Seção 1 — 13/05/2026

Aprova a Política de Segurança da Informação no âmbito do Ministério do Desenvolvimento Agrário e Agricultura Familiar - POSIN/MDA.

A MINISTRA DE ESTADO DO DESENVOLVIMENTO AGRÁRIO E AGRICULTURA FAMILIAR, no uso das atribuições que lhe confere o art. 87, parágrafo único, inciso II, da Constituição Federal, e considerando o disposto no art. 10, incisos II, IV e parágrafo único, do Decreto nº 12.572, de 4 de agosto de 2025, nos arts. 9º, caput e parágrafo único, e 10, caput e parágrafo único, da Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, e o que consta nos autos do Processo SEI nº 55000.000655/2026-17, resolve:

Art. 1º Fica aprovada, na forma do Anexo I, a Política de Segurança da Informação do Ministério do Desenvolvimento Agrário e Agricultura Familiar - POSIN/MDA.

Art. 2º Esta Portaria entra em vigor na data de sua publicação.

FERNANDA MACHIAVELI

ANEXO I

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO MINISTÉRIO DO DESENVOLVIMENTO AGRÁRIO E AGRICULTURA FAMILIAR - POSIN/MDA

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º A Política de Segurança da Informação do Ministério do Desenvolvimento Agrário e Agricultura Familiar - POSIN/MDA tem como propósito instituir princípios, diretrizes, responsabilidades, práticas e vedações relacionadas à Segurança da Informação, a fim de diminuir a exposição a riscos a níveis que garantam a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que suportem os objetivos estratégicos e as atividades precípuas do Ministério, bem como o cumprimento da Lei Geral de Proteção de Dados Pessoais - LGPD e das demais normas vigentes.

Art. 2º Esta Política aplica-se a todos os ativos de informação do Ministério do Desenvolvimento Agrário e Agricultura Familiar, compreendendo dados, sistemas, aplicativos, dispositivos e redes, bem como a todas as suas unidades organizacionais.

Parágrafo único. Suas disposições devem ser observadas por todos os usuários de informação, incluindo servidores, empregados, prestadores de serviços e demais pessoas autorizadas pela administração.

Art. 3º A POSIN/MDA deverá ser complementada por atos normativos decorrentes, conforme as competências definidas neste Anexo.

Parágrafo único. As normas, os procedimentos, os manuais e as metodologias de segurança da informação do Ministério deverão considerar, como referência, além dos normativos vigentes, as melhores práticas de segurança da informação.

Art. 4º A implementação da POSIN/MDA observará os objetivos estratégicos do Ministério.

Art. 5º Para fins desta Portaria, bem como documentos dela decorrentes, aplica-se o termo Alta Administração para Ministro de Estado e ocupantes de Cargo Comissionado Executivo - CCE ou Função Comissionada Executiva - FCE de nível 17 ou superior.

Parágrafo único. Para demais definições desta Política e de outros normativos internos afetos à segurança da informação, considera-se o Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República, por meio da Portaria GSI/PR nº 093, de 18 de outubro de 2021.

CAPÍTULO II

DOS OBJETIVOS

Art. 6º São objetivos da POSIN/MDA:

I - estabelecer princípios e diretrizes para a proteção dos ativos de informação e dos conhecimentos gerados ou recebidos;

II - orientar as ações de segurança da informação para a execução das competências previstas no art. 1º do Anexo I do Decreto nº 11.396, 21 de janeiro de 2023;

III - aprimorar continuamente as normas relacionadas à implementação da segurança da informação;

IV - fomentar a formação e a qualificação de recursos humanos para fortalecer a cultura da segurança da informação; e

V - orientar, no âmbito do Ministério, ações relacionadas com:

a) segurança de dados e informações;

b) segurança dos ativos de informação;

c) proteção de dados pessoais; e

d) tratamento de informações classificadas ou com restrição de acesso.

