DECRETO Nº 12.572, DE 4 DE AGOSTO DE 2025
Institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação no âmbito da administração pública federal.
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, caput, incisos IV e VI, alínea "a", da Constituição, e tendo em vista o disposto na Lei nº 12.527, de 18 de novembro de 2011, e na Lei nº 13.709, de 14 de agosto de 2018,
DECRETA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Política Nacional de Segurança da Informação, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação no País.
Art. 2º Para fins do disposto neste Decreto, a segurança da informação abrange a segurança:
I – dos dados, dos ativos de informação e dos processos organizacionais;
II – do ambiente físico e eletrônico que contenha ativos de informação; e
III – do pessoal envolvido no ciclo de vida da informação.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 3º São princípios da Política Nacional de Segurança da Informação:
I – a soberania nacional e a priorização dos interesses nacionais;
II – a responsabilidade do poder público na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à segurança da informação;
III – a garantia dos direitos fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a privacidade e o acesso à informação, ressalvadas as hipóteses de sigilo previstas em lei;
IV – a educação como instrumento para o desenvolvimento da cultura de segurança da informação;
V – a atuação colaborativa entre os órgãos e as entidades da administração pública federal; e
VI – o foco na gestão de riscos.
CAPÍTULO III
DOS OBJETIVOS
Art. 4º São objetivos da Política Nacional de Segurança da Informação:
I – contribuir para a segurança da informação, observados os direitos e as garantias fundamentais, especialmente em relação:
a) à proteção de dados pessoais, observada a legislação específica;
b) à segurança dos dados custodiados por órgãos e entidades públicos federais e entidades privadas prestadoras de serviços públicos; e
c) à gestão e à proteção adequadas do conhecimento sensível e das informações com restrição de acesso;
II – salvaguardar as infraestruturas críticas e os serviços essenciais;
III – estimular a gestão de riscos, a proteção e o controle da informação;
IV – incentivar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
V – aprimorar continuamente o arcabouço normativo relacionado à segurança da informação;
VI – incentivar a qualificação dos recursos humanos necessários à segurança da informação, com a promoção da inclusão e da diversidade;
VII – fortalecer a cultura e a educação em segurança da informação na sociedade;
VIII – construir uma rede abrangente, colaborativa, sistêmica e interoperacional relacionada à segurança da informação; e
IX – desenvolver a cooperação internacional em segurança da informação.
CAPÍTULO IV
DA ESTRUTURA DE GOVERNANÇA
Art. 5º O Gabinete de Segurança Institucional da Presidência da República coordenará as ações do Governo federal relativas à segurança da informação.
Art. 6º O Gabinete de Segurança Institucional instituirá, no âmbito da Câmara de Relações Exteriores e Defesa Nacional do Conselho de Governo, o Comitê Gestor da Segurança da Informação, com a finalidade de acompanhar a implementação e a evolução da Política Nacional de Segurança da Informação.
Parágrafo único. O Comitê Gestor da Segurança da Informação será composto pelos gestores de segurança da informação dos órgãos e das entidades da administração pública federal.
CAPÍTULO V
DOS INSTRUMENTOS
Art. 7º São instrumentos da Política Nacional de Segurança da Informação:
I – a Estratégia Nacional de Segurança da Informação;
II – o Plano Nacional de Segurança da Informação; e
III – os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional.
CAPÍTULO VI
DAS COMPETÊNCIAS
Art. 8º Competem ao Gabinete de Segurança Institucional os seguintes temas relacionados à segurança da informação:
I – coordenar as atividades de segurança da informação e das comunicações, inclusive quanto à formulação de políticas públicas;
II – elaborar diretrizes, estratégias, planos, normativos, requisitos metodológicos e recomendações;
III – promover programas destinados à formação e à qualificação de recursos humanos;
IV – coordenar e realizar ações destinadas à promoção da cultura de segurança da informação;
V – acompanhar a evolução tecnológica e as melhores práticas, em âmbito nacional e internacional; e
VI – estimular a cooperação internacional, em coordenação com o Ministério das Relações Exteriores.
Art. 9º Compete ao Sistema de Controle Interno do Poder Executivo Federal auditar a execução das ações da Política Nacional de Segurança da Informação de responsabilidade dos órgãos e das entidades da administração pública federal.
Art. 10. Compete aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação:
I – implementar a Política Nacional de Segurança da Informação;
II – instituir comitê interno de segurança da informação ou estrutura equivalente;
III – designar o gestor de segurança da informação;
IV – elaborar, publicar, implementar e revisar regularmente suas políticas de segurança da informação e suas normas internas de segurança da informação, observados os normativos sobre segurança da informação editados pelo Gabinete de Segurança Institucional;
V – estimular ações de conscientização e de capacitação de pessoas que atuem nos órgãos e nas entidades da administração pública federal em temas relacionados à segurança da informação;
VI – realizar a avaliação de conformidade com as normas relativas à segurança da informação;
VII – aplicar as ações corretivas e administrativas cabíveis nos casos de violação de sua política de segurança da informação, nos termos do disposto neste Decreto e na legislação;
VIII – coordenar as atividades desenvolvidas pelo gestor de segurança da informação, pelo encarregado pelo tratamento de dados pessoais, pelo gestor de segurança e credenciamento e pelo titular da unidade de tecnologia da informação;
IX – assegurar a transmissão do conhecimento e das responsabilidades por ocasião da substituição do gestor de segurança da informação; e
X – planejar e destinar recursos orçamentários para ações de segurança da informação.
Parágrafo único. Ao órgão de que trata o inciso II do caput compete propor a elaboração e as revisões da política de segurança da informação e das normas internas de segurança da informação do seu órgão ou da sua entidade.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 11. O Ministro de Estado Chefe do Gabinete de Segurança Institucional poderá editar atos complementares necessários à aplicação do disposto neste Decreto.
Art. 12. Ficam revogados:
I – o Decreto nº 9.637, de 26 de dezembro de 2018;
II – o art. 1º do Decreto nº 9.832, de 12 de junho de 2019;
III – o Decreto nº 10.641, de 2 de março de 2021; e
IV – o Decreto nº 10.849, de 28 de outubro de 2021.
Art. 13. Este Decreto entra em vigor na data de sua publicação.
Brasília, 4 de agosto de 2025; 204º da Independência e 137º da República.
LUIZ INÁCIO LULA DA SILVA
Marcos Antonio Amaro dos Santos