Impacto das regulamentações de Cibersegurança do BACEN e da IN 09/2026

30/03/2026 mindsecblog Artigos, Notícias 0

Impacto das regulamentações de Cibersegurança do BACEN e da IN 09/2026, o que significa para a sua organização financeira.

A regulação de cibersegurança no sistema financeiro brasileiro vem passando por um processo contínuo de amadurecimento ao longo dos últimos anos. Marcos anteriores, como a Resolução CMN nº 4.893 e a Resolução CMN nº 3.909, estabeleceram as bases para a gestão de segurança da informação e de riscos operacionais nas instituições financeiras, introduzindo requisitos mínimos de políticas, controles e governança no que tange ao controle de “serviços em nuvem”, o que na prática significou requisitos para todo e qualquer serviços feito fora do ambiente on-premisses. Essas normativas foram fundamentais para estruturar o tema dentro das organizações, ainda que, em muitos casos, sua implementação tenha permanecido concentrada nas áreas de tecnologia da informação. 

No entanto elas não são recomendações únicas cobradas e verificadas pelas auditorias. O Bacen há muitos anos cobra que a Segurança da Informação – SI – estivesse fora da gestão de TI sob a preocupação de possíveis conflitos de interesses, mas não especificava ou definia claramente o que é SI no entendimento deles. Assim criou-se 3 modelos de organizacionais no mercado:

  • SI sob o comando da TI – embora seja o modelo original adotado por praticamente 100% do mercado, não é o modelo recomendado pelas auditorias para organizações financeiras. Esse modelo é amplamente utilizado em outros stores do mercado.
  • SI fora do comando de TI – esse modelo foi inicialmente adotado por parte das organizações financeiras quando as auditorias começaram a recomendar a saída de SI da TI. Com a recomendação algumas organizações financeiras colocaram TI em baixo da diretoria de Finanças, diretoria e RH e diretoria de Risco, no entanto isso causou mais problemas que solução pois a SI levou consigo a função de Segurança de TI, onde temos a aquisição , instalação e manutenção dos sistemas de segurança. Nesse modelo ainda fica uma “bola dividida” com a TI quando precisamos de um servidor, sistema operacional, banco de dados e outros itens de infraestrutura. Esse problema agrava-se quando o diretor da área, na qual SI passou a se reportar, desconhece o que realmente é SI , o que é e quais as necessidade e dependência de SI de tecnologias e investimentos contantes, para essas diretorias basta definir uma política e tudo se resolve, além do que investimento é feito por TI e não SI.
  • Dividir SI e STI – esse modelo, na minha opinião é o melhor, pois separa SI como sendo um modelo de governança e supervisão/monitoração para garantir que as políticas estão implementadas , e STI como sendo a área responsável pela seleção, instalação, administração e manutenção das tecnologias implementadas. Nesse modelo, como uma RACI bem definida, as áreas são perfeitamente complementares e garante aos reguladores que as implementações de segurança estão sendo realizadas e com o devido isolamento de TI, além do que a diretoria para a qual SI vá se reportar não precisa ficar preocupada com investimentos e tecnologias, mas com a efetividade dos controles implementados.

Além de tudo isso, em paralelo, temos a solidificação da diferenciação entre Segurança da Informação, Governança de Segurança da Informação, Segurança de TI e Cibersegurança. Assim, para recapitular as definições temos:

Segurança da Informação (SI)

Segurança da Informação é todo o escopo de Segurança que conhecemos definidos pela ISO27001 define, que engloba todas a demais Seguranças que falamos e discutimos em nosso mundo real e somando-se os controles de Privacidade das diversas leis internacionais recentes.

