Licitação para segurança da informação e cibersegurança no setor público
Guia sobre contratação de cibersegurança pública: Lei 14.133/2021, IN SGD 94/2022 e Decreto E-Ciber. Planejamento, requisitos, julgamento e gestão de riscos.
A Lei 14.133/2021 é o marco legal que rege as licitações e contratos da administração pública brasileira, incluindo contratações de segurança da informação e cibersegurança. A Instrução Normativa SGD/ME nº 94/2022 estabelece regras específicas para contratações de Tecnologia da Informação e Comunicação (TIC), exigindo Documento de Formalização de Demanda (DFD), Estudo Técnico Preliminar (ETP) e Termo de Referência (TR). O Decreto nº 12.573/2025 (E-Ciber) institui a Estratégia Nacional de Cibersegurança, com padrões de segurança e resposta a incidentes que impactam diretamente as contratações públicas.
Como planejar e governar a contratação de cibersegurança?
O planejamento é etapa mandatória para qualquer contratação pública, conforme a Lei 14.133/2021. Em TIC, a IN SGD/ME nº 94/2022 detalha que o DFD deve conter a justificativa da necessidade, o ETP deve analisar riscos e soluções disponíveis, e o TR deve especificar requisitos técnicos, prazos e critérios de aceitação. O Decreto E-Ciber acrescenta que as contratações devem observar padrões de segurança cibernética, especialmente para sistemas que tratam dados sigilosos ou críticos. A governança inclui ainda a elaboração de plano de contingência e a definição de responsabilidades pela gestão de incidentes.
Segundo o Guia de Boas Práticas em Contratação de Soluções de TI, o planejamento deve ser alinhado ao Plano Diretor de TI do órgão, garantindo que a contratação atenda aos objetivos estratégicos de segurança da informação.
Quais requisitos técnicos e de qualificação são exigidos?
A definição de requisitos técnicos deve focar na necessidade real, evitando especificações excessivas ou direcionamento a marcas. A Lei 14.133/2021 autoriza a exigência de prova de conceito, amostras e exames de conformidade (art. 43). O Guia de Adequações de Contratos de TI orienta que os requisitos sejam baseados em padrões abertos e interoperáveis. Editais podem exigir atestados de capacidade técnica que comprovem a execução anterior de serviços similares, como implantação de firewalls, sistemas de detecção de intrusão ou resposta a incidentes.
Para qualificação profissional, é possível exigir certificações como CISSP ou ISO 27001 Implementer, desde que justificadas no ETP. A comprovação de vínculo do profissional com a empresa licitante é necessária para assegurar que a equipe técnica estará disponível durante a execução do contrato.
Qual o melhor critério de julgamento para contratações de cibersegurança?
Para soluções de cibersegurança, a complexidade técnica e a criticidade dos serviços recomendam o critério de julgamento por técnica e preço. A jurisprudência do TCU (Acórdão 2.325/2023-Plenário) reforça que esse critério permite avaliar a qualidade da proposta técnica além do menor preço, garantindo a escolha da solução mais adequada.
A tabela abaixo compara os principais critérios de julgamento e sua adequação à cibersegurança:
| Critério de julgamento | Adequado para cibersegurança? | Principal vantagem |
|---|---|---|
| Menor preço | Não recomendado | Baixa complexidade e objeto padronizado |
| Técnica e preço | Recomendado | Avalia qualidade técnica e custo-benefício |
| Melhor técnica | Casos excepcionais | Serviços intelectuais de altíssima complexidade |
A remuneração deve ser vinculada a níveis de serviço (SLA), conforme a Súmula 269 do TCU. O SLA deve incluir métricas como tempo de resposta a incidentes, disponibilidade e percentual de atualizações aplicadas, com glosas por descumprimento.
Como gerenciar riscos e garantir conformidade com a LGPD?
A conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) exige cláusulas contratuais que definam as responsabilidades do controlador (órgão público) e do operador (contratada) no tratamento de dados pessoais. O contrato deve especificar as finalidades, os tipos de dados tratados e as medidas de segurança adotadas. O Guia de Boas Práticas em Contratação de Soluções de TI recomenda incluir planos de contingência e métricas de qualidade nos contratos de segurança da informação.
O gerenciamento de riscos deve contemplar a continuidade operacional e a resiliência contra ciberataques, especialmente após o Decreto E-Ciber, que estabelece diretrizes para resposta a incidentes. É recomendável que o ETP inclua análise de riscos cibernéticos e defina controles de segurança, como criptografia, autenticação multifator e monitoramento contínuo. A LGPD, por sua vez, obriga a adoção de medidas técnicas e administrativas para proteger dados pessoais, sob pena de sanções administrativas.
Perguntas frequentes
É obrigatório exigir certificação ISO 27001 do fornecedor?
Não existe obrigação legal genérica, mas a administração pode exigir certificações como requisito de qualificação técnica, desde que justificado no ETP como essencial para o objeto. A IN SGD/ME nº 94/2022 permite exigir certificações quando relevantes para garantir a qualidade e a segurança do serviço.
Como definir o SLA em contratos de cibersegurança?
O SLA deve ser baseado em métricas objetivas: tempo máximo de resposta a incidentes (ex.: 4 horas para incidentes críticos), disponibilidade dos sistemas (ex.: 99,5%) e percentual de atualizações de segurança aplicadas no prazo. A Súmula 269 do TCU exige que o SLA esteja vinculado à remuneração, com descontos proporcionais ao descumprimento.
Quais documentos são necessários na fase de planejamento?
Para contratações de TIC, são obrigatórios: DFD (justificativa da demanda), ETP (análise de riscos, soluções e estimativa de preços) e TR (especificação detalhada do objeto, prazos e critérios de aceitação). Esses documentos devem ser aprovados pela autoridade competente antes da publicação do edital.
A LGPD impacta as cláusulas contratuais?
Sim. O contrato deve identificar o controlador e o operador, definir as finalidades do tratamento de dados pessoais e estabelecer obrigações de segurança. A ausência dessas cláusulas pode gerar responsabilidade administrativa, civil e até criminal, conforme a Lei 13.709/2018.
Qual modalidade usar na licitação de cibersegurança?
Para serviços comuns de cibersegurança (ex.: firewalls, antivírus), o pregão eletrônico é a modalidade preferencial. Para soluções complexas ou inovadoras (ex.: arquitetura de segurança customizada), a concorrência com técnica e preço ou o diálogo competitivo podem ser mais adequados. A escolha deve ser justificada no ETP e no processo administrativo.