CAPÍTULO III

DOS PRINCÍPIOS

Art. 7º As ações de segurança da informação do Ministério são norteadas pelos princípios constitucionais e administrativos que norteiam a administração pública federal, bem como pelos seguintes princípios:

I - transparência desde a concepção e sigilo de informações imprescindíveis à segurança da sociedade e do Estado e a inviolabilidade da vida privada, da honra e da imagem das pessoas;

II - respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;

III - visão abrangente, sistêmica e integrada da segurança da informação;

IV - preservação do acervo histórico do Ministério;

V - orientação à gestão de riscos e à gestão da segurança da informação;

VI - need to know (necessidade de conhecer) para o acesso a informações sigilosas, nos termos da legislação vigente;

VII - segregação de funções;

VIII - menor privilégio;

IX - auditabilidade;

X - mínima dependência de segredos;

XI - controles automáticos;

XII - resiliência;

XIII - defesa em camadas;

XIV - exceção aprovada após o devido registro e deliberação do Comitê de Gestão de Segurança da Informação e Comunicação - CGDSIC do Ministério ou colegiado similar;

XV - substituição da segurança em situações de emergência;

XVI - integração e cooperação entre Ministério, sociedade, instituições de ensino e pesquisa, setor produtivo e órgãos e entidades da administração pública direta e indireta da União, Estados, Distrito Federal e Municípios;

XVII - conformidade das normas e das ações de segurança da informação com a legislação e regulamentos aplicáveis; e

XVIII - alinhamento aos objetivos estratégicos do Ministério.

CAPÍTULO IV

DAS DIRETRIZES GERAIS

Art. 8º É dever dos agentes públicos que utilizem os ativos de informação e comunicação do Ministério conhecer e cumprir esta POSIN/MDA.

Art. 9º Todos os agentes públicos são responsáveis pela segurança dos ativos de informação e comunicação que estejam sob a sua responsabilidade e por todos os atos executados com suas identificações, tais como: identificação de usuário da rede (login), crachá, endereço de correio eletrônico ou assinatura digital, entre outros.

§ 1º Todos os agentes públicos deverão assinar o Termo de Responsabilidade constante do Anexo II desta Política, formalizando o compromisso de cumprimento das diretrizes de segurança da informação.

§ 2º O Termo de Responsabilidade constante no Anexo II deverá ser assinado no momento da concessão de acesso aos ativos de informação do Ministério ou na integração ao quadro de servidores e colaboradores.

Art. 10. Os recursos de Tecnologia da Informação e Comunicação disponibilizados pelo Ministério devem ser utilizados estritamente dentro do seu propósito.

Art. 11. Os contratos de prestação de serviços firmados pelo Ministério conterão cláusula específica sobre a obrigatoriedade de atendimento às diretrizes desta POSIN/MDA, devendo ainda, exigir da entidade contratada, a assinatura de Termo de Confidencialidade.

CAPÍTULO V

DAS DIRETRIZES ESPECÍFICAS

Art. 12 Esta Política aplica-se tanto no ambiente informatizado quanto nos meios convencionais de processamento, comunicação e armazenamento da informação e rege-se pelas seguintes diretrizes:

I - tratamento da informação:

a) toda informação criada, manuseada, armazenada, transportada, descartada ou custodiada pelo agente público, no exercício de suas atividades para o Ministério, é considerada um ativo e deve ser protegida adequadamente, quanto aos aspectos de confidencialidade, integridade, autenticidade e disponibilidade, de forma explícita ou implícita, conforme o Decreto nº 7.845, de 14 de novembro de 2012;

b) no descarte de informações institucionais são observados as políticas, as normas, os procedimentos internos, a classificação que a informação possui, bem como a temporalidade prevista na legislação.

II - segurança física e do ambiente:

a) o ingresso de visitantes deve ser controlado de forma a impedir o seu acesso às áreas de armazenamento ou processamento de informações sensíveis, salvo acompanhados por integrantes da Coordenação-Geral de Tecnologia da Informação - CGTI;

b) todas as pessoas que tiverem acesso às instalações físicas deverão portar identificação visível e, quando necessário, nível de autorização de acesso;

c) o acesso físico aos ambientes de Tecnologia da Informação - TIC do Ministério deverá possuir controles, mecanismos de segurança e infraestrutura adequados aos níveis de segurança exigidos para cada local.

III - tratamento de incidentes em rede:

a) a unidade responsável pela segurança da informação manterá Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR, com a responsabilidade de receber, analisar e responder notificações e atividades relacionadas a incidentes de segurança em rede de computadores.

IV - gestão de ativos de informação:

a) os ativos de informação devem ser inventariados, protegidos e utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político-partidárias, religiosas, discriminatórias e afins;

b) a unidade responsável pela segurança da informação manterá processo de Inventário e Mapeamento dos Ativos de Informação, objetivando a segurança das infraestruturas críticas que garantem suas informações;

c) as instalações e infraestruturas críticas/sensíveis somadas aos processos e atividades que sustentam os serviços críticos de TIC disponibilizados pelo Ministério devem ser protegidas, considerando os riscos identificados, os níveis de segurança definidos e os controles de segurança implementados.