🏛️ Governança de SI

Governança de Segurança da Informação é todo focada em processo e controles:

  • Definição de Políticas
  • Definir quem responde por segurança
  • Reporte ao conselho
  • Apetite de risco
  • Auditoria e compliance dos controles de segurança
  • outros

💻 Segurança de TI

A Segurança de TI é foca em proteger os ativos da organização:

    • hardening de servidores e workstation
    • patch de servidor
    • firewall interno
    • backup de banco de dados
    • outros

🌐 Cibersegurança

A Cibersegurança é um subconjunto de Segurança de TI onde a preocupação é a proteção do ambiente exposto, o Cyber ! Assim, o foco é : 

  • Monitoramento de ataques externos
  • Proteção contra phishing
  • Detecção de ransomware
  • Firewall  e WAFs
  • SASE
  • CASB
  • Cloud Security
  • MFA
  • Pen Test
  • SOC
  • outros

Assim, nos últimos anos, o Banco Central do Brasil tem se preocupado com promover de forma mais formal uma evolução na forma como as instituições financeiras devem tratar a cibersegurança, mas não necessariamente Segurança de TI dentro dos conceitos acima e mantendo as 3 possibilidades de organização já descritas acima. Esse movimento foi consolidado recentemente por atualizações regulatórias, com destaque, além das já mencionadas, para a Resolução BCB nº 538/2025 e a Resolução CMN nº 5.274, que ampliam e aprofundam diretrizes anteriormente estabelecidas alterando diretamente a Resolução CMN nº 4.893, de 26 de fevereiro de 2021.

O novo modelo é mais prescritivo: são 14 procedimentos mínimos obrigatórios, incluindo autenticação multifator, criptografia, isolamento de redes, testes de penetração e gestão de certificados. O prazo de conformidade expirou em 1 de março de 2026.

fonte: blog duranium

Antonio Marcos Guimarães, chefe adjunto do Departamento de Regulação do Sistema Financeiro do BC, foi direto durante o Febraban Sec 2026. Segundo ele, o regulador publicou resoluções com enfoque em retirar a discussão de segurança cibernética da tecnologia e levar para o institucional. A abordagem converge com a IN GSI/PR n. 9, publicada em janeiro, que elevou o gestor de segurança da informação a função estratégica de Estado e vedou que o responsável por TI acumule essa função.

A Instrução Normativa GSI/PR nº 9, de 8 de janeiro de 2026, reforça e consolida diversos princípios já observados nas regulamentações do Banco Central do Brasil, porém com um nível mais explícito de direcionamento quanto à estrutura de governança e segregação de funções em segurança da informação e cibersegurança.

Essa normativa estabelece, de forma clara, que:

  • A função de Segurança da Informação deve ser independente da área de Tecnologia da Informação, evitando conflitos de interesse na implementação e avaliação de controles;
  • Deve existir segregação entre quem implementa (TI/STI) e quem governa/monitora (SI), alinhando-se ao modelo de segunda linha de defesa;
  • A organização deve garantir autonomia funcional da área de segurança, com acesso direto à alta administração;
  • Os controles de segurança devem ser baseados em risco, continuamente monitorados e auditáveis;
  • Deve haver integração da segurança com gestão de riscos, continuidade de negócios e governança corporativa.

Na prática, a IN GSI nº 9/2026 atua como um framework estruturante de governança, enquanto as normas do BACEN (como a Resolução BCB nº 538/2025 e CMN nº 5.274) atuam como instrumentos regulatórios setoriais. Juntas, elas convergem para um mesmo objetivo:  de Elevar a cibersegurança ao nível estratégico, com independência, rastreabilidade e responsabilidade institucional.”

A IN GSI nº 9/2026 não apenas complementa, mas fortalece o direcionamento do BACEN, deixando inequívoco que: “Segurança da Informação não é uma função técnica — é uma função de governança, risco e controle.”

A Instrução Normativa 09/2026  publicada pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou no dia 09/01/2026 no Diário Oficial da União , eleva o papel do Gestor de Segurança da Informação a um novo patamar estratégico, no contexto da nova Política Nacional de Segurança da Informação.

Mais do que reforçar requisitos técnicos — como autenticação multifator, gestão de vulnerabilidades, testes de intrusão e monitoramento contínuo — essas normas introduzem uma mudança estrutural relevante: a cibersegurança deixa de ser tratada como uma atribuição exclusivamente tecnológica e passa a ocupar um papel central na governança corporativa.

