DOU 16/09/2022 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152022091600010
10
Nº 177, sexta-feira, 16 de setembro de 2022
ISSN 1677-7042
Seção 1
III - Agência Brasileira de Inteligência:
a) cooperar na proteção de Infraestruturas Críticas nacionais; e
b) monitorar e realizar o enfrentamento eficaz de ações adversas contra
interesses nacionais, conforme estabelecido pela Política Nacional de Inteligência e pela
Estratégia Nacional de Inteligência; e
IV - demais órgãos e entidades do setor público federal:
a) participar dos trabalhos desenvolvidos nas três esferas de governo; e
b) cooperar no planejamento e execução da atividade de Segurança de
Infraestruturas Críticas.
Ademais, será buscada a colaboração dos Governos estaduais, distrital e
municipais no que diz respeito à cooperação com os órgãos da administração pública
federal no planejamento e na execução da atividade de Segurança de Infraestruturas
Críticas, no desenvolvimento e implementação de programas voltados para a Segurança
de Infraestruturas Críticas nas respectivas áreas de atuação, além da elaboração de
planos correspondentes.
Incentivará, também, o envolvimento de entidades do setor privado em
trabalhos desenvolvidos nas três esferas de governo, e cooperará no planejamento e na
execução da atividade de Segurança de Infraestruturas Críticas.
O meio universitário e os centros de pesquisa poderão contribuir para o
aprimoramento da Segurança de Infraestruturas Críticas do País, especialmente por meio de
iniciativas que priorizem a pesquisa e o desenvolvimento de novos métodos de controle, da
avaliação do nível de segurança alcançado em cada setor, da realização de análises
independentes que permitam subsidiar a atualização dos planejamentos governamentais e da
implementação de programas de capacitação de recursos humanos.
As federações, confederações, conselhos, associações, entidades congêneres e os
cidadãos poderão apoiar a atividade de Segurança de Infraestruturas Críticas, apresentar sugestões
e recomendações e disponibilizar às três esferas de governo a sua experiência no tema.
Ressalta-se que algumas Infraestruturas Críticas, como oleodutos, gasodutos e cabos
submarinos, extrapolam as fronteiras dos países. Esse fato reforça a importância da cooperação
internacional para a gestão de segurança, que deve contemplar o estabelecimento de parcerias
permanentes e dinâmicas entre proprietários e operadores de Infraestruturas Críticas e
Governos dos países envolvidos.
5. PLANOS SETORIAIS
Observadas as diretrizes constantes da Estratégia Nacional de Segurança de
Infraestruturas Críticas, os planos setoriais serão elaborados e desenvolvidos sob coordenação
dos Ministérios diretamente relacionados com as áreas prioritárias e respectivos setores, em
colaboração com órgãos e entidades públicos e privados, incluídos os parceiros estaduais,
distritais e municipais detentores de conhecimento na proteção de Infraestruturas Críticas.
Tanto a implementação do Plansic quanto a dos planos setoriais contarão
com o apoio do Ministério da Defesa, na forma estabelecida pela Estratégia Nacional
de Defesa, que relaciona, entre as ações estratégicas que visam a contribuir para o
incremento
do
nível
de
segurança
nacional, as
medidas
para
a
Segurança
de
Infraestruturas Críticas.
Os planos setoriais serão documentos complementares ao Plansic e tratarão
especificamente das ações de Segurança de Infraestruturas Críticas relativas a cada
setor, de acordo com suas especificidades, e orientarão sobre os níveis desejáveis de
proteção, sobre as atividades de segurança a serem executadas e sobre a priorização
na alocação de recursos. Os planos setoriais deverão, no mínimo:
I - estabelecer objetivos e metas para que sejam atingidos níveis de
proteção adequados para o setor;
II - definir os parceiros do setor, as autoridades envolvidas, a legislação que
ampara o plano setorial e as atribuições e responsabilidades dos diversos atores;
III - estabelecer ou relacionar procedimentos para a interação setorial,
compartilhamento de informações, coordenação de esforços e parcerias;
IV - identificar a abordagem ou metodologia setorial específica utilizada pelo
Ministério, em coordenação com o Gabinete de Segurança Institucional da Presidência da
República e outros parceiros, para conduzir as atividades de Segurança de Infraestruturas Críticas;
V - estabelecer a criação, por parte das agências reguladoras, de planos
específicos de coordenação e cooperação nas medidas relacionadas às Infraestruturas Críticas,
incluída a resposta a incidentes;
VI - prever a capacitação de servidores em gestão de riscos, de crises e de
continuidade de negócios, de gestão e de serviços; e
VII - estar alinhados com o disposto na Estratégia Nacional de Segurança
Cibernética, no Decreto nº 10.748, de 16 de julho de 2021, e nas legislações
correlatas.
