Na medida em que a digitalização do Sistema Financeiro Nacional avança, a sofisticação das ameaças exige que os marcos regulatórios de defesa sejam constantemente recalibrados. Sob essa ótica, o CMN e o BCB, por meio das Resoluções CMN 5.274 e BCB 538 (publicadas em dezembro/2025 e vigentes a partir de março/2026), fortalecem os requisitos de segurança digital inerentes às operações no SFN. As mudanças não apenas atualizam normas fundamentais vigentes, mas também consolidam a resiliência operacional como um pilar estratégico, robustecendo as exigências técnicas e reforçando o envolvimento cada vez maior da alta administração.
Um dos avanços mais significativos diz respeito à gestão de fornecedores críticos. O regulador agora exige controles muito mais rigorosos na contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem. Diferente de uma auditoria direta no prestador, a responsabilidade da instituição inclui assegurar, via contratos formalizados, cláusulas robustas de níveis de serviço (SLAs) e garantir o acesso do contratante e do regulador aos relatórios de auditoria dos próprios fornecedores. Essa postura diligente garante visibilidade sobre a resiliência da “cadeia de suprimentos digital” sem desviar das competências operacionais.
Complementando o controle de terceiros, a sistemática de gestão e reporte de incidentes foi otimizada para garantir rapidez na contenção de riscos sistêmicos. A agilidade na comunicação de crises é agora acompanhada pela obrigatoriedade de testes de intrusão periódicos e simulações de desastres realistas. Ao substituir a ideia de recorrência pela periodicidade planejada, a norma exige a contratação de especialistas para validar se as defesas resistem a ataques reais. Esse ciclo permite que a instituição identifique vulnerabilidades e comprove sua capacidade de retomar funções vitais em tempo hábil após qualquer interrupção.
Finalmente, é vital compreender que este novo ecossistema de segurança atua em total simbiose com a Resolução Conjunta nº 18. Enquanto a RC 18 assegura que os dados gerados sejam de alta qualidade e rastreáveis, as atualizações de cibersegurança garantem que esse patrimônio informativo esteja blindado e disponível.
Na MK Consultoria, enxergamos este conjunto normativo como a base da confiança institucional. Estar em conformidade até março de 2026 é um diferencial competitivo que protege o valor e a reputação da sua marca.