Na Prática

Na prática, isso significa que o tema deve ser elevado ao nível estratégico da organização, com envolvimento direto da alta administração e, quando aplicável, do conselho de administração. A responsabilidade pela cibersegurança passa a ser compartilhada com funções de gestão de riscos, compliance e continuidade de negócios, refletindo o entendimento de que incidentes cibernéticos representam riscos relevantes não apenas operacionais, mas também financeiros, reputacionais e sistêmicos.

Esse direcionamento é reforçado por orientações complementares, como a Instrução Normativa GSI nº 9, que enfatiza a necessidade de independência entre as funções de tecnologia da informação e de segurança da informação. Em linha com as melhores práticas internacionais, espera-se que a função de segurança — frequentemente representada pelo CISO (Chief Information Security Officer) — possua autonomia, como já cobrado pelas recorrentes auditorias em relação a SI, definindo melhor o que se espera da recomendação de “SI fora da TI”, buscando evitar conflitos de interesse e garantindo maior efetividade na identificação, avaliação e mitigação de riscos.

Como consequência, observa-se uma tendência clara de reestruturação organizacional nas instituições reguladas, incluindo:

  • Segregação formal entre as áreas de TI e de cibersegurança;
  • Unificação e clarificação da recomendação de ter SI fora do controle de TI;
  • Reposicionamento da função de segurança em estruturas de segunda linha de defesa;
  • Estabelecimento de canais diretos de reporte para a alta administração;
  • Integração da cibersegurança aos processos corporativos de gestão de riscos;
  • Ampliação da responsabilidade sobre riscos relacionados a terceiros, dados e novas tecnologias, como inteligência artificial.

Além disso, as novas diretrizes exigem maior capacidade de resposta a incidentes, com planos estruturados e testados regularmente, bem como maior transparência e rastreabilidade das ações de segurança. A expectativa do regulador é que as instituições adotem uma postura proativa e contínua, baseada em evidências e alinhada ao seu apetite de risco.

Em síntese, o Banco Central do Brasil sinaliza uma mudança definitiva de paradigma: a cibersegurança deixa de ser um tema operacional restrito à tecnologia e passa a ser um elemento essencial da estratégia e da resiliência institucional. Essa transformação demanda não apenas ajustes técnicos, mas também uma evolução cultural, com maior integração entre áreas e fortalecimento da governança corporativa.

Por: Kleber Melo - Sócio Proprietário da Mindsec e Redator Chefe do Blog Minuto da Segurança

Clique e fale com representante oficial Netwrix

 

Veja também:

About mindsecblog 3490 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

ISOs Relacionadas à Segurança da Informação. Você sabe quantas existem?

10/03/2021 mindsecblog Artigos, Notícias 7

ISOs Relacionadas à Segurança da Informação. Você sabe quantas existem?  Existe mais de uma centena de ISOs relacionadas à Segurança da Informação, mas nem todos as conhecem. A referência internacional é sempre importante na todas […]

Notícias

Pedido de resgate de dados atinge grandes corporações

06/08/2024 mindsecblog Notícias 8

Pedido de resgate de dados atinge grandes corporações. Prática conhecida como ransomware criptografa arquivos digitais e os mantém reféns até que o valor seja pago. A média de extorsão por ataque de ransomware ultrapassou US$ 5,2 […]

Artigos

Ameaças cibernéticas e adoção de novas tecnologias digitais sem mão de obra especializada estão entre os principais riscos corporativos

20/02/2024 mindsecblog Artigos, Notícias 3

Ameaças cibernéticas e adoção de novas tecnologias digitais sem mão de obra especializada estão entre os principais riscos corporativos no Brasil para 2024, aponta pesquisa da Protiviti. Os dois riscos citados, que figuram na pesquisa […]

Be the first to comment

Deixe sua opinião!