6. PLANOS ESTADUAIS, DO DISTRITO FEDERAL E MUNICIPAIS
Será incentivada a elaboração de estratégias e planos de Segurança de
Infraestruturas Críticas pelos Governos estaduais, distrital e municipais, os quais
poderão abordar a proteção das Infraestruturas Críticas nas respectivas áreas de
atuação, com ênfase na conjugação dos esforços desenvolvidos por órgãos e entidades
regionais dos setores público e privado. A implementação será feita de forma
coordenada e integrada com a ação do Governo federal, sobretudo para facilitar o
gerenciamento de riscos no âmbito do Plansic.
Orienta-se que planos estaduais, distrital e municipais incluam ações que são
básicas da atividade de Segurança de Infraestruturas Críticas, como:
I - estabelecer metas e objetivos;
II - identificar instalações físicas, serviços, bens, sistemas e redes críticos;
III - avaliar riscos;
IV - estabelecer prioridades;
V - implementar programas de segurança e estratégias de resiliência;
VI - mensurar a eficácia dos esforços de gerenciamento de riscos; e
VII - compartilhar informações entre os parceiros dos setores público e privado.
A atuação integrada das três esferas de governo é essencial para a implementação
do Plansic e dos planos setoriais e contribuirá decisivamente para a segurança das
Infraestruturas Críticas do País. É importante que os Estados, o Distrito Federal e os Municípios
elaborem seus planos de Segurança de Infraestruturas Críticas de forma a adotar estrutura
similar à do Plansic, com diretrizes gerais e planos específicos correspondentes às áreas de
energia, transportes, comunicações, águas, finanças e biossegurança e bioproteção.
7. OUTROS PLANOS OU PROGRAMAS RELACIONADOS À SEGURANÇA DE
INFRAESTRUTURAS CRÍTICAS
Os proprietários e operadores de Infraestruturas Críticas do setor privado,
por iniciativa própria ou em decorrência de regulamentações, desenvolvem e mantêm
planos de gerenciamento de risco empresarial que incluem a proteção regular das
instalações, a continuidade de negócios e planos emergenciais de gerenciamento. As
ações levadas a efeito no âmbito dos negócios são relevantes para a efetiva
implementação do Plansic.
Os parceiros do setor privado são convidados a participar do esforço
conjunto do Estado e da sociedade, o que contribui para tornar seguras as
Infraestruturas Críticas do País. A revisão de planos e programas buscará o alinhamento
com o trabalho de Segurança de Infraestruturas Críticas desenvolvido pelos parceiros
governamentais de todas as três esferas de governo.
8. GERENCIAMENTO DA SEGURANÇA DAS INFRAESTRUTURAS CRÍTICAS DO PAÍS
O monitoramento sobre o funcionamento regular das Infraestruturas Críticas,
os
relatórios expedidos
pelo Sistema
Integrado
de Dados
de Segurança
de
Infraestruturas Críticas e o acompanhamento sistêmico de atos e fatos da vida nacional
são instrumentos que constituem o elo entre as operações regulares de gerenciamento
de riscos da Segurança de Infraestruturas Críticas e as atividades de gerenciamento de
crises ou de incidentes. A análise pormenorizada do ambiente de ameaça, em face das
ações de proteção estabelecidas nos planejamentos de Segurança de Infraestruturas
Críticas, pode fornecer indicadores que recomendem a transição de um processo
regular de segurança para um processo de gerenciamento de crise.
Os processos de integração e transição entre as atividades de Segurança de
Infraestruturas Críticas e o gerenciamento de crises requererão, entre outras, as
seguintes ações dos órgãos e entidades que atuam na Segurança de Infraestruturas
Críticas:
I - acompanhar e avaliar continuamente a situação das Infraestruturas Críticas;
II - implementar, quando for necessário, medidas de proteção;
III - intercambiar informações que auxiliem no gerenciamento de crises;
IV - manter canais de comunicação permanentes com os parceiros; e
V - expedir alertas oportunos.
