Comunicação de incidentes de segurança: o que a lei exige e como se preparar
Comunicação de incidentes de segurança: o que a lei exige e como se preparar
Um incidente de segurança nunca é apenas um problema técnico. A partir do momento em que dados pessoais são comprometidos, sistemas críticos ficam indisponíveis ou informações confidenciais vazam, o relógio regulatório começa a contar. E ele conta rápido. Dependendo do setor e da jurisdição, sua organização pode ter entre 24 horas e 72 horas para comunicar o incidente a autoridades, titulares de dados e, em alguns casos, ao mercado inteiro.
A comunicação de incidentes de segurança deixou de ser uma prática recomendada e se tornou uma obrigação legal com prazos, formatos e destinatários específicos. No Brasil, a LGPD, a ANPD, o BACEN, a CVM e o Marco Civil da Internet estabelecem regras próprias. No cenário internacional, GDPR, SEC, NIS2 e DORA elevaram a regua a um nível em que falhar na notificação pode custar mais caro do que o próprio incidente.
Este artigo explica o que a legislação brasileira e internacional exige, compara prazos e requisitos, apresenta um plano de comunicação estruturado em etapas numeradas e mostra como a gestão proativa de vulnerabilidades, especificamente com audit trail e evidências por CVE, reduz drasticamente a probabilidade de você precisar usar esse plano.
Por que a comunicação de incidentes importa
A comunicação de incidentes de segurança existe para proteger três interesses simultâneos: o direito dos titulares de dados de saber que suas informações foram comprometidas, a capacidade de reguladores de monitorar riscos sistêmicos e a própria reputação da organização.
Proteção do titular de dados
Quando dados pessoais são expostos, o titular precisa agir. Trocar senhas, monitorar movimentações bancárias, ativar alertas de crédito, nada disso é possível se o titular não souber que houve um incidente. A comunicação tempestiva transfere ao titular a capacidade de mitigar danos que a organização, sozinha, não consegue controlar.
Visibilidade regulatória
Reguladores como a ANPD, o BACEN e a CVM precisam de dados agregados sobre incidentes para calibrar políticas públicas, emitir alertas setoriais e identificar padrões de ataque. A subnotificação distorce o panorama de risco e prejudica todo o ecossistema.
Preservação de confiança
Pesquisas consistentes mostram que a forma como uma organização comunica um incidente afeta a percepção de mercado mais do que o incidente em si. Empresas que comunicam com transparência, rapidez e plano de ação concreto recuperam a confiança do mercado significativamente mais rápido do que aquelas que tentam minimizar ou ocultar o ocorrido.
Consequências da omissão
A falha na comunicação pode resultar em multas administrativas (até 2% do faturamento sob a LGPD, até 4% sob o GDPR), ações judiciais coletivas, sanções regulatórias setoriais e, no limite, responsabilização penal de dirigentes. Em 2024, a SEC multou quatro empresas de tecnologia por declarações enganosas sobre o impacto real de incidentes, o regulador americano está punindo não apenas a omissão, mas a comunicação incompleta.
Regulamentações brasileiras: o que cada norma exige
Leia também: Plano de resposta a incidentes: como criar, testar e mant...
O arcabouço regulatório brasileiro sobre comunicação de incidentes e fragmentado entre múltiplos órgãos. Isso significa que uma mesma organização pode estar sujeita a duas, três ou mais obrigações simultâneas com prazos e formatos distintos.
LGPD, Art. 48
A Lei Geral de Proteção de Dados, em seu Art. 48, determina que o controlador deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A lei original não estabelecia prazo específico, deixando a regulamentação para a ANPD.
Resolução ANPD CD/ANPD n. 15/2024
A ANPD supriu a lacuna de prazo com a Resolução que regulamenta a comunicação de incidentes. Os pontos centrais são:
- Prazo: 3 dias úteis a partir do conhecimento do incidente para comunicação à ANPD.
- Comunicação ao titular: deve ocorrer em prazo razoável, definido caso a caso, mas a ANPD pode determinar prazo específico.
- Conteúdo obrigatório: natureza dos dados afetados, número de titulares impactados (estimativa, se o número exato não for conhecido), medidas técnicas e de segurança adotadas, riscos relacionados ao incidente, justificativa da demora (quando aplicável) e medidas para reverter ou mitigar os efeitos.
