Congresso dos EUA corre contra o tempo para renovar a legislação que sustenta a arquitetura de defesa cibernética nacional. A decisão pode impactar o ecossistema global de compartilhamento de ameaças — e expõe a fragilidade do Brasil nesse campo
Com a Lei de Compartilhamento de Informações de Segurança Cibernética (CISA 2015) prestes a expirar em 30 de setembro de 2025, os Estados Unidos enfrentam um momento decisivo. A possível não reautorização da legislação colocaria em risco uma década de avanços no compartilhamento público-privado de dados sobre ameaças cibernéticas. A urgência do Congresso americano para salvar a lei acende um alerta global — especialmente em países como o Brasil, que ainda não possuem uma estrutura legal semelhante.
O que é a CISA 2015 e por que sua renovação é urgente?
A Cybersecurity Information Sharing Act (CISA), sancionada em 2015, foi um marco na legislação de segurança cibernética dos EUA. Criada em resposta ao aumento de ataques coordenados por estados-nação e grandes violações de dados, a lei visava eliminar barreiras legais e institucionais para o compartilhamento de informações de segurança cibernética entre o governo e empresas privadas.
Em essência, a CISA:
- Incentiva o compartilhamento voluntário de indicadores de ameaça cibernética;
- Oferece proteção legal (isenção de responsabilidade civil) a empresas que compartilham dados de boa-fé;
- Exige a remoção de dados pessoais irrelevantes para a ameaça (PII). PII significa Personally Identifiable Information — ou seja, informações pessoais identificáveis;
- Estabelece regras de privacidade e liberdades civis auditáveis;
- Opera por meio do sistema AIS – Automated Indicator Sharing, que permite o compartilhamento automatizado de indicadores entre empresas, órgãos federais e parceiros.
A legislação passou a ser considerada essencial para a postura de defesa cibernética dos EUA, consolidando uma estrutura de confiança e resposta rápida. No entanto, com sua validade expirando em setembro de 2025, o Congresso americano precisa agir para garantir a continuidade dessa estrutura.
Consequências da não renovação
A não reautorização da CISA pode gerar uma série de efeitos negativos:
- Redução drástica no compartilhamento de ameaças: sem as proteções legais da CISA, empresas podem se recusar a colaborar por medo de processos ou danos reputacionais;
- Aumento das vulnerabilidades: a ausência de uma estrutura automatizada e legal pode criar pontos cegos na detecção de ataques;
- Prejuízo para organizações menores: hospitais, concessionárias, escolas e empresas de médio porte dependem dos alertas compartilhados via AIS;
- Retrocesso estratégico: como afirmou Ari Schwartz, da Cybersecurity Coalition, na Bloomberg Law, “não podemos correr o risco de retroceder dez anos permitindo que esta lei caduque”;
- Impacto na confiança internacional: a CISA é vista como referência por países aliados. Sua expiração pode abalar iniciativas conjuntas e enfraquecer a liderança dos EUA em ciberdefesa.
Apoio e resistências no Congresso
A reautorização da CISA 2015 tem apoio bipartidário no Congresso dos EUA. Legisladores democratas e republicanos consideram a lei vital. O presidente do Subcomitê de Segurança Cibernética, Andrew Garbarino, declarou que “a CISA se tornou mais vital do que nunca”, enquanto a Secretária do DHS, Kristi Noem, reforçou que “precisamos da expertise da indústria para proteger nossa infraestrutura crítica”.
Contudo, há também resistências. Grupos de direitos civis apontam preocupações sobre:
- Falta de transparência nos usos dos dados compartilhados;
- Risco de uso indevido das informações para finalidades não relacionadas à cibersegurança;
- Necessidade de melhorar os ciclos de feedback entre governo e setor privado.
O papel da proteção de dados: desidentificação, pseudonimização e anonimização
Um ponto crítico da CISA está na exigência de que os dados compartilhados sejam desidentificados, removendo qualquer informação pessoal que não esteja diretamente relacionada à ameaça cibernética.
Para compreender melhor esse processo, é fundamental distinguir três conceitos centrais discutidos em ambientes regulatórios e acadêmicos: desidentificação, pseudonimização e anonimização. Essas definições foram bem sistematizadas por Susana Taboas, em seu artigo “Desidentificação, Pseudonimização e Anonimização de Dados, conceitos em evidência”, publicado em 2019.
Entenda a diferença entre Desidentificação, Pseudonimização e Anonimização:
| Conceito | Pode reidentificar? | É dado pessoal? | Exemplo |
|---|---|---|---|
| Desidentificação | Sim | Sim | Ocultar CPF de planilha |
| Pseudonimização | Sim, com chave | Sim | Substituir nome por código |
| Anonimização | Não | Não | Dados agregados estatísticos |
Segundo Taboas, há uma tensão entre utilidade e privacidade: quanto mais dados forem protegidos, menor sua utilidade analítica — e vice-versa. Esse equilíbrio foi também o foco do Desafio de Dados Não Vinculáveis, promovido pelo NIST em 2019, que premiou soluções baseadas em IA para gerar dados sintéticos com privacidade garantida.
A equipe vencedora, da Georgia Tech, utilizou GANs com privacidade diferencial (DP-GAN), apontando tendências para o futuro da proteção de dados.
Brasil: onde estamos no compartilhamento de ameaças
Enquanto os Estados Unidos debatem a renovação de uma legislação estruturante, o Brasil ainda atua em um modelo fragmentado. Apesar de estruturas técnicas como o CERT.br e o CTIR Gov, o país não possui uma legislação específica que incentive e proteja o compartilhamento de indicadores de ameaça cibernética com as mesmas garantias da CISA.
| Elemento | EUA – CISA 2015 | Brasil |
|---|---|---|
| Base legal específica | Sim | Não |
| Compartilhamento automatizado | Sim (AIS) | Não |
| Proteção legal para empresas | Sim (isenção de responsabilidade civil) | Não |
| Participação privada incentivada | Sim | Parcial |
| Feedback estruturado | Parcial | Inexistente |
| Privacidade regulada | Sim (via DHS e DoJ) | Sim (via LGPD), mas sem foco em ameaças |
O Brasil avance rumo a uma legislação própria, capaz de:
- Oferecer segurança jurídica para empresas que compartilham dados de ameaças;
- Incentivar a criação de plataformas de troca automatizada de informações;
- Estabelecer ciclos de feedback e prestação de contas sobre os dados recebidos e processados;
- Promover a cultura da cooperação em segurança cibernética.
A CISA 2015 não é apenas uma lei americana. Ela simboliza um modelo de governança da cibersegurança baseado em confiança, proteção legal, responsabilidade compartilhada e interoperabilidade. Sua possível expiração representaria uma ruptura estratégica no modelo atual — com consequências para todo o ecossistema digital.
Para o Brasil, a discussão em Washington é uma oportunidade. A ausência de uma CISA nacional não pode ser vista apenas como lacuna, mas como um convite à construção de uma nova política pública que una proteção de dados, defesa cibernética e soberania digital.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia, segurança e regulação. Há 11 anos provocamos reflexão que sustentam decisões estratégicas para transformação digital e cibersegurança.