Independentemente do grau da ameaça, propõe-se que os responsáveis pelas
Infraestruturas Críticas se mantenham vigilantes, preparados e prontos para deter, eliminar
ou reduzir riscos que se materializem. Para tanto, são necessárias análises do grau de ameaça
em intervalos regulares, a fim de verificar a necessidade de ajustes na proteção. O
desenvolvimento das medidas de segurança e de planos de contingência e continuidade de
negócios é de responsabilidade dos proprietários e operadores das Infraestruturas Críticas.
O monitoramento constante das ameaças, por meio de ações da Inteligência
de Estado, pode indicar eventuais necessidades de ajustes nos sistemas de proteção
das Infraestruturas Críticas nacionais. Para tanto, o Gabinete de Segurança Institucional
da Presidência
da República
possui em
sua estrutura
a Agência
Brasileira de
Inteligência, criada pela Lei nº 9.883, de 7 de dezembro de 1999. De acordo com o
disposto no inciso III do caput do art. 4º da referida Lei, uma das competências da
referida Agência é "avaliar as ameaças, internas e externas, à ordem constitucional", o
que inclui ameaças à segurança das Infraestruturas Críticas nacionais, muitas delas
elencadas na Política Nacional de Inteligência, nos termos do disposto no Decreto nº
8.793, de 29 de junho de 2016.
O estabelecimento de um processo de avaliação das medidas implementadas
pelos órgãos e entidades responsáveis tem a finalidade de instituir mecanismos que
possibilitem a mensuração do nível de segurança das Infraestruturas Críticas do País.
Por sua vez, os mecanismos de acompanhamento dessas medidas visam a possibilitar
que a Segurança de Infraestruturas Críticas efetivamente funcione conforme planejado,
assegurada a
prestação de serviços indispensáveis
ao Estado e
à sociedade
brasileira.
A adoção de sistemas de avaliação e de acompanhamento, com ênfase para o
caráter preventivo das medidas de segurança, considerará o aumento da capacidade de
resiliência das respectivas Infraestruturas Críticas e contribuirá para o pronto restabelecimento
dos serviços quando afetados. Esses sistemas, consideradas as peculiaridades de cada setor,
poderão incluir mecanismos de aplicação simples e imediata, como listas de verificação,
questionários, planilhas, relatórios, comunicados e mensagens.
Nesse contexto, convém registrar que o ambiente cibernético é palco de
ameaças que ganham gradativamente mais relevância nas organizações. A intersecção
entre essa temática e a de Segurança das Infraestruturas Críticas torna importante o
gerenciamento integrado da aplicação das legislações referentes aos dois temas.
Assim, propõe-se que cada setor estabeleça critérios específicos, em razão
das peculiaridades inerentes às respectivas Infraestruturas Críticas. Entretanto, sugere-
se a adoção de algumas diretrizes gerais para a avaliação e o acompanhamento das
medidas de Segurança de Infraestruturas Críticas:
8.1. Avaliação
Os processos de avaliação estarão voltados para aperfeiçoar as medidas
adotadas e aumentar o nível de segurança, com prioridade para a prevenção. A
avaliação poderá estabelecer recomendações, especialmente as relacionadas aos
aspectos que podem resultar em impactos sociais, ambientais, econômicos, políticos,
internacionais ou à segurança do Estado e da sociedade brasileira.
Como parte integrante da avaliação, poderão ser realizadas atividades de
treinamento, exercícios e simulações, com vistas a contribuir para a capacitação de recursos
humanos e para o permanente aprimoramento das atividades de Segurança de Infraestruturas
Críticas. Essas ações poderão ser conjugadas com programas educacionais a serem
contemplados nos planos setoriais. Cada setor poderá planejar e executar um programa anual de
treinamento, com o propósito de avaliar os procedimentos específicos.
A interdependência é aspecto de suma importância a ser examinado, diante
da relevância da relação de dependência ou interferência de uma infraestrutura crítica
em outra, ou de sua área em outra.
