O Projeto de Lei de Cibersegurança e Resiliência do Reino Unido explicado

A legislação cibernética do Reino Unido está prestes a mudar de forma significativa. O Projeto de Lei de Segurança Cibernética e Resiliência — apresentado ao Parlamento em novembro de 2025 — é a reformulação mais relevante do arcabouço regulatório de segurança cibernética do Reino Unido em quase uma década. Para uma ampla gama de organizações, ele mudará o que é legalmente exigido, quem as supervisiona e o que acontece se elas não cumprirem. 

Seja porque você já ouviu falar do Projeto de Lei e quer saber mais ou porque está avaliando ativamente como ele se aplica ao seu negócio, este blog explica o que é o Projeto de Lei CSR, por que ele está sendo introduzido e quem ele afeta. 

O que é o Projeto de Lei de Segurança Cibernética e Resiliência? 

O Projeto de Lei de Segurança Cibernética e Resiliência — comumente chamado de Projeto de Lei CSR — é uma legislação primária do Reino Unido que moderniza e amplia o Regulamento de Redes e Sistemas de Informação (NIS) de 2018. Enquanto o arcabouço NIS original estabeleceu uma linha de base para a segurança cibernética em serviços essenciais, o Projeto de Lei CSR eleva consideravelmente esse patamar e o estende a um conjunto mais amplo de organizações. 

Em resumo, o Projeto de Lei CSR é a resposta do governo do Reino Unido a um cenário de ameaças que mudou drasticamente desde 2018. Ataques de ransomware de grande repercussão, grandes indisponibilidades em data centers e comprometimentos de cadeia de suprimentos visando provedores de serviços gerenciados expuseram lacunas nos arcabouços existentes. O Projeto de Lei foi concebido para fechá-las. 

A abordagem do Reino Unido difere da Diretiva NIS2 da UE, que incorpora requisitos técnicos detalhados diretamente na legislação. Em vez disso, o Projeto de Lei CSR cria um arcabouço flexível, com grande parte do detalhamento — limites por setor, critérios de notificação, códigos de prática — a ser definida por meio de legislação secundária e orientações regulatórias. Isso permite que o governo adapte os requisitos conforme as ameaças evoluem, sem precisar aprovar uma nova legislação primária a cada vez. 

Por que o Reino Unido introduziu essa legislação agora? 

O Regulamento NIS de 2018 foi um avanço relevante na época, mas foi escrito para uma era diferente. Desde então, o ambiente de ameaças se intensificou significativamente, e várias fragilidades estruturais do arcabouço existente se tornaram evidentes. 

Serviços críticos agora dependem fortemente de provedores de serviços gerenciados e de infraestrutura digital de terceiros que nunca foram submetidos à regulação direta. A definição do que conta como incidente notificável tem sido estreita demais, o que significa que ataques graves muitas vezes nem eram reportados aos reguladores. E a estrutura de penalidades atual se mostrou difícil de aplicar de forma eficaz — complexa demais para ser executada com consistência e com multas máximas que não desestimulavam de maneira significativa organizações maiores. 

O Projeto de Lei CSR aborda cada um desses pontos diretamente. Ele também reconhece a lição aprendida com o GDPR e a NIS2: que a resiliência cibernética sistêmica não pode ser alcançada regulando apenas as organizações mais visíveis. Cadeias de suprimentos, provedores de serviços e infraestrutura digital precisam fazer parte do arcabouço. 

Quem o Projeto de Lei CSR afeta? 

O Projeto de Lei mantém todos os setores cobertos pelo NIS 2018 — energia, transporte, saúde, água potável e provedores relevantes de serviços digitais —, mas amplia significativamente o escopo de quem é regulado. As novas categorias mais notáveis incluem provedores de serviços gerenciados (MSPs), data centers acima de determinados limites de capacidade e organizações que controlam cargas substanciais na rede elétrica. 

Além dessas categorias definidas, os reguladores ganharão o poder de designar fornecedores individuais como “críticos” e incluí-los diretamente no escopo — mesmo que eles não se encaixem perfeitamente nas definições setoriais existentes. O Projeto de Lei também concede ao Secretário de Estado autoridade para ampliar ainda mais a população regulada por meio de legislação secundária, o que significa que o escopo de quem é coberto pode mudar com relativa rapidez. 

Sua organização pode ser afetada pelos novos requisitos de resiliência cibernética do Reino Unido se qualquer um dos itens abaixo se aplicar: 

• Você atua em um setor coberto pelo Regulamento NIS original — energia, transporte, saúde, água ou serviços digitais 
• Você presta serviços de TI gerenciados para outras organizações, opera um data center ou gerencia cargas elétricas significativas 
• Você é um fornecedor-chave de qualquer um dos itens acima, mesmo que não se enquadre perfeitamente em um setor regulado 

O que o Projeto de Lei CSR muda? 

Em alto nível, o Projeto de Lei introduz três mudanças principais para as organizações dentro do escopo. 

• Notificação de incidentes mais rápida e mais abrangente. Os prazos para reportar incidentes cibernéticos significativos ficam consideravelmente mais rígidos, e a definição do que deve ser reportado se amplia — capturando explicitamente ransomware e determinadas atividades pré-ataque que as regras atuais em grande parte não contemplam. 
• Poderes regulatórios mais fortes. Os reguladores passam a ter direitos mais amplos de inspeção e coleta de informações, além da capacidade de recuperar custos associados a ações de fiscalização. 
• Penalidades mais altas e mais claras. A estrutura atual de penalidades em três faixas é substituída por um sistema mais simples de duas faixas, com multas máximas proporcionais ao faturamento global — tornando a não conformidade um risco financeiro material para organizações de todos os portes. 

Você pode entender o que cada uma dessas mudanças significa para sua organização — e como atender aos requisitos — em nosso guia completo. 

As organizações devem começar a se preparar agora 

O Projeto de Lei ainda não recebeu o Royal Assent, mas isso não é motivo para adiar. Uma reforma regulatória desse tipo não chega com muito aviso entre o início de vigência e a fiscalização ativa. Organizações que começarem a alinhar agora sua governança, resposta a incidentes e capacidades de resiliência estarão em uma posição significativamente mais forte do que aquelas que esperarem por uma data final. 

Para organizações que já estão trabalhando rumo à conformidade com a NIS2, a boa notícia é que grande parte do trabalho de base é reaproveitável. As prioridades estratégicas — gestão de riscos, supervisão da cadeia de suprimentos, resposta a incidentes, continuidade de negócios — são consistentes em ambos os arcabouços. O que resta é adaptar esses esforços ao cenário regulatório específico do Reino Unido. 

Para organizações que estão se deparando com esses requisitos pela primeira vez, a abordagem faseada do Projeto de Lei — com requisitos detalhados surgindo por meio de legislação secundária e códigos de prática — significa que a janela para se preparar está aberta. A direção, no entanto, é clara. 

Quer se aprofundar? Nosso guia completo aborda o Projeto de Lei CSR em detalhes — incluindo quem está no escopo, o que os novos requisitos significam na prática e como construir a resiliência cibernética de que sua organização precisará.