V - gestão do uso dos recursos computacionais e de comunicação, tais como e-mail, acesso à internet, mídias sociais, computação em nuvens, entre outros:

a) o uso dos recursos computacionais e de comunicação do Ministério pelos agentes públicos deve ser direcionado prioritariamente para realização das atividades profissionais desempenhadas para o Ministério nos limites dos princípios da ética, razoabilidade e legalidade;

b) o correio eletrônico corporativo é de uso institucional e deve ser empregado por seus usuários para fins institucionais direta ou indiretamente relacionados às atividades de gestão, em obediência a esta POSIN/MDA, aos normativos internos correlatos, aos princípios, às diretrizes e às legislações pertinentes à administração pública federal, podendo o seu conteúdo ser monitorado em deferimento a ações judiciais e/ou administrativas sem aviso prévio, não cabendo ao usuário do serviço alegar ofensa ao sigilo das comunicações;

c) o contrato de prestação de serviço, quando for o caso, deverá conter cláusulas que garantam a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na nuvem, em especial aquelas sob custódia e gerenciamento do prestador de serviço;

d) o uso institucional das redes sociais nos aspectos relacionados à segurança da informação deverá ser objeto de norma interna que, abordará inclusive a estratégia de comunicação social, o processo de gestão de conteúdo e outros aspectos relevantes.

VI - controle de acesso lógico:

a) o acesso aos computadores, à rede corporativa e aos serviços oferecidos depende de prévia autenticação, concedido e mantido pela unidade de tecnologia da informação, baseado nas responsabilidades e tarefas de cada usuário;

b) o acesso a qualquer informação veiculada eletronicamente deverá ser passível de monitoramento, com vistas a garantir a rastreabilidade e a auditoria das ações realizadas;

c) a identificação do agente público, qualquer que seja o meio e a forma, é pessoal e intransferível, permitindo o reconhecimento de maneira inequívoca.

VII - gestão de riscos:

a) a unidade de segurança da informação deverá estabelecer processo de gestão de riscos de segurança da informação alinhado com a Política de Gestão de Riscos do MDA vigente, com vistas a minimizar possíveis impactos associados aos ativos de informação;

b) o processo deverá se basear nas melhores práticas e normas vigentes para a implementação da gestão de riscos.

VIII - gestão de continuidade de negócios em segurança da informação:

a) a unidade de segurança da informação deverá estabelecer processo de gestão de continuidade de negócios em segurança da informação, visando reduzir a possibilidade de interrupção causada por desastres, falhas ou indisponibilidades significativas nos recursos de TIC que suportam as operações;

b) as informações de propriedade ou custodiadas, quando armazenadas em meio eletrônico, devem ser providas de cópia de segurança de forma a garantir a continuidade das atividades do Ministério;

c) as informações armazenadas em outros meios devem possuir mecanismos de proteção que preservem sua integridade, conforme o nível de classificação atribuído.

IX - auditoria e conformidade:

a) as atividades e o uso dos recursos de TIC disponibilizados pelo Ministério são passíveis de monitoramento, auditoria e avaliação de conformidade;

b) serão mantidos procedimentos, tais como trilhas de auditoria, rastreamento, acompanhamento, controle e verificação de acessos para todos os sistemas corporativos e rede interna do Ministério.

X - gestão de Segurança da Informação:

a) a Gestão da Segurança da Informação - GSIC compreende a preservação dos ativos de informação e deve considerar, prioritariamente, os objetivos estratégicos, os planos institucionais, os requisitos legais, a estrutura e a finalidade do Ministério;

b) a GSIC deve suportar a tomada de decisões, bem como promover a gestão do conhecimento e dos recursos por meio do aproveitamento eficiente e eficaz dos ativos, possibilitando alcançar os objetivos estratégicos do Ministério, assim como otimizar seus investimentos;

c) os recursos tecnológicos, as instalações de infraestrutura, os sistemas de informação e aplicações devem ser protegidos contra indisponibilidade, alterações ou acessos indevidos, falhas, danos e interrupções não programadas;

d) o investimento necessário em medidas de segurança da informação deve ser dimensionado segundo o valor do ativo a ser protegido e de acordo com o risco de potenciais prejuízos ao Ministério;

e) O uso da internet pela rede do Ministério deve ser empregado para fins institucionais direta ou indiretamente relacionados às atividades de gestão;