- Registro obrigatório: toda organização deve manter registro de incidentes de segurança por no mínimo 5 anos, incluindo aqueles que não foram comunicados à ANPD por não atingirem o limiar de risco relevante.
BACEN Resolução 4893/2021
Aplicável a instituições financeiras, a Resolução 4893 do Banco Central exige:
- Comunicação imediata ao BACEN de incidentes relevantes que afetem a continuidade de serviços financeiros.
- Prazo: a instituição deve informar o BACEN assim que identificar o incidente, sem prazo fixo em dias, mas com a expectativa regulatória de comunicação em até 24 horas.
- Plano de resposta: a resolução exige que instituições mantenham política de segurança cibernética e plano de resposta a incidentes aprovados pela diretoria.
CVM Resolução 135/2022
A Comissão de Valores Mobiliários, através da Resolução 135, estabelece obrigações para participantes do mercado de capitais:
- Comunicação de fato relevante: incidentes de segurança que possam afetar a decisão de investidores devem ser divulgados como fato relevante, nos termos da regulamentação de mercado.
- Prazo: imediato, tão logo a companhia tenha ciência do incidente e de seu impacto potencial.
- Governança: exige a designação de diretor responsável pela segurança cibernética e plano de continuidade de negócios.
Marco Civil da Internet (Lei 12.965/2014)
O Marco Civil não trata especificamente de comunicação de incidentes a titulares, mas estabelece obrigações de guarda de registros de conexão e de acesso a aplicações que são relevantes na investigação pós-incidente. A quebra dessas obrigações pode agravar a responsabilidade da organização após um incidente.
Cenário internacional: GDPR, SEC, NIS2 e DORA
Leia também: Gestão de vulnerabilidades no setor financeiro: regulação...
A tendência global e clara: prazos mais curtos, exigências mais detalhadas e sanções mais pesadas.
GDPR, Regulamento Geral de Proteção de Dados (UE)
O GDPR (Art. 33 e 34) é a referência mundial em notificação de incidentes:
- Prazo para autoridade: 72 horas a partir do conhecimento do incidente.
- Prazo para titulares: sem prazo fixo, mas "sem demora injustificada" quando houver alto risco.
- Sanções: até 4% do faturamento global ou EUR 20 milhões (o que for maior).
SEC, Securities and Exchange Commission (EUA)
A SEC, em suas regras atualizadas em 2023, exige:
- Prazo: 4 dias úteis após a empresa determinar que o incidente e material, via formulário 8-K.
- Divulgação anual: relatório anual (10-K) deve descrever a estratégia de gestão de riscos de cibersegurança, governança é o papel da diretoria na supervisão.
NIS2, Diretiva de Segurança de Redes e Informação (UE)
A NIS2, em vigor desde outubro de 2024, ampliou significativamente o escopo da diretiva original:
- Alerta inicial: 24 horas após o conhecimento do incidente significativo.
- Notificação detalhada: 72 horas com avaliação de impacto, indicadores de comprometimento e medidas de resposta.
- Relatório final: 1 mês após a notificação detalhada.
- Abrangência: cobre setores essenciais (energia, transporte, saúde, financeiro, água) e setores importantes (postal, gestão de resíduos, fabricação, alimentação, provedores digitais).
DORA, Digital Operational Resilience Act (UE)
O DORA, voltado ao setor financeiro europeu, entrou em aplicação em janeiro de 2025:
- Classificação: exige classificação de incidentes em categorias de severidade.
- Alerta inicial: 4 horas após a classificação do incidente como relevante.
- Relatório intermediário: 72 horas.
- Relatório final: 1 mês.
- Diferencial: exige testes de resiliência operacional digital, incluindo testes de penetração baseados em ameaças (TLPT).
