O Novo Padrão Obrigatório de Cibersegurança no Sistema Financeiro

Em 18 de dezembro de 2025, o Banco Central do Brasil publicou duas novas resoluções que elevam oficialmente o nível de exigência em cibersegurança para todo o Sistema Financeiro Nacional (SFN).

O que antes era tratado como boa prática passa a ser requisito regulatório formal — com impactos diretos sobre governança, auditoria e responsabilidade institucional.

Quem é Impactado

As novas exigências alcançam:

• Instituições financeiras

• Instituições de pagamento

• Corretoras e distribuidoras

• Cooperativas de crédito

• Demais participantes do SFN

Não se trata apenas de uma atualização técnica. Trata-se de um novo patamar de responsabilidade regulatória.

O Que Muda na Prática? O novo padrão obrigatório de cibersegurança do Sistema Financeiro

Com o novo padrão obrigatório de cibersegurança no Sistema Financeiro, não basta mais ter política de segurança “no papel”.

Agora é obrigatório comprovar execução, rastreabilidade e governança contínua. Entre as exigências estão:

• Pentest anual independente

• Documentação formal dos resultados

• Plano estruturado de remediação

• Gestão contínua de vulnerabilidades

• Logs e rastreabilidade fim a fim

• MFA para acessos externos

• Segmentação de rede

• Controles antifraude em conexões ao SFN

  
  

O risco deixou de ser apenas técnico.

Passou a ser regulatório e institucional.

A ausência de evidência documental pode representar não apenas fragilidade de segurança, mas descumprimento normativo.

Pentest Agora é Exigência Formal

O teste de intrusão deixa de ser opcional e passa a integrar o conjunto mínimo de controles obrigatórios.

Isso significa:

• Simulação de ataques reais

• Avaliação técnica independente

• Relatório técnico detalhado

• Relatório executivo para a alta administração

• Plano estruturado de correção

• Evidência formal para eventual fiscalização

Além da periodicidade anual, a norma reforça a necessidade de independência técnica e documentação adequada.

Segurança da Informação como Programa Contínuo

Mais do que um teste anual, as resoluções exigem estrutura permanente de segurança, incluindo:

• Gestão contínua de vulnerabilidades

• Implementação de autenticação multifator (MFA)

• Estruturação de logs e trilhas de auditoria

• Segmentação e proteção de rede

• Revisão e adequação da Política de Segurança Cibernética

• Preparação para auditorias e inspeções regulatórias

A governança de segurança passa a exigir envolvimento direto da alta administração.

O Diferencial Estratégico

Conformidade não é apenas cumprir um checklist.

É estruturar um programa que entregue:

✔ Conformidade regulatória

✔ Redução real de risco

✔ Evidência documental organizada

✔ Apoio à diretoria e ao conselho

✔ Evolução estruturada de maturidade em segurança

Instituições que se anteciparem não apenas evitam sanções — ganham vantagem competitiva em confiança e credibilidade.

O Risco Não É Só Técnico. É Regulatório.

Não realizar o pentest anual ou não documentar adequadamente os resultados deixou de ser economia.

Passou a ser exposição regulatória.

O impacto pode envolver:

• Apontamentos em fiscalização

• Exigência de planos corretivos formais

• Danos reputacionais

• Responsabilização administrativa

  
  

Prazo de Adequação

📅 1º de março de 2026

A pergunta que toda instituição deve se fazer é:

Como Podemos Apoiar Sua Instituição

Apoiamos instituições financeiras na estruturação completa do programa de adequação regulatória em Segurança da Informação e Pentest, com foco técnico e estratégico.

Se sua organização precisa:

• Estruturar o pentest regulatório anual

• Organizar evidências documentais

• Implementar controles exigidos pela norma

• Preparar-se para auditorias e fiscalizações

  
  

Este é o momento de agir.

Entre em contato e estruture seu programa de conformidade antes do prazo regulatório.