f) deverá ser definida a plataforma oficial de comunicação e colaboração institucional pelo Gestor de Tecnologia da Informação, assegurando que a plataforma atenda aos requisitos de criptografia de dados, controles de acesso baseados no princípio do menor privilégio, auditabilidade e rastreabilidade de comunicações, recursos de prevenção de vazamento de dados (DLP) e integração com os sistemas corporativos do Ministério;

g) os usuários terão seus acessos autorizados conforme as políticas e as normas de TIC do Ministério e, durante a vigência do acesso, devem manter os níveis de segurança da informação adequados, segundo preceitos desta POSIN/MDA e normativos decorrentes, bem como acatar as suas implicações;

h) o tratamento de dados pessoais deve assegurar a titularidade e a sua proteção, de forma a garantir os direitos fundamentais da intimidade, da liberdade e da privacidade, nos termos da legislação vigente e das políticas internas.

Art. 13. As políticas, as normas, os procedimentos, as orientações ou os manuais devem abordar, no mínimo, aspectos relacionados a:

I - conformidade com as diretrizes dispostas na Lei Geral de Proteção de Dados Pessoais e demais normativos e orientações emitidas pela Agência Nacional de Proteção de Dados;

II - classificação da informação de acordo com seu nível de confidencialidade e criticidade, entre outros fatores, com vistas a determinar os controles de segurança adequados;

III - proteção dos dados contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

IV - uso aceitável da informação e a utilização de mídias de armazenamento;

V - entrada e saída de ativos de informação das instalações da organização;

VI - perímetros de segurança da organização; VII - controles de acesso baseados no princípio do menor privilégio;

VIII - etapas de identificação, contenção, erradicação e recuperação e atividades pós-incidente; e

IX - Plano de Gestão de Incidentes de Segurança, de forma a considerar diferentes cenários.

§ 1º Todas as ações, realizadas pelas unidades do Ministério, que envolvem a segurança da informação devem estar em conformidade com as leis e os regulamentos aplicáveis a essa temática.

§ 2º As atividades, os produtos e os serviços desenvolvidos no Ministério devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.

CAPÍTULO VI

DA ESTRUTURA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Art. 14. A estrutura de Gestão de Segurança da Informação é composta por:

I - Alta Administração;

II - Comitê de Governança Digital e Segurança da Informação;

III - Gestor de Segurança da Informação;

IV - Gestor de Tecnologia da Informação;

V - Encarregado pelo Tratamento de Dados Pessoais;

VI - Responsável pela Assessoria Especial de Controle Interno;

VII - Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos; e

VIII - Usuários de Informação.

Art. 15. Compete à Alta Administração:

I - fornecer os recursos necessários para assegurar o desenvolvimento e a implementação da Gestão de Segurança da Informação do Ministério, bem como o tratamento das ações e decisões de segurança da informação em nível de relevância e prioridade adequados; e

II - formalizar e aprovar a Política de Segurança da Informação do Ministério, bem como suas alterações e atualizações.

Art. 16. Compete ao Comitê de Governança Digital e Segurança da Informação:

I - assessorar a implementação das ações de segurança da informação;

II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação; e

III - formular e deliberar sobre a POSIN/MDA e normas internas de segurança da informação.

Parágrafo único. A composição, a estrutura, os recursos e o funcionamento do Comitê de Governança Digital e Segurança da Informação serão definidos em ato administrativo próprio emitido pelo Ministério, de acordo com a legislação vigente.

Art. 17. Compete ao Gestor de Segurança da Informação:

I - coordenar as iniciativas de segurança da informação no âmbito do órgão ou da entidade ao qual representa, garantindo o cumprimento das normas internas e da legislação vigente;

II - estimular iniciativas de capacitação em temas relacionados à segurança da informação e promover ações de conscientização sobre boas práticas aos agentes públicos;

III - divulgar as normas internas de segurança da informação a todos os agentes públicos;

IV - realizar avaliações de riscos e análise dos impactos antes da adoção de tecnologias emergentes no contexto de seu órgão ou entidade;

V - planejar e propor os recursos orçamentários necessários à implementação, atualização e manutenção de iniciativas de segurança da informação;

VI - acompanhar os trabalhos da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos;

VII - atuar como segunda linha de defesa no âmbito do Sistema de Controle Interno;

VIII - realizar avaliações de conformidade em relação à implementação de requisitos estabelecidos na Política Nacional de Segurança da Informação (PNSI), nas normas inferiores e na legislação aplicável à segurança da informação, e apoiar auditorias internas e externas;

IX - acompanhar a aplicação de ações corretivas e administrativas cabíveis nos casos de violação da segurança da informação;