Tabela comparativa: prazos e requisitos por regulamentação
| Regulamentação | Jurisdição | Prazo de notificação inicial | Destinatário | Sanção máxima |
|---|---|---|---|---|
| LGPD / ANPD | Brasil | 3 dias úteis | ANPD + titulares | 2% do faturamento (até R$ 50 mi/infração) |
| BACEN 4893 | Brasil (financeiro) | Até 24h (expectativa regulatória) | BACEN | Sanções administrativas + intervenção |
| CVM 135 | Brasil (mercado de capitais) | Imédiato (fato relevante) | CVM + mercado | Multas + suspensão de atividades |
| Marco Civil | Brasil | N/A (obrigação de registros) | Autoridades judiciais | Responsabilização cível e criminal |
| GDPR | União Europeia | 72 horas | Autoridade supervisora + titulares | 4% do faturamento global ou EUR 20 mi |
| SEC Rules | Estados Unidos | 4 dias úteis | SEC + investidores (8-K) | Multas + ações judiciais + sanções SEC |
| NIS2 | União Europeia | 24h (alerta) / 72h (detalhado) | CSIRT nacional | Até EUR 10 mi ou 2% do faturamento global |
| DORA | UE (financeiro) | 4h (alerta) / 72h (intermediário) | Autoridade supervisora financeira | Sanções determinadas por cada Estado-membro |
A leitura dessa tabela deixa evidente: organizações multinacionais ou que operam em setores regulados no Brasil podem estar sujeitas a múltiplos prazos simultâneos. O prazo mais curto (4 horas, no caso do DORA) é o que define a real exigência operacional.
O que incluir em uma notificação de incidente
Independentemente da regulamentação aplicável, toda notificação de incidente deve conter um conjunto mínimo de informações. A ANPD, o GDPR é a NIS2 convergem em exigir:
- Descrição do incidente: o que aconteceu, quando foi detectado, qual vetor de ataque foi utilizado.
- Dados afetados: natureza dos dados pessoais ou sistemas comprometidos (dados cadastrais, financeiros, de saúde, credenciais).
- Volume de impacto: número de titulares afetados (ou estimativa fundamentada).
- Cronologia: linha do tempo desde a detecção até a contenção.
- Medidas de contenção: ações técnicas já executadas para interromper o incidente.
- Medidas de mitigação: ações para reduzir o dano aos titulares (reset de senhas, bloqueio de cartões, monitoramento de crédito).
- Avaliação de risco: probabilidade e severidade do dano aos titulares.
- Ponto de contato: responsável na organização para comunicação com o regulador (geralmente o Encarregado/DPO).
- Evidências técnicas: logs, indicadores de comprometimento (IoCs), análise forense preliminar.
A qualidade das evidências técnicas e o que separa uma notificação que encerra a obrigação regulatória de uma que abre uma investigação. Organizações que mantêm audit trail detalhado e rastreabilidade por CVE conseguem montar notificações mais rápidas, completas e defensáveis.
Plano de comunicação de incidentes: 10 etapas
Um plano de comunicação de incidentes não pode ser improvisado durante a crise. Ele precisa estar documentado, testado e aprovado pela diretoria antes que o incidente aconteça.
Etapa 1, Estabelecer o comitê de resposta a incidentes
Defina os membros permanentes: CISO, DPO/Encarregado, jurídico, comunicação corporativa, TI/infraestrutura e representante da diretoria executiva. Cada um deve conhecer seu papel e ter autoridade para agir sem aguardar aprovação adicional durante a crise.
Etapa 2, Definir critérios de classificação
Nem todo evento de segurança é um incidente, e nem todo incidente requer comunicação externa. Crie uma matriz de classificação com pelo menos três níveis (baixo, médio, crítico) baseada em: tipo de dados afetados, volume de titulares, impacto operacional e potencial regulatório.
Etapa 3, Mapear obrigações regulatórias aplicáveis
Com base no setor, jurisdição e tipo de dados tratados, mapeie todas as regulamentações aplicáveis e seus respectivos prazos. Documente o prazo mais restritivo como o prazo-alvo da organização.
Etapa 4, Preparar templates de notificação
Crie modelos pré-aprovados pelo jurídico para: (a) comunicação à ANPD, (b) comunicação ao BACEN/CVM (se aplicável), (c) comunicação aos titulares de dados, (d) comunicado ao mercado (fato relevante) e (e) comunicação interna a colaboradores. Templates prontos eliminam horas de revisão jurídica durante a crise.