8.2. Acompanhamento
As
revisões sistemáticas
destinam-se a
atualizar
o planejamento
das
atividades de Segurança de Infraestruturas Críticas, como parte do esforço conjunto do
Estado, sociedade e cidadão e serão realizadas a cada dois anos, com base no relatório
de acompanhamento
de metas
deste Plano,
produzido pelo
Comitê Gestor
de
Segurança de Infraestruturas Críticas.
A realização de visitas às Infraestruturas Críticas, por parte do Gabinete de
Segurança Institucional da Presidência da República ou dos Ministérios das áreas prioritárias,
é um instrumento valioso e eficaz para o acompanhamento da correta aplicação das medidas
de segurança, uma vez que viabiliza melhor intercâmbio de informações e cooperação entre
as diversas instituições envolvidas. No planejamento das visitas técnicas, poderá, por meio de
prévio ajuste entre as partes, ser requerido o preenchimento de listas de verificação ou
questionários, com a finalidade de orientar as ações de acompanhamento.
A ausência de um sistema automatizado de monitoramento não constitui motivo
para que não haja o acompanhamento das Infraestruturas Críticas. Respeitadas as características
de cada setor e consideradas as especificidades de cada negócio, o acompanhamento das
Infraestruturas Críticas pode ser realizado por consulta direta a responsáveis previamente
designados em uma lista de contatos, por elaboração de comunicados pontuais, por remessa de
relatórios periódicos ou eventuais, por intermédio de aplicativos de mensagens ou por meio de
outras ações e medidas de efetivo resultado prático.
8.3. Resposta a incidentes
A implementação continuada da estrutura de gerenciamento de risco, das
parcerias e
das redes de compartilhamento
de informações do
Plansic oferece
mecanismos de rápida avaliação de impacto de incidentes nas Infraestruturas Críticas,
de auxílio no estabelecimento de prioridades para a restauração de seus serviços e de
compartilhamento de informações sobre incidentes. Possibilita que os planos de
resposta a incidentes contenham uma abordagem de perigos múltiplos, que incorpore
as melhores práticas de áreas como defesa civil, resgate, serviços médicos emergenciais
e de profissionais como bombeiros e policiais.
Os órgãos e as entidades do Sistema Nacional de Proteção e Defesa Civil são
parceiros importantes, com experiência prática na gestão de uma série de desastres
naturais, ameaças humanas e outras emergências que podem afetar as Infraestruturas
Críticas.
Suas estruturas
de coordenação
de
operações e
seus recursos
foram
elaborados para auxiliar a tomada de decisão durante a resposta a uma ameaça
específica
ou incidente.
Servem para
unificar
e ampliar
as capacidades
de
gerenciamento de incidentes e recursos de agências individuais e de organizações
isoladas.
A Política Nacional de Proteção e Defesa Civil, instituída pela Lei nº 12.608,
de 10 de abril de 2012, orienta os processos de coordenação entre órgãos federais,
agências reguladoras, Governos estaduais e do Distrito Federal, Governos municipais e
parceiros do setor privado, tanto para preparação pré-incidente quanto para resposta
e recuperação pós-incidente. Também especifica atribuições e responsabilidades no
gerenciamento de incidentes, incluídas as funções de apoio emergencial destinado a
acelerar o fluxo de recursos e programas de apoio à área do incidente.
9. AÇÕES ESTRATÉGICAS
A seguir, apresenta-se a proposta de um conjunto de ações estratégicas, com
respectivas metas e prazos, elaboradas com o objetivo de estabelecer e organizar
responsabilidades na implementação da Política Nacional de Segurança de Infraestruturas Críticas.
Todos os prazos estabelecidos serão contados a partir da data da publicação deste Plano.
Nessa primeira fase do Plansic, as ações estratégicas foram construídas com
foco
no estabelecimento
de uma
estrutura
de governança,
nas iniciativas
de
capacitação e conscientização dos atores envolvidos e no estabelecimento de uma
ferramenta de armazenamento, gestão e integração dos dados e informações. Assim,
espera-se criar um ambiente propício para o desenvolvimento, em fase futura, de ações
mais direcionadas às Infraestruturas Críticas do País, com o estabelecimento de
cooperações baseadas nas interdependências, com a integração de iniciativas, com
vistas à redução de custos, com a realização de ações coordenadas de proteção, a fim
de resultar em maior eficiência, entre outros.
Fechar