
documentais que contenham:
a) os critérios para seleção dos sistemas críticos testados e processos críticos
de negócios a eles vinculados;
b) indicação das áreas da entidade administradora de mercado organizado
envolvidas
nos testes,
indicando
se houve
participação
da
auditoria interna, de
profissionais externos e de participantes do mercado organizado, informando, no último
caso, o critério de seleção aplicado; e
c) descrição dos principais testes aplicados e dos parâmetros e critérios
estabelecidos para verificação de anormalidades e falhas.
§ 4º A CVM pode determinar à entidade administradora de mercado
organizado a realização de auditoria nos sistemas críticos, se houver indício de que as
políticas e procedimentos adotados pela entidade administradora de mercado organizado
não estão atendendo às suas finalidades.
Seção IV - Segurança da Informação
Art. 108. A entidade administradora de mercado organizado deve desenvolver
e implementar regras, procedimentos e controles internos adequados visando garantir a
confidencialidade, a integridade e a disponibilidade dos dados e informações sensíveis,
contemplando:
I - as diretrizes para a identificação e classificação dos dados e informações
sensíveis;
II - as diretrizes para a avaliação da relevância dos incidentes de segurança da
informação;
III - a proteção dos dados e das informações sensíveis contra acesso não
autorizado, vazamento, adulteração e destruição não autorizada; e
IV - os procedimentos adotados para garantir o registro da ocorrência de
incidentes relevantes, suas causas e impactos.
Parágrafo único. A entidade administradora de mercado organizado deve
considerar como sensíveis, no mínimo, os dados ou informações que permitem a
identificação de clientes de seus participantes e de suas operações.
Art. 109. A entidade administradora de mercado organizado deve manter
programa de treinamento periódico, destinado a divulgar as regras, procedimentos e
controles internos mencionados no art. 108 aos administradores, funcionários e
prepostos que tenham acesso a dados e informações sensíveis.
Seção V - Programa de Segurança Cibernética
Art. 110. Os procedimentos previstos nos arts. 101 e 108 devem incluir o
desenvolvimento e implantação de um programa de segurança cibernética, abrangendo,
no mínimo:
I - identificação e avaliação dos riscos cibernéticos internos e externos a que
a entidade administradora de mercado organizado esteja exposta;
II - identificação das funções críticas de negócios e dos ativos de informações
de suporte ao negócio que devem ser protegidos, em ordem de prioridade;
III - medidas que devem ser adotadas para reduzir a vulnerabilidade da
entidade administradora de mercado organizado contra ataques cibernéticos, incluindo a
implementação de processos e procedimentos apropriados para:
a)
prevenir, limitar
e
conter o
impacto
de
um possível
incidente
cibernético;
b) detectar a ocorrência de anomalias e eventos indicando um potencial
incidente;
c) conter, retomar e recuperar dados e sistemas em caso de ataques
cibernéticos bem-sucedidos; e
d) definir as ações de comunicação interna e externa a serem adotadas;
IV - periodicidade com que o programa de segurança cibernética deve ser
revisto;
V - periodicidade com que os administradores, funcionários e prepostos serão
treinados em relação à segurança cibernética; e
VI - formas de participação em iniciativas que objetivem o compartilhamento
de informações sobre ameaças e vulnerabilidades relevantes.
Parágrafo único. A revisão de que trata o inciso IV deve incluir:
I -a realização de testes para avaliar a vulnerabilidade da entidade
administradora de mercado organizado contra ataques cibernéticos; e
II - a avaliação da aderência do programa às boas práticas do setor, tendo
como referência diretrizes e recomendações internacionalmente aceitas.
Seção VI - Comunicação de Incidentes Relevantes
Art. 111. A entidade administradora de mercado organizado deve reportar ao
conselho de administração e à SMI tempestivamente:
I - qualquer evento crítico que tenha provocado o acionamento de plano de
continuidade de negócios; e
II - qualquer incidente crítico de segurança cibernética ou envolvendo sistema
crítico que tenha impacto significativo sobre a operação normal do mercado organizado
ou sobre os participantes do mercado organizado ou seus clientes.
