Em dezembro, o Conselho Monetário Nacional (CMN) e o Banco Central do Brasil publicaram novas resoluções que reforçam significativamente as exigências de segurança cibernética para instituições financeiras e empresas que prestam serviços ao Sistema Financeiro Nacional.

As normas atualizam e aprofundam diretrizes que já existiam, mas agora deixam claro que segurança da informação não é mais apenas uma boa prática, e sim uma obrigação regulatória, com impactos diretos na governança, na operação e na continuidade dos negócios.

O que dizem as novas resoluções

A Resolução CMN nº 5.274 atualiza a política de segurança cibernética aplicável às instituições financeiras, com foco especial na gestão de riscos, na proteção de dados e na contratação de serviços de computação em nuvem e processamento de dados.

Já a Resolução BCB nº 538 complementa esse movimento ao detalhar requisitos técnicos e operacionais, tornando mais explícitas as responsabilidades das instituições e de seus prestadores de serviço.

Na prática, o Banco Central passa a exigir controles mais robustos, documentação estruturada e comprovação efetiva das medidas de segurança adotadas, indo além de políticas formais ou declarações genéricas.

O que muda na prática para as empresas

As novas normas trazem exigências mais objetivas e mensuráveis, entre elas:

• Realização periódica de testes de intrusão (pentests) conduzidos por equipes independentes, com relatórios documentados e planos de ação;
• Criptografia forte para proteção de dados sensíveis, tanto em repouso quanto em trânsito;
• Autenticação multifatorial e controle rigoroso de acessos a ambientes críticos;
• Monitoramento contínuo, gestão de vulnerabilidades e resposta a incidentes;
• Proteção reforçada de infraestruturas críticas, como ambientes que se conectam ao PIX, STR e à RSFN;
• Regras mais claras para contratação e gestão de terceiros, especialmente provedores de nuvem.

Essas exigências se aplicam não apenas a bancos tradicionais, mas também a fintechs, cooperativas de crédito, instituições de pagamento e empresas de tecnologia que prestam serviços ao setor financeiro.

Segurança cibernética como parte da estratégia de negócio

Com essas mudanças, a segurança cibernética deixa de ser tratada apenas como um tema técnico e passa a ocupar um papel estratégico. Falhas de conformidade podem gerar sanções regulatórias, riscos reputacionais e impactos operacionais relevantes.

Por isso, a adequação às novas resoluções exige uma abordagem estruturada, que combine tecnologia, processos e governança, além de parceiros especializados capazes de apoiar desde o diagnóstico até a implementação dos controles exigidos.

As novas regulamentações do Banco Central reforçam uma mensagem clara: proteger dados, sistemas e infraestruturas críticas é parte essencial da sustentabilidade do negócio no setor financeiro.

Empresas que se antecipam, revisam suas políticas e fortalecem seus controles não apenas reduzem riscos regulatórios, como também aumentam a confiança do mercado e de seus clientes.

Referências

• TI Inside – Nova regulação de segurança cibernética e como isso afeta seu negócio
  https://tiinside.com.br/04/02/2026/nova-regulacao-de-seguranca-cibernetica-e-como-isso-afeta-seu-negocio/
• Banco Central do Brasil – Resolução CMN nº 5.274
  https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%2520CMN&numero=5274
• Banco Central do Brasil – Resolução BCB nº 538
  https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%2520BCB&numero=538