PROJETO DE LEI

Dispõe sobre a Política Estadual de Cibersegurança da
Administração Pública do Estado de Santa Catarina e dá
outras providências.

Art. 1º Fica instituída a Política Estadual de Cibersegurança
da Administração Pública, com o objetivo de estabelecer normas e diretrizes para
prevenção, detecção, resposta e recuperação diante de incidentes cibernéticos que
envolvam os sistemas, dados e serviços públicos estaduais.

Art. 2º Fica criado o Centro de Resposta a Incidentes
Cibernéticos do Estado de Santa Catarina (CRIC-SC), vinculado à Secretaria de Estado
da Administração ou à pasta responsável pela gestão de tecnologia da informação.

§1º O CRIC-SC terá como atribuições principais:

I – Monitorar, prevenir e responder a incidentes de segurança
cibernética nos órgãos e entidades da administração pública estadual;

II – Emitir alertas, protocolos e recomendações de segurança
digital;

III – Coordenar planos de contingência e resposta a ataques
cibernéticos;

IV – Promover a integração com centros congêneres
nacionais e internacionais;

V – Apoiar tecnicamente os municípios catarinenses.

Art. 3º Todos os órgãos da administração pública direta,
autarquias, fundações, empresas públicas e sociedades de economia mista do Estado
de Santa Catarina deverão instituir e manter atualizado seu Plano de Cibersegurança
Institucional.

§1º O plano deverá conter no mínimo:

I – Avaliação de riscos;

II – Políticas de controle de acesso e autenticação;

III – Plano de continuidade de serviços;

IV – Plano de resposta e mitigação de incidentes;

V – Política de backup e proteção de dados.

Art. 4º Fica instituído o Programa Estadual de Capacitação
em Cibersegurança, com foco na formação continuada de servidores públicos e
gestores de tecnologia.

Parágrafo único. O programa poderá ser executado em
parceria com instituições de ensino superior, entidades do setor privado e organizaçõesda sociedade civil.

Art. 5º O Poder Executivo poderá celebrar convênios com
universidades, empresas e demais instituições especializadas para o desenvolvimento
de soluções em cibersegurança e inovação tecnológica.

Art. 6º Os órgãos públicos que descumprirem os dispositivos
desta lei estarão sujeitos à responsabilização administrativa, nos termos da legislação
vigente.

Art. 7º Esta Lei entra em vigor na data de sua publicação.

Sala da Sessões,

Deputado THIAGO MORASTONI
JUSTIFICAÇÃO

A presente proposição legislativa tem por finalidade estabelecer diretrizes e
mecanismos de governança para a cibersegurança na administração pública direta e
indireta do Estado de Santa Catarina, promovendo a proteção de sistemas, dados e
serviços públicos frente ao crescimento alarmante de ameaças cibernéticas.

A pauta da cibersegurança ganhou centralidade no cenário nacional. O Senado
Federal, por meio do Requerimento nº 5/2025, instaurou ciclo de audiências destinado
a avaliar a Política Nacional de Cibersegurança (PNCiber), instituída pelo Decreto nº
11.856/2023. Paralelamente, tramita na Câmara dos Deputados o Projeto de Lei nº
813/2025, que propõe a criação de Centros Municipais de Operações de Segurança
Cibernética e estabelece protocolos mínimos para prevenção, detecção e resposta a
ataques digitais no setor público.

O Relatório Anual da Polícia Federal (2024) evidenciou um aumento de 38% nos
crimes cibernéticos em território nacional, afetando particularmente prefeituras, escolas
e secretarias estaduais, com impactos concretos sobre a continuidade dos serviços
públicos, a segurança dos dados e a confiança da população.

No âmbito estadual, Santa Catarina ainda carece de legislação específica sobre
segurança cibernética. Atualmente, a estrutura de proteção da informação nos órgãos
do Poder Executivo é descentralizada e não padronizada, o que compromete a
capacidade de prevenção e resposta coordenada a incidentes digitais. Também não há,
até o momento, a criação formal de um Centro de Resposta a Incidentes Cibernéticos
(CSIRT) estadual, tampouco normas obrigatórias de gestão de riscos cibernéticos.

Diante desse cenário, propõe-se uma legislação estadual com os seguintes objetivos:

Autorizar a criação, por ato do Poder Executivo, do Centro de Resposta a
Incidentes Cibernéticos de Santa Catarina (CRIC-SC), vinculado à estrutura
administrativa já existente, sem criação de novos cargos ou órgãos, respeitando a
iniciativa privativa do Executivo.
Estabelecer a obrigatoriedade da elaboração e atualização periódica de Planos de
Cibersegurança e Continuidade de Serviços Digitais por todos os órgãos e
entidades da administração estadual.

Promover a adoção de diretrizes de proteção de dados e segurança da
informação, alinhadas à Lei Geral de Proteção de Dados Pessoais (Lei nº
13.709/2018), ao Marco Civil da Internet (Lei nº 12.965/2014) e à Estratégia Nacional
de Segurança Cibernética (E-Ciber).
Incentivar a capacitação técnica contínua de servidores públicos, especialmente
profissionais da área de tecnologia da informação, promovendo programas de
formação e parcerias com universidades e centros de pesquisa.

Fomentar cooperação entre o Estado, setor privado e comunidade acadêmica,
para inovação em mecanismos de proteção, análise de vulnerabilidades e resposta
rápida a incidentes.

Santa Catarina figura entre os cinco estados com maior número de ataques de
ransomware contra prefeituras e escolas, conforme o Relatório da Fortinet Brasil (4º
trimestre de 2024). Estima-se que o custo médio para resposta a um incidente grave
gira em torno de R$ 2,3 milhões por evento, segundo estudo da IBM e do Instituto
Ponemon, o que demonstra o impacto financeiro e estrutural da ausência de uma
política pública eficaz e coordenada.

Neste contexto, a presente iniciativa busca alinhar o Estado às boas práticas nacionais
e internacionais, fortalecendo a resiliência digital da administração pública catarinense.
Ressalte-se que a proposta não cria estruturas administrativas nem cargos,
observando, assim, o disposto no art. 71, inciso III, da Constituição Estadual.
Diante da relevância da matéria, espera-se o apoio dos nobres Parlamentares para a
aprovação desta proposta, que visa garantir a segurança digital dos serviços públicos e
a proteção dos dados do cidadão catarinense frente aos crescentes desafios do mundo
digital.
ELEGIS
Documento assinado eletronicamente por Thiago da Silva
Sistema de Processo
Morastoni, em 21/05/2025, às 12:33.
Legislativo Eletrônico