Art. 112. A comunicação mencionada no art. 111 deve incluir:
I - causas do acionamento do plano de continuidade de negócios, indicando
os processos críticos afetados ou, na hipótese do inciso II do art. 111, descrição do
incidente, com indicação da informação sensível ou do sistema crítico afetado;
II - avaliação sobre os tipos e o número de participantes potencialmente
afetados, se houver;
III - medidas já adotadas pela entidade ou as que pretende adotar;
IV - tempo consumido na solução do evento ou prazo esperado para que isso
ocorra; e
V - qualquer outra informação considerada importante pela entidade.
Parágrafo único. A entidade administradora de mercado organizado deve
atualizar as informações prestadas à SMI até a solução do incidente, devendo a CVM
tratar as informações recebidas como confidenciais.
Art. 113. A entidade administradora de mercado organizado deve elaborar e
manter à disposição da SMI relatório final contendo no mínimo:
I - descrição do incidente e das medidas tomadas, informando o impacto
gerado pelo incidente sobre a operação dos mercados administrados e sobre os
participantes ou seus clientes;
II - cópia das comunicações realizadas, se houver;
III - cópia dos relatórios internos de investigação produzidos pela entidade ou
por terceiros sobre a análise do incidente e as conclusões dos exames efetuados; e
IV - aperfeiçoamentos de controles identificados com o objetivo de prevenir,
monitorar e detectar a ocorrência de incidentes de segurança cibernética, se for o
caso.
Seção VII - Contratação de Serviços Relevantes Prestados por Terceiros
Art. 114. A entidade administradora de mercado organizado pode contratar
terceiros para desempenhar tarefas instrumentais ou acessórias às atividades reguladas
por esta Resolução.
§ 1º A contratação de serviços relevantes prestados por terceiros deve:
I - ser precedida por processo de seleção adequado visando a que as
atividades por eles desempenhadas cumpram o disposto nesta Resolução; e
II - ser adequadamente formalizada por meio de contrato cujas cláusulas
considerem a relevância da atividade contratada, bem como estabeleçam procedimentos
a serem adotados previamente à sua extinção.
§ 2º Uma vez que tenha contratado terceiros, a entidade administradora de
mercado organizado deve:
I - adotar regras, procedimentos e controles internos adequados para garantir
a segurança e mitigar riscos e conflitos de interesses decorrentes da contratação de
terceiros;
II - monitorar permanentemente o desempenho dos terceiros contratados;
III - assegurar-se de que o terceiro contratado adote regras, procedimentos e
controles internos destinados ao tratamento adequado das informações da entidade
contratante e de seus participantes;
IV - assegurar-se de que os contratos referentes à prestação de serviços
terceirizados não limitem e nem vedem o acesso da CVM a documentos, dados e
informações processadas ou armazenadas pelos prestadores de serviços;
V - assegurar-se de que o terceiro contratado para a prestação de serviços
relevantes mantenha planos que assegurem a continuidade dos serviços prestados e a
recuperação das atividades em caso de desastre; e
VI - assegurar-se de que o terceiro contratado, quando responsável pela
execução de tarefas de recuperação de desastre, atue em conformidade com o plano de
continuidade de
negócios estabelecido
pela entidade
administradora de
mercado
organizado.
§ 3º A contratação de terceiros não afasta a responsabilidade da entidade
administradora
de
mercado
organizado 
pelo
cumprimento
do
disposto
nesta
Resolução.
Seção VIII - Normas Gerais
Art. 115. São considerados descumprimentos ao disposto neste Capítulo não
apenas a inexistência ou insuficiência das políticas, procedimentos e controles referidos,
como também a sua não implementação ou a implementação inadequada para os fins
previstos nesta Resolução.
§ 1º Na avaliação dos assuntos tratados neste capítulo, a CVM utilizará as
recomendações e princípios internacionalmente aceitos, especialmente os formulados
pelo CPMI e pela OICV-IOSCO, bem como pelo COSO (Committee of Sponsoring
Organization of the Treadway Commission).
§ 2º A SMI pode atualizar e modificar a orientação contida no § 1º, mediante
prévia comunicação às entidades administradoras de mercado organizado.
CAPÍTULO VIII - MERCADO DE BOLSA
Seção I - Características
Art. 116. Mercado de bolsa é aquele que:
I - funciona regularmente como sistema centralizado e multilateral de
negociação e que possibilita o encontro e a interação de ofertas de compra e de venda
de valores mobiliários; ou
II - permite a execução de negócios, sujeitos ou não à interferência de outros
participantes, tendo como contraparte formador de mercado que assuma a obrigação de
colocar ofertas firmes de compra e de venda.
