Resolução BCB nº 6: Resiliência Operacional Cibernética em IFs

Q: Qual o prazo para reportar incidente cibernético ao BCB?

O reporte tempestivo é exigido — em prazos curtos a partir da identificação do incidente. As instituições devem manter procedimento documentado e treinado para classificar a severidade e acionar a comunicação. Recomenda-se ter o fluxo testado em tabletops antes de precisar.

Sobre este conteúdo

Este artigo apresenta uma leitura prática dos pilares e expectativas da regulação cibernética do Banco Central do Brasil, com foco em como operacionalizar os controles. Não substitui a leitura integral da norma e do parecer jurídico da sua instituição. Sempre consulte o texto oficial vigente e seu departamento de compliance.

Neste artigo

Contexto regulatório
A quem se aplica
Pilares de resiliência operacional cibernética
Política de Segurança Cibernética
Plano de Continuidade de Negócios
Terceiros e cadeia de prestadores
Reporte de incidentes
Testes e tabletops
Governança e responsabilidade da diretoria
Perguntas frequentes

Contexto regulatório

O Banco Central do Brasil tem, há anos, uma das regulações cibernéticas mais maduras entre reguladores setoriais brasileiros. A Resolução BCB nº 6 consolida a expectativa atual sobre resiliência operacional cibernética em instituições autorizadas — bancos, cooperativas, instituições de pagamento, corretoras, financeiras. Substitui ou complementa instrumentos anteriores como a Resolução CMN nº 4.893/2021.

A leitura prática: o regulador deixou de tratar cibersegurança como item de compliance isolado e passou a tratá-la como componente de continuidade do negócio. A pergunta-chave que ele faz à instituição não é mais "vocês têm controles?", e sim "vocês conseguem manter o serviço em pé sob ataque ou falha?".

Esse deslocamento — de controles para resiliência — vem alinhado com tendências globais (DORA na UE, OCC nos EUA) e com a realidade do mercado brasileiro pós-Pix: dependência crítica de infraestrutura digital, atacantes sofisticados (incluindo APTs com motivação geopolítica) e supply chain extensa (cloud, processadores, white-label).

A quem se aplica

A regulação abrange instituições autorizadas a funcionar pelo Banco Central, com proporcionalidade conforme porte e perfil de risco. Na prática:

Categoria	Exigência típica
Bancos sistemicamente importantes (S1, S2)	Programa completo, SOC 24×7, testes regulares, comitê de cibersegurança formal, reporte periódico ao BCB
Bancos médios e instituições de pagamento (S3)	Programa estruturado, monitoração contínua, tabletops anuais, gestão formal de terceiros
Cooperativas e financeiras menores (S4, S5)	Política proporcional, controles essenciais, testes periódicos, possível terceirização da operação de segurança

Independentemente do porte, três expectativas são universais: política aprovada pela diretoria, plano de continuidade testado, e reporte tempestivo de incidentes relevantes.

Pilares de resiliência operacional cibernética

Proteção

Controles técnicos e administrativos: identidade, criptografia, hardening, segmentação, gestão de vulnerabilidades.

Detecção

Monitoração contínua, SOC com casos de uso priorizados, threat intelligence, capacidade de identificar comprometimento.

Resposta

Time de IR treinado, playbooks por cenário, comunicação interna/externa, capacidade de contenção rápida.

Recuperação

Backups isolados e testados, RTO/RPO formais, plano de continuidade exercitado, comunicação a clientes e reguladores.

Política de Segurança Cibernética

A política é o documento de referência aprovado pela diretoria. Ela não deve ser cópia genérica de modelos — deve refletir a realidade da instituição. Conteúdo mínimo esperado:

Escopo e aplicabilidade — quais sistemas, dados, usuários, terceiros;
Princípios — princípio do menor privilégio, segregação, defesa em profundidade, classificação de informação;
Estrutura organizacional — papéis (CISO/RD, comitê, segunda linha), reporting lines;
Controles mínimos — identidade, criptografia, monitoração, backup, vulnerabilidades, terceiros;
Gestão de incidentes — classificação, escalada, comunicação a clientes, regulador e autoridades;
Conscientização — programa para colaboradores e parceiros;
Revisão periódica — pelo menos anual; aprovação pela diretoria.

