Skip links

O que ANPD, Banco Central e CFM passaram a exigir do CISO em 2026

ANPD, Banco Central e CFM. Três normas distintas avançaram no Brasil nos primeiros meses de 2026, em setores que pouco conversam entre si: proteção de dados, sistema financeiro e medicina. Lidas juntas, elas convergem em uma única exigência para quem responde pela segurança da informação. O regulador parou de perguntar se a empresa tem uma política e começa a pedir à empresa que prove que o controle funciona.

Para a empresa, essa mudança redefine o que significa estar em conformidade. O que sustenta uma fiscalização agora é a evidência: registros, testes, trilhas de acesso, incidentes documentados.

ANPD: da orientação à sanção

A Lei 15.352, sancionada em fevereiro de 2026, transformou a ANPD em agência reguladora com autonomia decisória, orçamento próprio e uma carreira de fiscalização. A mudança institucional encerra a fase que era mais pedagógica da autoridade. A agenda de temas prioritários para 2026 e 2027 sinaliza fiscalização ativa e aplicação mais rigorosa de penalidades em incidentes, com atenção a tratamento de dados de alto risco, inteligência artificial e dados sensíveis.

Na prática, o cumprimento da LGPD começa a depender não somente de prova documental, mas também de rotina de monitoramento e resposta consistente às demandas da agência. Inventário de dados, base legal de cada tratamento e plano de resposta a incidentes efetivamente testado tornam-se o material que a empresa apresenta quando é cobrada.

Banco Central: controle mensurável

No sistema financeiro, as Resoluções CMN 5.274/2025 e BCB 538/2025 entraram em vigor em 1º de março de 2026 e consolidam a mesma lógica. Os controles passaram a exigir implementação técnica mensurável.

A consequência aparece em uma inspeção. O Banco Central pode solicitar relatórios técnicos, registros de execução de testes, evidências de correção de vulnerabilidades e documentação de incidentes. A responsabilidade da instituição se estende à sua cadeia: sistemas de terceiros que operam na sua infraestrutura precisam cumprir os mesmos controles mínimos. E continuidade operacional passou a exigir demonstração de que o plano foi testado, não apenas que ele existe.

CFM: a saúde entra na mesma régua

A Resolução CFM 2.454/2026 leva a exigência ao setor de saúde. Ela entra em vigor em 26 de agosto de 2026, sem período de carência, e alcança inclusive sistemas de inteligência artificial que já estão em operação. A norma determina que dados clínicos usados por sistemas de IA sejam protegidos com medidas compatíveis com o estado da arte, e exige governança interna, rastreabilidade e capacitação da equipe.

Para hospitais, operadoras e healthtechs, a adequação depende da infraestrutura de TI: controle de acesso, integridade de dados, logs disponíveis e visibilidade sobre o que circula por ambientes próprios e de terceiros. Um inventário de soluções de IA em uso é o ponto de partida, porque sem ele a instituição não consegue classificar risco nem comprovar conformidade.

O que isso pede do CISO

A pauta dos três reguladores aterrissa no mesmo lugar. Agora, é preciso criar garantias de que a empresa consegue demonstrar, de forma técnica e documentada, que os controles funcionam, que os incidentes são tratados e que a evidência está disponível quando a agência pedir.

Esse é um desafio de capacidade operacional. Exige inventário atualizado, controles testados em ciclo, rastreabilidade de acesso e um processo de resposta a incidentes que já tenha sido exercitado antes de ser necessário. A Redbelt Security trabalha exatamente nessa passagem, da política à evidência auditável, com diagnóstico de maturidade, gestão de vulnerabilidades, testes de intrusão e monitoramento contínuo. Converse hoje com um de nossos consultores.