TODOS os órgãos e entidades da APF direta, autárquica e fundacional; importante salientar que a adesão não é automática e sim obrigatória, portanto TODOS os órgãos e entidades deverão encaminhar o Termo de Adesão disponibilizado para download no site do CTIR (https://www.gov.br/ctir/pt-br/centrais-de-conteudo/termo-de-adesao-regic).

O referido Termo, deverá ser encaminhado via ofício ao GSI, assinado pelo dirigente máximo do órgão partícipe ou do dirigente máximo do órgão ao qual a entidade partícipe estiver vinculada.

Empresas públicas, sociedades de economia mista federais e suas subsidiárias poderão, desde que cumpridos todos os requisitos estabelecidos no Art.7° do Decreto, solicitar a adesão.

Mesmo cumprindo todos os requisitos e solicitando a adesão, a mesma dependerá de análise e aprovação formal do GSI.

Outras pessoas jurídicas de direito privado e pessoas jurídicas de direito público interno de outros Poderes e entes federativos poderão ser convidadas a aderirem, mesmo sendo convidadas, deverão cumprir os mesmos requisitos e serem aprovadas formalmente.

Sim, todos os órgãos ou entidades, mesmo àqueles de adesão obrigatória, deverão possuir uma ETIR formalmente instituída.

1º) Após verificar o cumprimento dos requisitos estabelecidos no Artigo 7º, o solicitante deverá realizar o preenchimento do "Termo de Adesão", disponibilizado por meio do endereço: https://www.gov.br/ctir/pt-br/centrais-de-conteudo/termo-de-adesao-regic

2º) Encaminhar, via Ofício, ao GSI, assinado pelo dirigente máximo do Órgão. No caso de Órgão vinculado a algum outro Órgão superior, então o "Termo de Adesão" também deve ser assinado pelo dirigente máximo daquele Órgão superior.

3º) Aguardar a aprovação formal do GSI e as devidas comunicações.

Aprimorar e manter a coordenação entre os participantes da REGIC para a prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação.

Sim, o Decreto veio como um avanço normativo no sentido de formalizar o CTIR Gov como coordenador da REGIC e estabelecer, requisitos mínimos para participação dos órgãos e entidades, bem como a definição no fluxo das informações trafegadas na REGIC.

Imediatamente sobre a existência de vulnerabilidades ou incidentes de segurança cibernética de maior impacto e que impactem os serviços prestados ou contratados.

Após o tratamento e resposta, as vulnerabilidades e incidentes de menor impacto serão reportados ao CTIR Gov para efeitos de emissão de alertas ou orientações aos demais participantes da REGIC de maneira a aumentar o nível de maturidade cibernética de todos.

Não, o grau de severidade de uma vulnerabilidade ou incidente deverá ser definido pelo próprio órgão ou setor com base em sua gestão de riscos.

Os padrões para notificação de incidentes estão disponíveis no site do CTIR Gov em "Padrões para Notificação de Incidentes de Segurança ao CTIR Gov"

A notificação/comunicação dos incidentes devem ser conforme informações contidas em "Comunicação de Incidentes de Rede"

Não, o CTIR Gov como coordenador da REGIC, tem suas competências bem estabelecidas no Art. 11 incisos I ao VII, a responsabilidade pelos incidentes e vulnerabilidades dos ativos de informação do órgão, continua sendo da Equipe de Prevenção, Tratamento e Resposta de Incidente - ETIR do órgão ou entidade.

A primeira diz respeito a uma formalização normativa, referente a uma rede que, em certa medida, já está em funcionamento.

A segunda novidade podemos apontar a criação do conceito de ETIR Setorial.

A ETIR Setorial é uma ETIR específica relacionada aos setores de Infraestruturas Críticas (Energia, Transporte, Água, Nuclear, Financeiro e Telecomunicações). 

Sua inclusão na REGIC visa atender as ações estratégicas estabelecidas no item 2.3.5 do Anexo ao Decreto 10.222, de 5 de fevereiro de 2020, que aprova a Estratégia Nacional de Segurança Cibernética.

A ETIR Setorial terá um papel muito semelhante ao papel que o CTIR Gov realiza em relação aos Órgãos da APF e a própria ETIR Setorial, ou seja, dentro do seu setor, a ETIR Setorial terá um papel de coordenação, identificando e divulgando as melhores práticas e orientações internamente e comunicando-se diretamente com o CTIR Gov.

Estes órgãos e entidades nominados no Decreto, foram definidos como ETIR Setorial, por possuírem caráter normativo em relação aos seus setores, porém, caso verifiquem em seus setores algum Órgão/Entidade que possua maior maturidade e expertise em relação aos incidentes cibernéticos e vulnerabilidades, poderão atribuir a estes o papel da ETIR Setorial.

A definição do fluxo da informação interna de cada setor, deverá estar contido no Plano Setorial de Gestão de Incidentes Cibernéticos que deverá ser elaborado pela ETIR Setorial. 

Importante saber que a comunicação e coordenação do CTIR Gov com os setores de infraestruturas críticas e vice-versa, se dará, prioritariamente, por meio da ETIR Setorial.

Sim, mesmo que os integrantes da ETIR sejam os mesmos, estes órgãos e entidades deverão encaminhar um Termo para cada papel exercido, um Termo para cadastro como ETIR interna do órgão ligado à APF e outro Termo para cadastro como ETIR responsável por determinado setor.

Os órgãos obrigatórios e que se ligarão diretamente ao CTIR Gov por meio de suas ETIR o prazo de adesão é de 12 meses a partir da publicação do Decreto, ou seja, julho de 2022.

Aos órgãos e entidades nomeados no Decreto para exercerem o papel de ETIR setorial, ou às suas entidades indicadas por eles para exercer esse papel, o prazo para adesão é de 18 meses, ou seja, janeiro de 2023.

• Para os Órgãos constantes no §1º do Art.1º, após o envio do termo de adesão, será enviado e-mail de “boas vindas à REGIC”, no contato informado no termo de adesão.
• Para os órgãos constantes no § 2º do Art 1º e demais casos, após o envio do termo de adesão e aprovação do GSI, será enviado e-mail de “boas vindas à REGIC”, no contato informado no “Termo de Adesão”.

Demais dúvidas e esclarecimentos envie um e-mail para contato@ctir.gov.br

https://www.gov.br/ctir/pt-br/centrais-de-conteudo/termo-de-adesao-regic