Uma armadilha frequente: política coerente, mas desconectada da realidade operacional. O regulador valoriza evidência de execução mais que sofisticação textual.

Plano de Continuidade de Negócios

O PCN sob enfoque cibernético inclui cenários como ransomware, indisponibilidade de provedor crítico, comprometimento de credenciais privilegiadas e ataques DDoS prolongados. Componentes obrigatórios:

Análise de Impacto no Negócio (BIA)

Identificar processos críticos, RTO (tempo até retomar) e RPO (perda máxima de dados aceitável) por processo. Atualização pelo menos anual.

Estratégias de recuperação

Por processo: site alternativo, replicação de dados, processo manual de contingência, prestador reserva. Cada estratégia tem custo — calibrar contra apetite.

Planos detalhados por cenário

Runbooks específicos: ransomware corporativo, perda de data center, comprometimento de cloud provider, vazamento massivo, indisponibilidade Pix.

Testes regulares e evidências

Tabletops anuais com diretoria; testes técnicos de restore (mensal/trimestral); simulações de failover; documentação dos resultados.

Atualização e melhoria contínua

Cada teste e cada incidente real gera lições aprendidas formalizadas, com responsável e prazo para implementação.

O guia 3-2-1-1-0 de backup e o guia prático de resposta a incidentes trazem o detalhamento técnico aplicável.

Terceiros e cadeia de prestadores

A instituição é responsável pela cadeia. Isso é dito explicitamente — não há transferência de responsabilidade regulatória por contrato. Na prática, o programa de TPRM precisa cobrir:

Due diligence inicial com profundidade proporcional à criticidade do serviço prestado;
Cláusulas contratuais de segurança, notificação de incidente, direito de auditoria, segregação;
Avaliações recorrentes — questionários, certificações, auditorias quando aplicável;
Monitoração contínua de postura externa, exposições e alertas relevantes;
Plano de contingência — o que acontece se o prestador ficar fora? Há alternativa, switchover testado?

Atenção especial a provedores de nuvem. A regulação trata contratação de processamento e armazenamento em nuvem como item de governança específico, com requisitos de localização, criptografia, segregação lógica e direito de acesso a evidências. A negociação contratual com hyperscalers internacionais é complexa — engaje jurídico cedo.

Reporte de incidentes

Incidentes cibernéticos relevantes devem ser reportados ao BCB tempestivamente — em janelas curtas. O processo deve estar documentado, ensaiado e integrado ao plano de IR, não ser um item separado.

Componentes do fluxo de reporte:

Critérios de classificação — quando um incidente é "relevante" o suficiente para reporte? Tabela clara, sem subjetividade;
Responsável — quem decide reportar; quem assina a comunicação ao BCB;
Canais e formato — meio de envio, modelo de conteúdo, autenticação;
Prazos — primeira notificação (preliminar), atualizações, comunicação final;
Comunicação a clientes e ANPD — quando dados pessoais estão envolvidos, o caminho LGPD se acumula ao do BCB.

Erro comum

Instituições deixam para descobrir o fluxo de reporte durante o incidente. Quando isso acontece, prazos são perdidos, comunicação fica errática e o regulador percebe imaturidade. Tabletop anual com reporte simulado é a melhor defesa — inclua jurídico, comunicação e a diretoria.

