O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, caput, incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto na Lei nº 12.527, de 18 de novembro de 2011, e na Lei nº 13.709, de 14 de agosto de 2018,

     DECRETA:

CAPÍTULO I
DISPOSIÇÕES GERAIS

     Art. 1º Fica instituída a Política Nacional de Segurança da Informação, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no País.

     Art. 2º Para fins do disposto neste Decreto, a segurança da informação abrange a segurança:

     I - dos dados, dos ativos de informação e dos processos organizacionais;

     II - do ambiente físico e eletrônico que contenha ativos de informação; e

     III - do pessoal envolvido no ciclo de vida da informação.


CAPÍTULO II
DOS PRINCÍPIOS

     Art. 3º São princípios da Política Nacional de Segurança da Informação:

     I - a soberania nacional e a priorização dos interesses nacionais;

     II - a responsabilidade do poder público na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação;

     III - a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a privacidade e o acesso à informação, ressalvadas as hipóteses de sigilo previstas em lei;

     IV - a educação como instrumento para o desenvolvimento da cultura de segurança da informação;

     V - a atuação colaborativa entre os órgãos e as entidades da administração pública federal; e

     VI - o foco na gestão de riscos.


CAPÍTULO III
DOS OBJETIVOS

     Art. 4º São objetivos da Política Nacional de Segurança da Informação:

     I - contribuir para a segurança da informação, observados os direitos e as garantias fundamentais, especialmente em relação:

a)

à proteção de dados pessoais, observada a legislação específica;

b)

à segurança dos dados custodiados por órgãos e entidades públicos federais e entidades privadas prestadoras de serviços públicos; e

c)

à gestão e à proteção adequadas do conhecimento sensível e das informações com restrição de acesso;

     II - salvaguardar as infraestruturas críticas e os serviços essenciais;

     III - estimular a gestão de riscos, a proteção e o controle da informação;

     IV - incentivar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;

     V - aprimorar continuamente o arcabouço normativo relacionado à segurança da informação;

     VI - incentivar a qualificação dos recursos humanos necessários à segurança da informação, com a promoção da inclusão e da diversidade;

     VII - fortalecer a cultura e a educação em segurança da informação na sociedade;

     VIII - construir uma rede abrangente, colaborativa, sistêmica e interoperacional relacionada à segurança da informação; e

     IX - desenvolver a cooperação internacional em segurança da informação.


CAPÍTULO IV
DA ESTRUTURA DE GOVERNANÇA

     Art. 5º O Gabinete de Segurança Institucional da Presidência da República coordenará as ações do Governo federal relativas à segurança da informação.

     Art. 6º O Gabinete de Segurança Institucional instituirá, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, o Comitê Gestor da Segurança da Informação, com a finalidade de acompanhar a implementação e a evolução da Política Nacional de Segurança da Informação.

     Parágrafo único. O Comitê Gestor da Segurança da Informação será composto pelos gestores de segurança da informação dos órgãos e das entidades da administração pública federal.


CAPÍTULO V
DOS INSTRUMENTOS

     Art. 7º São instrumentos da Política Nacional de Segurança da Informação:

     I - a Estratégia Nacional de Segurança da Informação;

     II - o Plano Nacional de Segurança da Informação; e

     III - os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional.


CAPÍTULO VI
DAS COMPETÊNCIAS

     Art. 8º Competem ao Gabinete de Segurança Institucional os seguintes temas relacionados à segurança da informação:

     I - coordenar as atividades de segurança da informação e das comunicações, inclusive quanto à formulação de políticas públicas; 

     II - elaborar diretrizes, estratégias, planos, normativos, requisitos metodológicos e recomendações;

     III - promover programas destinados à formação e à qualificação de recursos humanos;

     IV - coordenar e realizar ações destinadas à promoção da cultura de segurança da informação;

     V - acompanhar a evolução tecnológica e as melhores práticas, em âmbito nacional e internacional; e

     VI - estimular a cooperação internacional, em coordenação com o Ministério das Relações Exteriores.

     Art. 9º Compete ao Sistema de Controle Interno do Poder Executivo Federal auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal.

     Art. 10. Compete aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação:

     I - implementar a Política Nacional de Segurança da Informação;

     II - instituir comitê interno de segurança da informação ou estrutura equivalente;

     III - designar o gestor de segurança da informação;

     IV - elaborar, publicar, implementar e revisar regularmente suas políticas de segurança da informação e suas normas internas de segurança da informação, observados os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional;

     V - estimular ações de conscientização e de capacitação de pessoas que atuem nos órgãos e nas entidades da administração pública federal em temas relacionados à segurança da informação;

     VI - realizar a avaliação de conformidade com as normas relativas à segurança da informação;

     VII - aplicar as ações corretivas e administrativas cabíveis nos casos de violação de sua política de segurança da informação, nos termos do disposto neste Decreto e na legislação;

     VIII - coordenar as atividades desenvolvidas pelo gestor de segurança da informação, pelo encarregado pelo tratamento de dados pessoais, pelo gestor de segurança e credenciamento e pelo titular da unidade de tecnologia da informação;

     IX - assegurar a transmissão do conhecimento e das responsabilidades por ocasião da substituição do gestor de segurança da informação; e

     X - planejar e destinar recursos orçamentários para ações de segurança da informação.

     Parágrafo único. Ao órgão de que trata o inciso II do caput compete propor a elaboração e as revisões da política de segurança da informação e das normas internas de segurança da informação do seu órgão ou da sua entidade.


CAPÍTULO VII
DISPOSIÇÕES FINAIS

     Art. 11. O Ministro de Estado Chefe do Gabinete de Segurança Institucional poderá editar atos complementares necessários à aplicação do disposto neste Decreto.

     Art. 12. Ficam revogados:

     I - o Decreto nº 9.637, de 26 de dezembro de 2018;

     II - o art. 1º do Decreto nº 9.832, de 12 de junho de 2019;

     III - o Decreto nº 10.641, de 2 de março de 2021; e

     IV - o Decreto nº 10.849, de 28 de outubro de 2021.

     Art. 13. Este Decreto entra em vigor na data de sua publicação.

     Brasília, 4 de agosto de 2025; 204º da Independência e 137º da República.

LUIZ INÁCIO LULA DA SILVA
Marcos Antonio Amaro dos Santos