O governo britânico apresentou o Cyber Security and Resilience Bill, um projeto de lei que coloca grandes empresas de serviços de TI e datacenters sob um regime de responsabilidade mais rígido. Prestadores que atendem setores essenciais como saúde, energia, água e transporte precisarão notificar incidentes ao National Cyber Security Centre em até 24 horas e entregar um relatório detalhado em até 72 horas. A legislação também obriga que fornecedores comuniquem seus clientes sempre que houver risco real de impacto nas operações, tornando a transparência um requisito obrigatório.
O texto reconhece que falhas em fornecedores podem comprometer toda a infraestrutura de um país. Por isso, o governo passa a ter poder para designar quais empresas são consideradas vitais e exigir que adotem medidas específicas para reforçar a proteção. Em situações de risco elevado, autoridades poderão até determinar o isolamento de sistemas para impedir efeitos cascata. É um movimento que formaliza algo que o mercado já observava na prática, a cadeia de serviços de TI se tornou tão crítica quanto as organizações que ela sustenta.
Os dados que sustentam a urgência da medida são contundentes. Ataques cibernéticos já custam ao Reino Unido cerca de 15 bilhões de libras por ano e especialistas apontam que interrupções em setores essenciais podem gerar impacto fiscal ainda maior. A nova legislação tenta virar o jogo ao elevar o nível de exigência para prestadores, reduzir a assimetria de maturidade entre empresas e alinhar expectativas de segurança para toda a cadeia de tecnologia que movimenta a economia britânica.
Esse avanço deveria servir de referência direta para o Brasil. O país ainda opera sem um marco claro que responsabilize prestadores de TI que atuam em setores críticos e sem uma política estruturada de notificação de incidentes. A ausência de regras permite que cada fornecedor trabalhe com padrões distintos, deixando o ambiente exposto a riscos previsíveis. Seguir a linha adotada pelo Reino Unido não significa copiar modelos internacionais, mas reconhecer que maturidade nacional depende de disciplina regulatória, validação contínua e obrigação real de resposta.
O movimento britânico deixa evidente que segurança cibernética é questão de Estado. Ao impor regras claras aos prestadores, cria-se previsibilidade, fortalece-se a economia e reduz-se a superfície de ataque nacional. O Brasil não pode continuar esperando. Cada ano de atraso amplia o custo futuro e coloca o país na contramão das nações que já tratam cibersegurança como infraestrutura crítica.
