Lei 187-FZ: Ela se aplica a você? Um checklist de 6 passos para dormir tranquilo
A Lei Federal nº 187-FZ, com suas recentes emendas, está gerando debates sobre sua aplicabilidade. Este artigo desmistifica quem realmente precisa se preocupar e oferece um guia prático para garantir a conformidade.
MundiX News·08 de junho de 2026·5 min de leitura·👁 7 views
As discussões em torno da Lei Federal nº 187-FZ (187-FZ) persistem, com opiniões divididas sobre seu escopo. Enquanto alguns acreditam que a lei se restringe a organizações dos setores de complexo industrial de defesa e energia nuclear, outros defendem que ela se tornou obrigatória para todas as entidades, sem exceção. Na prática, a verdade reside em um ponto intermediário.
As emendas introduzidas pela Lei Federal nº 58-FZ (58-FZ), que entraram em vigor em 1º de setembro de 2025, alteraram significativamente as regras para os sujeitos da Infraestrutura de Informação Crítica (IIC). No entanto, a questão central permanece: sua empresa se enquadra na definição de sujeito de IIC e como verificar isso sem a necessidade de um complexo auditoria jurídica?
Por que esta lei é necessária?
A 187-FZ foi promulgada em 2017 com o objetivo de obrigar empresas de setores específicos a protegerem seus sistemas de informação e sistemas automatizados de controle de processos tecnológicos (АСУ ТП) de forma a prevenir que falhas resultem em fatalidades humanas, catástrofes ambientais ou interrupção de processos críticos. Por um longo período, os requisitos foram cumpridos de maneira formal, com a elaboração de documentos, mas sem mudanças concretas em software e hardware.
A situação mudou a partir de setembro de 2025, com a entrada em vigor das emendas à 187-FZ. Agora, um pacote de documentos não é mais suficiente. A lei exige medidas técnicas e organizacionais específicas, e os órgãos de controle receberam ferramentas para verificar seu cumprimento.
As consequências por violações também foram alteradas. Agora, não se trata apenas de multas. As empresas podem enfrentar a suspensão das operações de seus ativos críticos. Em casos específicos, a responsabilidade criminal para os funcionários é prevista (Artigo 274.1 do Código Penal Russo).
Então, quem realmente se enquadra?
Essa questão frequentemente gera confusão. Não importa se sua empresa é grande ou pequena, ou o volume de transações financeiras. Apenas dois fatores são cruciais:
Em qual setor você opera;
Se você possui sistemas cuja falha pode causar danos reais – a pessoas, à economia ou ao meio ambiente.
Setores onde empresas automaticamente se enquadram na 187-FZ (de acordo com as listas do FSTEC e do Ministério da Digitalização):
Energia (incluindo fornecimento de eletricidade, calor e gás);
Transporte (ferroviário, aéreo, metrô, portos);
Comunicações e telecomunicações (operadoras, data centers);
Bancos e instituições financeiras não bancárias (participantes do sistema de pagamento, bolsas de valores);
Complexo de combustível e energia, energia nuclear;
Indústria de defesa e espaço;
Mineração, metalurgia, indústria química;
Saúde e ciência (se sistemas de controle automatizados ou sistemas médicos de suporte à vida forem utilizados).
A lei abrange não apenas pessoas jurídicas, mas também empreendedores individuais, caso possuam ativos de IIC. Por exemplo, um provedor de internet municipal que fornece serviços a edifícios residenciais e instituições municipais.
No entanto, pertencer a um setor específico não é suficiente. A lei também exige que a empresa possua sistemas de informação, redes de comunicação ou АСУ ТП que controlem um processo produtivo real. Um CRM comum para vendas ou um programa de contabilidade não se qualificam. Mas um sistema SCADA que controla uma caldeira já é um ativo sujeito a regulamentação.
Quem não se enquadra?
Os requisitos da lei não se aplicam a empresas dos seguintes setores (desde que não possuam ativos de IIC próprios relacionados a setores críticos):
Varejo (exceto quando o negócio fornece diretamente infraestrutura energética ou de transporte);
Serviços de alimentação;
Construção de edifícios residenciais e comerciais;
Indústria leve, produção de bens de consumo;
Setor de serviços (publicidade, consultoria, desenvolvimento de TI) – desde que não possuam sistemas de produção ou tecnológicos próprios que controlem processos críticos.