Parágrafo único. As operações realizadas no mercado de bolsa devem
necessariamente ser compensadas e liquidadas por entidade operadora de infraestrutura
do mercado financeiro que assuma a posição de contraparte central.
Seção II - Telas de Acesso à Negociação em Bolsas Estrangeiras
Art. 117. A bolsa estrangeira que desejar instalar no Brasil, em instituições
integrantes do sistema de distribuição, telas de acesso aos seus sistemas de negociação
deve obter prévia autorização da CVM.
Art. 118. A autorização para a instalação de telas de acesso a bolsas
estrangeiras deve observar as condições, prazos e procedimentos previstos no Capítulo XI
desta Resolução.
Seção III - Regras de Negociação
Art. 119. O ambiente ou sistema de negociação da bolsa deve possuir
características, procedimentos e regras de negociação previamente estabelecidos e
divulgados, que permitam, permanentemente:
I - a regular, adequada e eficiente formação de preços;
II - a pronta realização, visibilidade e registro das operações realizadas; e
III - a disseminação pública das ofertas e negócios envolvendo valores
mobiliários negociados, com rapidez, amplitude e detalhes suficientes à boa informação
do mercado e formação de preços.
§ 1º Quando se tratar de sistema de negociação centralizado e multilateral,
a formação de preços deve se dar por meio da interação de ofertas, em que seja dada
precedência sempre à oferta que represente o melhor preço, respeitada a ordem
cronológica de entrada das ofertas no ambiente ou sistema de negociação, ressalvados
procedimentos específicos de negociação previstos em regulamento aprovado pela
CVM.
§ 2º A negociação, em mercado organizado de bolsa, de recibos de subscrição
de ações emitidos por companhia aberta quando houver distribuição simultânea no Brasil
e no exterior deve observar o disposto no Anexo Normativo III a esta Resolução.
Art. 120. As regras de negociação da bolsa devem:
I - evitar ou coibir modalidades de fraude ou manipulação destinadas a criar
condições artificiais de demanda, oferta ou preço dos valores mobiliários negociados em
seus ambientes ou sistemas;
II - assegurar igualdade de tratamento a seus participantes, observadas as
distinções entre categorias que venham a ser estipuladas em seu estatuto social e
regulamento;
III - evitar ou coibir práticas não equitativas em seus ambientes; e
IV - prever a adoção de procedimentos especiais de negociação de valores
mobiliários com o objetivo de oferecer condições adequadas à participação equitativa
dos investidores nas operações realizadas, bem como adequado processo de formação
de preço no mercado.
Art. 121. Os procedimentos especiais de negociação mencionados no inciso IV
do art. 120 devem ser aplicáveis a operações que envolvam:
I
-
mudanças significativas
de
padrões
de
negociação em
termos
de
quantidade ou preço;
II - solicitações expressas do Poder Judiciário ou de representantes de
sociedades em liquidação judicial ou extrajudicial;
III - venda de ações de acionistas em mora, por solicitação da companhia;
e
IV - qualquer negociação atípica
ou cujas características não estejam
contempladas nas regras de negociação da entidade administradora de mercado
organizado.
§ 1º Para analisar o enquadramento das operações na hipótese do inciso I do
caput, a entidade administradora de mercado organizado de bolsa deve considerar os
negócios
consecutivos de
um mesmo
investidor,
ou de
investidores que
atuem
representando
um mesmo
interesse,
inclusive por
intermédio
de
mais de
um
participante.
§ 2º As referências de quantidades negociadas e os preços utilizados para fins
de aplicação de procedimentos especiais de negociação devem considerar aqueles
observados no mercado de bolsa em que o valor mobiliário objeto do procedimento
especial apresente maior liquidez.
Art. 122. Para efeito do disposto no art. 121, as regras de negociação das
entidades administradoras de mercado organizado devem tratar das operações realizadas
por acionistas controladores.
Art. 123. Independentemente dos procedimentos especiais previstos em suas
regras de negociação, a entidade administradora de mercado organizado de bolsa pode,
de forma excepcional e justificada, determinar que uma operação seja submetida a
procedimento especial de forma a assegurar o cumprimento dos objetivos estabelecidos
no art. 119.
Seção IV - Mecanismo de Ressarcimento de Prejuízos

Fechar