X - cooperar com o Encarregado pelo Tratamento de Dados Pessoais nas ações relativas à segurança da informação quando envolver dados pessoais;

XI - elaborar e revisar o planejamento tático de segurança da informação, e acompanhar sua implementação;

XII - participar de fóruns especializados para obtenção de experiências e ampliação de capacidades, tanto no setor público quanto no setor privado; e

XIII - avaliar a capacidade operacional do órgão ou da entidade que representa, a fim de:

a) subsidiar as decisões dos gestores superiores sobre ações de segurança da informação; e

b) emitir parecer técnico ou recomendação sobre a conveniência de integrar ou desligar-se de arranjos colaborativos de segurança da informação.

Parágrafo único. O responsável pela unidade de tecnologia da informação deverá colaborar e fornecer os subsídios necessários ao Gestor de Segurança da Informação para a execução de suas competências.

Art. 18. Compete ao Gestor de Tecnologia da Informação e Comunicações, entre outras atribuições dispostas na legislação vigente, planejar, implementar e aperfeiçoar continuamente os controles de privacidade e segurança da informação em soluções de tecnologia da informação e comunicações, considerando a cadeia de suprimentos relacionada à solução.

Art. 19. Compete ao Encarregado pelo Tratamento dos Dados Pessoais, entre outras atribuições dispostas na legislação vigente, conduzir o diagnóstico de privacidade, bem como orientar, no que couber, em conjunto com o Gestor de Segurança de Informação, os gestores proprietários dos ativos de informação, responsáveis pelo planejamento, implementação e melhoria contínua dos controles de privacidade em ativos de informação que realizem o tratamento de dados pessoais ou dados pessoais sensíveis.

Art. 20. Compete ao Responsável pela Assessoria Especial de Controle Interno, entre outras atribuições dispostas na legislação vigente, apoiar, supervisionar e monitorar as atividades desenvolvidas pela primeira linha de defesa prevista na Instrução Normativa CGU nº 3, de 9 de junho de 2017.

Art. 21. Compete à Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos:

I - facilitar, coordenar e executar as atividades de prevenção, tratamento e resposta a incidentes cibernéticos no Ministério;

II - monitorar as redes computacionais;

III - detectar e analisar ataques e intrusões;

IV - tratar incidentes de segurança da informação;

V - identificar vulnerabilidades e artefatos maliciosos;

VI - recuperar sistemas de informação; e

VII - promover a cooperação com outras equipes e participar de fóruns e redes relativas à segurança da informação.

Parágrafo único. A composição, a estrutura, os recursos e o funcionamento da Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos serão definidos em ato administrativo próprio emitido pelo Ministério, em conformidade com a legislação vigente.

Art. 22 Compete aos Usuários de Informação conhecer, cumprir e fazer cumprir esta Política e às demais normas específicas de segurança da informação do Ministério.

Parágrafo único. Todos os Usuários de Informação são responsáveis pela segurança dos ativos de informação que estejam sob a sua responsabilidade.

CAPÍTULO VII

DAS VEDAÇÕES

Art. 23. É vedada a utilização dos recursos de tecnologia da informação disponibilizados pelo Ministério para acesso, guarda e divulgação de material incompatível com ambiente do serviço, que viole direitos autorais ou que infrinja a legislação vigente.

Art. 24. São vedados o uso e a instalação de recursos de tecnologia da informação que não tenham sido homologados ou adquiridos pelo Ministério.

Art. 25. É vedada a divulgação a terceiros de mecanismos de identificação, autenticação e autorização baseados em conta e senha ou certificação digital, de uso pessoal e intransferível, que são fornecidos aos usuários.

Art. 26. É vedada a exploração de eventuais vulnerabilidades, as quais devem ser comunicadas às instâncias superiores assim que identificadas.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Art. 27. As unidades organizacionais do Ministério devem fomentar, em conjunto com o Gestor de Segurança da Informação, ações de treinamento e conscientização para que os seus agentes públicos entendam suas responsabilidades e procedimentos voltados à segurança da informação e à proteção de dados.

Parágrafo único. A conscientização, a capacitação e a sensibilização em segurança da informação devem ser adequadas aos papéis e responsabilidades dos agentes públicos.

Art. 28. As denúncias de violação a esta Política devem ser registradas na Plataforma Integrada de Ouvidoria e Acesso à Informação - Fala.BR, as quais serão tramitadas internamente à unidade de segurança da informação.

