top of page

Crise política no Reino Unido atrasa plano nacional de cibersegurança



O lançamento do National Cyber Action Plan, nova estratégia do governo britânico para proteger a economia contra ataques cibernéticos de Estados-nação e grupos criminosos, foi novamente adiado em meio à crise de liderança no Partido Trabalhista após a renúncia do primeiro-ministro Keir Starmer. O plano deveria ser publicado na segunda-feira, mas foi postergado diante da incerteza sobre a disputa interna pela liderança do partido, prevista para começar em 9 de julho.


Um porta-voz do governo afirmou que o Reino Unido continua comprometido com a publicação do National Cyber Action Plan. Segundo o governo, a proteção da segurança nacional segue como prioridade, com medidas como o Cyber Security and Resilience Bill, o Cyber Resilience Pledge e o apoio técnico prestado pelo National Cyber Security Centre, o NCSC, a organizações em todo o país.


Apesar do adiamento do plano principal, uma parte da agenda deve seguir conforme previsto. Empresas do índice FTSE 350 devem assinar o Cyber Resilience Pledge, um compromisso voluntário para melhorar suas defesas digitais. A iniciativa busca elevar a segurança cibernética ao nível do conselho de administração, incentivar a adesão ao serviço Early Warning do NCSC e ampliar a exigência de certificação Cyber Essentials nas cadeias de fornecedores.


O National Cyber Action Plan foi originalmente concebido como uma atualização da National Cyber Strategy 2022, estratégia que orienta a política cibernética britânica. O documento havia sido prometido ainda em 2025 por Pat McFadden, então Chancellor of the Duchy of Lancaster, com previsão de publicação antes do fim daquele ano. Em abril de 2026, o prazo já havia sido deslocado para “este verão” pelo ministro da Segurança, Dan Jarvis, e o documento deixou de ser apresentado como uma “estratégia” para ser tratado como um “plano de ação”.


A mudança de cronograma ocorre em um momento politicamente sensível. McFadden fez o anúncio inicial em Manchester, cidade cujo então prefeito, Andy Burnham, passou a ser apontado como favorito para suceder Starmer após a eleição suplementar em Makerfield que precedeu a renúncia do primeiro-ministro. Até a publicação da reportagem original, nenhum outro candidato havia se apresentado formalmente para a liderança trabalhista.


O atraso do National Cyber Action Plan se soma a uma série de adiamentos em iniciativas cibernéticas do governo britânico, alimentando preocupações de que a segurança digital ainda receba atenção política insuficiente em Westminster. Uma das principais medidas nessa agenda é o Cyber Security and Resilience Bill, projeto criado para atualizar as leis de cibersegurança aplicáveis à infraestrutura crítica do país.


Esse projeto levou mais de quatro anos para chegar ao Parlamento e, segundo a reportagem, não deve ser plenamente aplicado antes de 2028. Isso significa que sua entrada em vigor pode ocorrer cerca de uma década depois das NIS Regulations, conjunto normativo que ele pretende substituir. A lentidão preocupa especialistas porque setores essenciais, como energia, saúde, transporte, telecomunicações e serviços digitais, seguem cada vez mais expostos a ataques disruptivos.


As principais disposições do Cyber Security and Resilience Bill já haviam sido concluídas em 2022, durante o governo de Rishi Sunak. Ainda assim, o texto não foi incluído no King’s Speech daquele ano, que define a agenda parlamentar do governo, e acabou não sendo apresentado formalmente ao Parlamento. Quando o governo Starmer decidiu retomar o projeto em setembro de 2025, a tramitação foi novamente afetada por uma reforma ministerial.


Outra frente atrasada envolve propostas específicas para ransomware. As medidas incluíam notificação obrigatória para todas as vítimas, um regime de licenciamento para pagamentos de extorsão e a proibição de pagamentos de resgate por operadores de infraestrutura crítica. A consulta pública sobre essas propostas deveria ter ocorrido em meados de 2024, mas foi interrompida quando Sunak convocou eleições gerais.


A demora ganha peso diante de incidentes recentes que tiveram impacto nacional no Reino Unido. Durante a campanha eleitoral de 2024, um ataque de ransomware contra a fornecedora de serviços de patologia Synnovis, atribuído ao grupo Qilin, ligado à Rússia, levou hospitais de Londres a declarar incidente crítico, com cancelamento de cirurgias e consultas. Apesar da relevância política do caso, os principais partidos não trataram o ataque em profundidade durante a campanha.