Etapa 5, Estabelecer canais de comunicação seguros
Durante um incidente, os canais habituais (e-mail corporativo, Slack, Teams) podem estar comprometidos. Defina canais alternativos previamente: grupo de mensagens cifradas, linha telefônica dedicada, sala de crise física.
Etapa 6, Integrar a comunicação ao processo de resposta técnica
A comunicação não é uma atividade paralela; ela depende de dados que a equipe técnica produz durante a contenção e a análise forense. Defina pontos de sincronização: a cada hora nas primeiras 24 horas, a cada 4 horas nos dias subsequentes.
Etapa 7, Definir porta-vozes
Para a imprensa, para reguladores, para clientes, cada audiência exige um interlocutor com perfil diferente. Nomeie e treine porta-vozes antecipadamente.
Etapa 8, Documentar tudo em tempo real
Cada decisão, cada ação, cada comunicação deve ser registrada com timestamp. Esse registro é essencial para a notificação ao regulador, para a defesa jurídica e para a melhoria contínua.
Etapa 9, Conduzir simulações periódicas
Um plano que nunca foi testado é apenas um documento. Realize exercícios de simulação (tabletop exercises) pelo menos duas vezes ao ano, envolvendo todas as áreas do comitê de resposta.
Etapa 10, Revisão pós-incidente
Após cada incidente real ou simulação, conduza uma revisão estruturada: o que funcionou, o que falhou, quais prazos foram cumpridos, quais informações faltaram. Atualize o plano com base nos achados.
O papel da gestão de vulnerabilidades na prevenção de incidentes
A melhor comunicação de incidente e aquela que nunca precisa ser enviada. É a forma mais eficaz de evitar incidentes e eliminá-los na causa raiz: as vulnerabilidades exploráveis.
A gestão de vulnerabilidades é o elo que conecta a postura de segurança preventiva ao cumprimento das obrigações regulatórias de comunicação. Reguladores como a ANPD e o BACEN avaliam, durante a análise de um incidente, se a organização mantinha um programa de gestão de vulnerabilidades ativo. A ausência desse programa é um agravante que pode aumentar sanções.
Priorização baseada em risco real
Nem toda vulnerabilidade e igual. Organizações que escaneiam milhares de CVEs sem priorização acabam tratando vulnerabilidades de baixo risco enquanto exposições críticas permanecem abertas. A Gestão de Vulnerabilidades (GVul) da EcoTrust utiliza IA agntica para correlacionar CVEs com o contexto específico de cada ativo: exposição à internet, criticidade do sistema, existência de exploits ativos e impacto no negócio.
Quantificação de risco em linguagem executiva
Para que a diretoria aprove investimentos em prevenção, é preciso traduzir vulnerabilidades técnicas em risco financeiro. O módulo de Quantificação de Risco Cibernético (CRQ) da EcoTrust calcula a exposição financeira associada a cada vulnerabilidade e cenário de ataque, usando metodologias como FAIR e simulações de Monte Carlo. Quando o CISO demonstra que uma vulnerabilidade não corrigida representa uma perda esperada de R$ 2 milhões, a aprovação para correção deixa de ser um debate técnico.
Correção ágil e rastreável
Identificar e priorizar vulnerabilidades resolve metade do problema. A outra metade e corrigi-las dentro de prazos aceitáveis. O módulo de Patch Management da EcoTrust automatiza o ciclo de remediação, desde a abertura de tickets até a validação pós-correção, com rastreabilidade completa de cada ação.
Como a EcoTrust ajuda na comunicação e na prevenção de incidentes
A EcoTrust é uma plataforma de IA Agêntica para Continuous Threat Exposure Management (CTEM) que atua em dois eixos simultâneos: reduzir a probabilidade de incidentes e, quando eles ocorrem, fornecer as evidências necessárias para uma comunicação rápida e defensável.
Audit trail completo
Cada ação executada na plataforma, desde a descoberta de um ativo até a aplicação de um patch, e registrada com timestamp, responsável e contexto. Em caso de incidente, esse audit trail permite reconstruir a linha do tempo completa: quais vulnerabilidades eram conhecidas, quando foram priorizadas, quais ações de correção foram tomadas e por quem.