Parágrafo único. Em razão da relevância do tema para a segurança dos ativos da informação do Ministério, após o encaminhamento da denúncia via Fala.BR, o Encarregado notificará o Gestor de Segurança da Informação para ciência.

Art. 29. O cumprimento desta Política, bem como dos normativos que a complementem, deve ser avaliado periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de segurança da informação e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 30. A não observância do disposto nesta Política, bem como em seus instrumentos normativos correlatos, sujeita o infrator à aplicação de sanções administrativas conforme a legislação vigente, sem prejuízo das responsabilidades penal e civil, assegurados sempre aos envolvidos o contraditório e a ampla defesa.

Art. 31. Esta Política será revisada periodicamente, pelo menos a cada quatro anos, ou com mais frequência se necessário, para refletir as mudanças no ambiente do Ministério, nos riscos à segurança da informação e nas melhores práticas de segurança da informação.

Art. 32. Os casos omissos e as dúvidas sobre esta POSIN/MDA e seus documentos decorrentes devem ser submetidas ao Comitê de Segurança da Informação do Ministério.

ANEXO II

TERMO DE RESPONSABILIDADE

Por este Termo de Responsabilidade, declaro-me ciente de que:

I - as normas gerais relativas à segurança da informação no âmbito do Ministério do Desenvolvimento Agrário e Agricultura Familiar estão consignadas em sua Política de Segurança da Informação - POSIN/MDA, da qual tomei pleno conhecimento;

II - a inobservância a regras de confidencialidade ou restrição de acesso a informações ou ativos de informação do Ministério e ações que violem a POSIN/MDA poderá acarretar, isolada ou cumulativamente, sanções administrativas, civis e penais, inclusive as previstas no art. 325 do Código Penal, assegurados o contraditório e a ampla defesa, nos termos da legislação aplicável; e

III - comprometo-me a cumprir as regras, diretrizes, determinações e recomendações contidas na mencionada POSIN/MDA e na legislação correlata, responsabilizando-me pelo uso que fizer de informações relacionadas às atribuições do Ministério e dos seus ativos de informação.

Data e assinatura

Decreto-Lei nº 5.848, de 7 de dezembro de 948. Código Penal

Violação de sigilo funcional

Art. 325 - Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação:

Pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.

§ 1º Nas mesmas penas deste artigo incorre quem: [incluído pela Lei nº 9.983, de 2000]

I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública; [incluído pela Lei nº 9.983, de 2000]

II - se utiliza, indevidamente, do acesso restrito. [incluído pela Lei nº 9.983, de 2000]

§ 2º Se da ação ou omissão resulta dano à Administração Pública ou a outrem: [incluído pela Lei nº 9.983, de 2000].

Pena - reclusão, de 2 (dois) a 6 (seis) anos, e multa. [incluído pela Lei nº 9.983, de 2000].

Aprova o Plano de Gestão de Incidentes Cibernéticos no âmbito do Ministério do Desenvolvimento Agrário e Agricultura Familiar.

A MINISTRA DE ESTADO DO DESENVOLVIMENTO AGRÁRIO E AGRICULTURA FAMILIAR, no uso das atribuições que lhe foram conferidas pelo Decreto nº 11.396, de 21 de janeiro de 2023, e considerando o disposto na Lei nº 13.709, de 14 de agosto de 2018, no art. 12 do Decreto nº 10.748, de 16 de junho de 2021, na Portaria GSI/PR nº 120, de 21 de dezembro de 2022, e na Resolução CD/ANPD nº 15, de 24 de abril de 2024, e o que consta do Processo Administrativo nº 55000.000656/2026-61, resolve:

Art. 1º Fica aprovado, no âmbito do Ministério do Desenvolvimento Agrário e Agricultura Familiar - MDA, o Plano de Gestão de Incidentes Cibernéticos, com a finalidade de fortalecer as camadas de defesa e estabelecer medidas de prevenção, tratamento e resposta a incidentes cibernéticos.

Parágrafo único. O Plano de Gestão de Incidentes Cibernéticos deverá ser continuamente atualizado, com base nas informações obtidas por meio de monitoramento permanente e avaliações periódicas, sendo as alterações devidamente justificadas.

Art. 2º O Plano de Gestão de Incidentes Cibernéticos estará disponível para consulta no endereço eletrônico https://www.gov.br/mda/pt-br/acesso-a-informacao/privacidade-e-protecao-de-dados-pessoais.

Art. 3º Esta Portaria entra em vigor na data de sua publicação

FERNANDA MACHIAVELI