Testes e tabletops

Documentos têm valor zero sob estresse. O regulador espera evidência de execução. Calendário mínimo razoável:

Mensal: restore parcial de backup, teste de runbook de IR menor;
Trimestral: phishing simulado, restore de aplicação completa, teste técnico de failover;
Semestral: tabletop técnico com SOC + áreas de TI;
Anual: tabletop executivo com diretoria, jurídico, comunicação e RP — cenário de ransomware ou supply chain comprometido;
Anual: teste de DR completo de site principal;
Em ciclos definidos: pentest, red team (especialmente em instituições maiores).

Cada teste produz: (a) métricas observadas vs. RTO/RPO definidos, (b) lista de gaps, (c) plano de ação com responsável e prazo. Não há valor em testar se não há remediação.

Governança e responsabilidade da diretoria

A diretoria não pode delegar a responsabilidade de ciber para o CISO. Pode (e deve) delegar a execução, mas a accountability fica no topo. O regulador espera:

Diretor estatutário formalmente responsável pela cibersegurança;
Aprovação da política e do PCN pela diretoria;
Comitê de cibersegurança com reuniões periódicas e atas;
Reporte regular ao Conselho com métricas materiais (não slides de FUD);
Independência da função (segunda linha) em relação a TI/operações;
Recursos compatíveis com o porte e o perfil de risco.

Para insumos práticos sobre reporte executivo, consulte o artigo de board reporting e o de métricas para a diretoria. O hub Para Conselho traz as perguntas que o board deveria estar fazendo.

Perguntas frequentes

A quem se aplica a Resolução BCB nº 6?

Aplica-se a instituições autorizadas a funcionar pelo Banco Central — bancos múltiplos e comerciais, cooperativas de crédito, instituições de pagamento, sociedades de crédito, financeiras, corretoras, distribuidoras. A proporcionalidade da exigência varia conforme porte e perfil de risco.

O que muda em relação à regulação anterior?

O foco em resiliência operacional cibernética foi reforçado: contratação e monitoração de serviços em nuvem, testes regulares de continuidade, reporte de incidentes em prazos curtos, e maior responsabilização sobre a cadeia de prestadores. A diretoria também ganhou responsabilidade explícita.

Qual o prazo para reportar incidente cibernético ao BCB?

O reporte tempestivo é exigido em prazos curtos a partir da identificação. As instituições devem manter procedimento documentado e treinado para classificar a severidade e acionar a comunicação. Recomenda-se ter o fluxo testado em tabletops antes de precisar.

O Plano de Continuidade precisa ser testado?

Sim. A regulação exige testes periódicos do PCN — incluindo cenários cibernéticos. Não basta documento — é preciso evidência de execução, métricas observadas contra RTO/RPO e plano de ação para gaps. Tabletops anuais com a alta administração são prática esperada.

Como tratar terceiros sob a Resolução BCB nº 6?

A instituição é responsável pela cadeia. Isso implica due diligence formal, contratos com cláusulas de segurança e direito de auditoria, monitoração contínua, e plano de contingência para falha do prestador. Especial atenção a provedores de cloud, processamento de pagamentos e serviços críticos.

Conclusão

A Resolução BCB nº 6 é menos sobre controles novos e mais sobre evidência operacional: o regulador quer ver política viva, PCN testado, terceiros governados, incidentes reportados e diretoria responsável. Para instituições com programa cibernético maduro, a regra é confirmação do que já fazem; para as que tratam ciber como compliance de papel, é hora de atualizar.

O CISO de IF brasileira em 2026 tem três tarefas principais alinhadas a essa norma: (1) garantir que a diretoria entenda e patrocine; (2) testar o PCN com cenários cibernéticos realistas e produzir evidências; (3) tratar a cadeia de prestadores com a mesma seriedade que trata os controles internos. As demais peças — detecção, resposta, criptografia, hardening — já deveriam estar no programa.

Diagnóstico de aderência regulatória cibernética

Avaliação independente da sua postura frente à regulação do BCB. Identifica gaps, prioriza remediação e prepara a instituição para auditorias e fiscalizações.

Falar com Especialista