Evidência por CVE
A EcoTrust mantém evidência técnica vinculada a cada CVE identificada em cada ativo. Isso significa que, ao notificar um incidente, a organização pode demonstrar ao regulador exatamente quais vulnerabilidades existiam, quais haviam sido corrigidas e quais estavam em processo de remediação, com evidência documental, não com alegações.
Dashboards de compliance
A plataforma oferece dashboards que mapeiam a postura de segurança da organização contra as exigências de cada regulamentação (LGPD, BACEN 4893, CVM 135, PCI DSS, ISO 27001). Esses dashboards permitem que o CISO demonstre, em tempo real, o estado de conformidade e as ações de melhoria contínua, informação que é diretamente relevante na comunicação com reguladores durante e após um incidente.
Relatórios prontos para auditoria
Quando a ANPD solicita informações sobre as "medidas técnicas e de segurança" adotadas, a EcoTrust gera relatórios que detalham: inventário de ativos, vulnerabilidades identificadas e priorizadas, status de remediação, score de risco por ativo e por ambiente. Esses relatórios são gerados em minutos, não em semanas de trabalho manual.
Checklist: preparação para comunicação de incidentes
Use está lista para avaliar o nível de preparação da sua organização:
- Comitê de resposta a incidentes formalmente constituído e com papeis documentados
- Matriz de classificação de incidentes aprovada pela diretoria
- Mapeamento de todas as regulamentações aplicáveis com prazos e requisitos
- Templates de notificação pré-aprovados pelo jurídico para cada audiência
- Canais de comunicação alternativos definidos e testados
- Processo de sincronização entre equipe técnica e equipe de comunicação
- Porta-vozes nomeados e treinados
- Ferramenta de registro de ações em tempo real (audit trail)
- Programa de gestão de vulnerabilidades ativo com priorização baseada em risco
- Processo de patch management com rastreabilidade completa
- Simulações de incidentes realizadas nos últimos 6 meses
- Revisão pós-incidente documentada com plano de melhoria
Para aprofundamento, consulte a referência oficial: ANPD — Autoridade Nacional de Proteção de Dados.
Conclusão
A comunicação de incidentes de segurança é uma obrigação legal com prazos apertados, requisitos detalhados e consequências serias em caso de descumprimento. No Brasil, a combinação da LGPD, ANPD, BACEN 4893, CVM 135 e Marco Civil cria um cenário regulatório complexo em que uma mesma organização pode estar sujeita a múltiplas obrigações simultâneas. No cenário internacional, GDPR, SEC, NIS2 e DORA elevam a exigência a níveis em que a comunicação precisa acontecer em horas, não em dias.
A preparação começa muito antes do incidente. Comitê de resposta, templates, canais seguros, simulações, tudo precisa estar pronto quando o relógio regulatório começar a contar. Mas a preparação mais eficaz de todas e a prevenção: uma gestão de vulnerabilidades robusta, com priorização baseada em risco, correção rastreável e evidências por CVE, reduz a probabilidade de incidentes e, quando eles ocorrem, fornece as evidências que transformam uma crise regulatória em uma demonstração de diligência.
A EcoTrust unifica descoberta de ativos, gestão de vulnerabilidades, quantificação de risco e patch management em uma única plataforma com audit trail completo. O resultado é uma organização que não apenas cumpre as obrigações de comunicação, mas que pode demonstrar, com evidências, que fez tudo o que era razoável para evitar o incidente.
Conheça o módulo CTEM
Veja como a EcoTrust aplica IA agêntica para resolver os desafios apresentados neste artigo.
Explorar CTEMArtigos Relacionados
Backup empresarial e cibersegurança: como o NIST CSF coloca o Recover no centro
Backup empresarial no NIST CSF 2.0: como Govern e Recover sustentam resiliência, RTO/RPO, backup imutável e auditoria de restauração.
Empresas de cibersegurança no Brasil: categorias, critérios e como escolher
Conheça as categorias de empresas de cibersegurança no Brasil, critérios para escolher o parceiro certo e onde o CTEM se encaixa.
Teste de invasão: o que é, como funciona e por que sua empresa precisa
Teste de invasão: o que é, tipos, metodologias e como protege sua empresa. Guia completo com etapas, normas e diferenças para pentest.