À época, Jamie MacColl, pesquisador do Royal United Services Institute, afirmou que, até ocorrer um grande incidente, a cibersegurança tende a não receber a cobertura nem a vontade política necessárias. Tim Stevens, líder do grupo de pesquisa em cibersegurança do King’s College London, também avaliou que o tema costuma ser tratado no Reino Unido como uma pauta “despolitizada” e de baixa prioridade.


Em setembro de 2025, outro ataque cibernético atingiu a Jaguar Land Rover, uma das maiores fabricantes do Reino Unido e responsável por cerca de 4% das exportações de bens do país. A interrupção paralisou toda a produção de veículos por mais de um mês e foi classificada pelo Cyber Monitoring Centre como o evento cibernético economicamente mais danoso já registrado no Reino Unido.


A organização estimou que a paralisação custou £1,9 bilhão à economia britânica, cerca de US$ 2,5 bilhões, e afetou mais de 5 mil organizações na cadeia de fornecedores da Jaguar Land Rover. A própria empresa informou posteriormente um impacto financeiro de £680 milhões, aproximadamente US$ 896 milhões. A crise foi severa o suficiente para levar o governo a garantir um empréstimo de £1,5 bilhão, cerca de US$ 2 bilhões, para ajudar a companhia a apoiar seus fornecedores.


O conteúdo completo do National Cyber Action Plan ainda não foi oficialmente divulgado. A Recorded Future News informou, com base em pessoas familiarizadas com o documento, que o plano deve se estruturar em três pilares: Threat, Growth e Resilience, ou ameaça, crescimento e resiliência. Essa divisão sugere uma abordagem que combina defesa contra adversários, estímulo ao setor de cibersegurança e fortalecimento da capacidade de resposta de empresas e infraestruturas.


A indicação pública mais clara sobre a direção do plano veio em junho, durante uma palestra de Richard Horne, diretor-executivo do NCSC, no Royal United Services Institute. Horne defendeu uma mobilização ampla nos chamados espaços “near, mid and far” do ciberespaço, enquadramento que deve influenciar a estrutura do plano.


Na visão apresentada por Horne, o “near space” corresponde à defesa de organizações individuais. O “far space” envolve ações ofensivas contra adversários. Já o “mid space” abrange a infraestrutura compartilhada de nuvem, tecnologia e telecomunicações, em grande parte controlada pelo setor privado. Essa camada intermediária é especialmente relevante porque muitos ataques modernos exploram provedores, plataformas e interconexões que sustentam múltiplas organizações ao mesmo tempo.


Segundo Horne, o governo pretende trabalhar com provedores privados para fortalecer esse “mid space” e interromper atividades de invasores. Ele também afirmou que o NCSC trabalha em direção a uma National Cyber Defense Capability, uma capacidade nacional de defesa cibernética voltada a conectar inteligência e ações nos três espaços em tempo real, especialmente em um mundo marcado por agentes de IA.


Entre junho de 2024 e maio de 2026, o NCSC lidou com mais de 200 incidentes que afetaram infraestrutura nacional crítica e sua cadeia de fornecedores, segundo Horne. Cerca de 75% desses casos foram associados a agentes estatais, o que reforça a preocupação do Reino Unido com espionagem, sabotagem, ransomware e operações híbridas contra setores essenciais.


O Cyber Resilience Pledge também deve ser uma peça central da agenda. Ministros do governo enviaram cartas a presidentes de conselho e CEOs de centenas de empresas, incluindo todas as companhias do FTSE 350, pedindo adesão ao compromisso. A proposta é transformar a cibersegurança em responsabilidade de alto nível executivo, e não apenas em tema técnico restrito às equipes de TI e segurança.


A adesão ao serviço Early Warning do NCSC é outro ponto relevante. O programa usa inteligência britânica para alertar organizações sobre riscos iminentes, incluindo possíveis ataques de ransomware. Ao combinar alertas governamentais, certificações mínimas e exigências em cadeia de fornecedores, o governo busca elevar a maturidade de segurança de empresas que fazem parte da economia digital e da infraestrutura crítica.


O adiamento do National Cyber Action Plan, no entanto, mostra como instabilidade política pode afetar diretamente a agenda de segurança cibernética. Em um cenário de ataques frequentes contra hospitais, fabricantes, fornecedores e infraestrutura crítica, atrasos em planos nacionais, leis e consultas públicas podem ampliar a janela de exposição de empresas e serviços essenciais.


O caso britânico também serve de alerta para outros países. Estratégias nacionais de cibersegurança dependem não apenas de capacidade técnica, mas de continuidade política, governança, coordenação com o setor privado e mecanismos rápidos de atualização regulatória. Quando esses elementos ficam subordinados a disputas partidárias ou trocas ministeriais, a resposta do Estado tende a ficar atrás da evolução das ameaças.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

(11) 93937-9007

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page