O avanço do PL 4.752/25, que cria um marco legal para a cibersegurança no Brasil, deve aumentar o nível de exigência sobre empresas e reforçar a responsabilidade de executivos e conselhos na gestão de riscos digitais, como aponta Bruna Borghi, sócia do TozziniFreire Advogados.
A proposta surge em um cenário em que incidentes cibernéticos já têm impacto direto não só operacional, mas também regulatório e reputacional, especialmente diante das obrigações previstas na LGPD. Na prática, especialistas apontam que a resposta a incidentes precisa ser cada vez mais integrada, conectando áreas técnicas, jurídicas e de governança.
"A cibersegurança deve ser entendida como um instrumento para o cumprimento da LGPD. O mesmo incidente precisa alimentar simultaneamente a resposta técnica, a avaliação de riscos aos titulares e os reportes regulatórios exigidos", afirma Bruna.
Um dos principais entraves para a sócia, no entanto, continua sendo a fragmentação regulatória. Ela acredita que hoje as empresas lidam com uma combinação de regras gerais e normas específicas de diferentes setores, o que pode gerar sobreposições e dúvidas operacionais.
Carolina Vargas Pegas Bonfante, advogada sênior do TozziniFreire avalia que "embora haja uma base principiológica comum, a coexistência de normas pode trazer diferenças relevantes de prazos, conceitos e obrigações. A resposta jurídica passa por harmonização, aplicação da especialidade e, sempre que possível, adoção do padrão mais protetivo".
Segundo as especialistas, esse cenário tende a se intensificar com a ampliação de exigências para setores ainda não tradicionalmente regulados em cibersegurança. Áreas como energia, saúde, transporte e varejo digital já entram no radar de políticas públicas e devem enfrentar padrões mais rigorosos nos próximos anos.
Além disso, evidenciam ainda que o tema deixa de ser restrito à área de tecnologia e ganha espaço definitivo na agenda de governança. A forma como as empresas se preparam, ou deixam de se preparar, para incidentes têm implicações diretas na responsabilização de administradores.
"A omissão ou a resposta inadequada pode caracterizar falha de governança. Hoje, cibersegurança envolve decisões sobre apetite a risco, investimentos, supervisão de terceiros e prontidão para responder dentro dos prazos legais", afirma Borghi.
Apesar de avanços regulatórios e do reconhecimento internacional do Brasil em cibersegurança, as advogadas avaliam que o principal desafio ainda está na execução prática das normas e na coordenação entre diferentes órgãos.
Nesse contexto, afirmam que o PL 4.752/25 busca criar uma estrutura mais centralizada, com previsão de uma autoridade nacional específica e diretrizes para resiliência digital. A expectativa é reduzir lacunas e alinhar o país a modelos internacionais de proteção de infraestruturas críticas.
"O principal desafio não está na ausência de normas, mas na fragmentação e na capacidade operacional de implementação. O projeto contribui ao estruturar uma governança mais integrada e sustentável", conclui Bonfante.