O que muda com a IN 9/26 na estrutura da segurança da informação

O Estado brasileiro vive um momento em que a segurança da informação deixou de ser tema restrito à tecnologia e passou a ocupar espaço de protagonismo na formulação de políticas públicas. Com a digitalização acelerada de serviços governamentais, o tratamento de dados e a operação contínua de sistemas críticos tornaram-se funções estruturantes do setor público. A recém-publicada IN GSI/PR 9, de 8/1/26, aprofunda essa virada institucional ao redefinir competências e requisitos do gestor de segurança da informação nos órgãos federais.

A norma altera a IN 1/20 e cria um arcabouço mais rigoroso para a designação de gestores e suplentes. Servidores serão escolhidos entre quadros capacitados, preferencialmente ocupantes de cargos comissionados executivos de níveis superiores. A exigência de que não estejam subordinados à unidade de tecnologia da informação reforça uma diretriz importante: A segurança deixa de ser mera atribuição operacional da TI para se tornar componente transversal de governança administrativa. Quando necessário, a exceção é admitida, mas acompanhada da obrigação de justificar formalmente o acúmulo de funções.

A mudança mais expressiva não está apenas na qualificação, mas na lista detalhada de atribuições conferidas ao gestor. A IN 9 transforma o cargo em elo central entre decisões estratégicas, ações preventivas e resposta institucional. Ao coordenar políticas internas, promover capacitação e garantir alinhamento normativo, o gestor passa a operar na fronteira entre gestão de riscos, cultura organizacional e controle interno.

Também se observa a aproximação formal entre segurança da informação e proteção de dados pessoais. A norma explicita que o gestor deve cooperar com o encarregado previsto na LGPD, reforçando a convergência entre segurança técnica e direitos fundamentais. Esse aspecto reflete a compreensão de que confidencialidade, integridade e disponibilidade não são fins isolados, mas instrumentos para resguardar liberdades constitucionais relacionadas à privacidade e à autodeterminação informativa.

A norma também insere o gestor no sistema de governança administrativa como segunda linha de defesa. Ao lado de auditorias internas e da atuação das equipes de tratamento de incidentes, esse profissional passa a exercer papel de controle pode revisar ações e orientar correções antes que vulnerabilidades se transformem em falhas sistêmicas. Trata-se de um deslocamento importante: a segurança não é apenas remediação de danos, mas processo permanente de prevenção e aperfeiçoamento.

Outro avanço foi a criação da figura do gestor setorial de segurança da informação. Esse ponto reconhece que riscos e fragilidades não se concentram em uma única unidade e exige capilaridade administrativa. Órgãos que contam com múltiplas áreas finalísticas poderão distribuir responsabilidades, mantendo, contudo, o comando centralizado no gestor titular. A decisão reforça um modelo federativo dentro do próprio órgão, em que a gestão da segurança deixa de ser isolada para se tornar rede.

O prazo de implementação demonstra senso prático. Órgãos terão sessenta dias para designar seus gestores e, até 2027, poderão utilizar cargos comissionados de faixas inferiores, excetuando-se entidades mais sensíveis, como integrantes do Comitê Gestor de Segurança da Informação, administradores de informações classificadas ou responsáveis por infraestruturas críticas. A diferenciação é coerente com o risco setorial e com a necessidade de maturidade mais ágil em ambientes que sustentam serviços essenciais.

Ao incorporar expectativas formais de planejamento, orçamento e participação em fóruns especializados, a IN 9 reconhece que as ameaças contemporâneas são sistêmicas e transnacionais. Segurança da informação não pode ser tratada como atividade defensiva isolada, mas como expressão de soberania operacional e continuidade do Estado. A previsão de capacitações ofertadas pelo próprio GSI evidencia o esforço para estruturar carreira e formação, permitindo que o quadro público avance para além de soluções ad hoc.

A alteração normativa revela que a Administração Federal busca consolidar uma cultura de proteção que acompanhe a complexidade atual do espaço digital. Falhas de segurança já não resultam apenas em indisponibilidade de sistemas, mas podem afetar políticas públicas inteiras, causar danos coletivos e comprometer direitos fundamentais. A resposta normativa ainda está em construção, mas eventos recentes demonstram que omissões de governança podem custar muito mais do que a manutenção de boas práticas.

A IN 9 não resolve todos os desafios da segurança cibernética no setor público.

No entanto, sinaliza claramente a direção institucional que o Estado brasileiro pretende seguir: profissionalização, responsabilização e integração. Em um país em que a digitalização avança rapidamente, a existência de atores qualificados capazes de traduzir riscos técnicos em decisões administrativas se torna uma necessidade jurídica e prática.

_____________

BRASIL. Constituição da República Federativa do Brasil de 1988.

BRASIL. Decreto nº 9.573, de 22 de novembro de 2018. Institui a Política Nacional de Segurança de Infraestruturas Críticas.

BRASIL. Decreto nº 12.572, de 4 de agosto de 2025. Dispõe sobre a organização do Sistema de Segurança da Informação e Cibernética.

BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Lei de Acesso à Informação.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais.

BRASIL. Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020.

BRASIL. Instrução Normativa GSI/PR nº 9, de 8 de janeiro de 2026.