Nova Resolução CMN nº 5.274 de 18/12/2025

No final de dezembro de 2025, o Conselho Monetário Nacional (CMN) publicou a Resolução CMN nº 5.274/2025, que estabelece novos requisitos de segurança cibernética para todas as instituições autorizadas a funcionar pelo Banco Central do Brasil e que abrangem a oferta de serviços digitais.

Essa recente e importante atualização no âmbito da segurança cibernética alterou a Resolução CMN nº 4.893/2021, reforçando e ampliando as exigências de controles de segurança da informação. O objetivo claro é reduzir a vulnerabilidade das instituições a incidentes cibernéticos e fortalecer ainda mais a proteção de todo o ecossistema financeiro.

Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética devem abranger, dentre outras exigências, (i) mecanismos de prevenção e detecção de intrusão, (ii) definição e implementação de perfis de configuração segura de ativos de tecnologia, (iii) gestão de certificados digitais, e (iv) ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, deep web e na dark web, além de grupos privados de comunicação (art. 3º, §2º, da Resolução CMN nº 4.893/2021).

Foi alterado o teor do relatório anual sobre a implementação do plano de ação e de resposta a incidentes, exigindo que sejam também incluídos no relatório “os resultados dos testes de intrusão e dos testes, varreduras e análises periódicas para detecção de vulnerabilidades”, bem como os planos de ação estabelecidos para as suas correções (art. 8º, §1º, V, da Resolução CMN nº 4.893/2021).

A Resolução também é destinada ao próprio Banco Central, apontando que a autarquia deverá observar a diretriz geral de que o conteúdo dispondo sobre os requisitos de segurança deverão acompanhar as inovações tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles para a implementação da política de segurança cibernética em cenários futuros (art. 24, §2º, II, da Resolução CMN nº 4.893/2021).

Para cada um dos controles previstos na regulamentação, o CMN estabelece requisitos específicos que devem ser analisados de maneira detalhada e individualizada, à luz do porte, do perfil de risco, da complexidade operacional e do modelo de negócios da instituição.

Esses parâmetros não se limitam à operação rotineira, mas devem também ser observados no desenvolvimento de sistemas seguros e na adoção de novas tecnologias pelas instituições, o que requer uma análise cuidadosa para assegurar a efetividade das medidas de segurança adotadas.

Atualizações como esta representam um avanço significativo no fortalecimento da resiliência cibernética do sistema financeiro frente a ciberataques, beneficiando tanto as instituições quanto os usuários finais.

O prazo para implementação das adequações exigidas é até 01 de março de 2026.

Diante da complexidade técnica e regulatória envolvida, o Peck Advogados conta com um time de especialistas, com ampla experiência em regulação financeira e gestão de incidentes cibernéticos, preparado para apoiar a sua instituição no alinhamento estratégico e regulatório, bem como na implementação das medidas necessárias, sempre alinhadas à realidade do seu negócio.

Elaborado por: Dr. Leandro Bissoli, Sócio, Dr. Lucas Arthuso, Advogado Especialista em Cibersegurança e Proteção de Dados e Dr. Cezar Najjarian, Advogado Especialista em Contencioso Digital.

AUTOR

• Cezar Najjarian
• Lucas Arthuso
• Leandro Bissoli