No entanto, se uma empresa desses setores utiliza sistemas automatizados que afetam a operação de ativos de IIC em outros setores (por exemplo, presta serviços a um sistema SCADA de abastecimento de água, mantém um sistema de medição de aquecimento para um bairro residencial ou fornece canais de comunicação para transporte municipal), ela pode ser indiretamente afetada pela regulamentação. Nesses casos, uma análise adicional é necessária.
Checklist: O que fazer para quem está na lista?
PASSO 1. Descubra seu status.
Verifique se sua empresa está listada no registro de sujeitos de IIC (mantido pelo FSTEC). Muitas empresas não estão formalmente registradas, mas isso não as isenta de suas obrigações. Em caso de dúvida, realize a categorização de acordo com a Ordem do FSTEC nº 239.
PASSO 2. Inventário de software e hardware.
Crie uma lista de todos os sistemas de informação e АСУ ТП que controlam processos críticos. Destaque separadamente onde software e hardware importados estão instalados.
PASSO 3. Plano de transição para software russo.
A partir de 1º de setembro de 2025, o uso de software estrangeiro em ativos de IIC sem a transição para análogos russos do registro do Ministério da Digitalização será proibido. Os prazos variam de acordo com o setor, mas não é aconselhável demorar mais de um ano.
PASSO 4. Implemente as medidas das Ordens do FSTEC.
O conjunto de requisitos depende da categoria de importância do ativo (primeira, segunda, terceira ou não categorizado). Em qualquer caso, há um mínimo básico necessário para todos: proteção contra hacking e acesso não autorizado; controle de quem acessa o sistema e para onde; registro de todos os eventos; antivírus. Os requisitos básicos específicos estão detalhados nas Ordens do FSTEC nº 239, nº 31 e nº 21. Estes devem ser estudados primeiro.
PASSO 5. Conecte-se ao GosSOPKA.
Configure a transmissão de dados sobre ciberataques para o sistema estatal. Isso pode ser feito por conta própria ou através de um provedor certificado, como centros de monitoramento já integrados.
PASSO 6. Reúna a documentação para cada ativo de IIC.
Para cada ativo crítico, prepare:
Ato de categorização;
Lista de endereços IP e domínios de onde o ativo acessa a internet;
Modo de funcionamento (projetado ou operacional);
Plano de resposta a incidentes.
A ausência desses documentos durante uma inspeção do FSTEC resultará em multa e uma ordem de correção.
Conclusão
Após as emendas da 58-FZ, os requisitos da 187-FZ tornaram-se não apenas obrigatórios, mas também verificáveis. Se você opera em um setor crítico e possui sistemas de controle, a lei deve ser cumprida. A ignorância pode levar à paralisação das operações e a perdas financeiras.
Se você pertence aos setores de varejo, alimentação, construção ou serviços (sem sistemas de produção próprios), a lei ainda não se aplica a você.
Portanto, é recomendado:
Especialistas em segurança da informação devem verificar se a categorização na organização foi realizada corretamente.
Gerentes devem perguntar aos seus departamentos de TI, segurança da informação e jurídico: a empresa se enquadra na 187-FZ e qual o status da transição para software russo na produção.
Se não houver clareza interna, é melhor encomendar uma auditoria a uma organização licenciada. Ela realizará uma verificação e informará com precisão se a lei está sendo cumprida ou não. Isso é mais barato do que ter que parar a produção posteriormente.
As discussões em torno da Lei Federal nº 187-FZ (187-FZ) persistem, com opiniões divididas sobre seu escopo. Enquanto alguns acreditam que a lei se restringe a organizações dos setores de complexo industrial de defesa e energia nuclear, outros defendem que ela se tornou obrigatória para todas as entidades, sem exceção. Na prática, a verdade reside em um ponto intermediário.
As emendas introduzidas pela Lei Federal nº 58-FZ (58-FZ), que entraram em vigor em 1º de setembro de 2025, alteraram significativamente as regras para os sujeitos da Infraestrutura de Informação Crítica (IIC). No entanto, a questão central permanece: sua empresa se enquadra na definição de sujeito de IIC e como verificar isso sem a necessidade de um complexo auditoria jurídica?
Por que esta lei é necessária?
A 187-FZ foi promulgada em 2017 com o objetivo de obrigar empresas de setores específicos a protegerem seus sistemas de informação e sistemas automatizados de controle de processos tecnológicos (АСУ ТП) de forma a prevenir que falhas resultem em fatalidades humanas, catástrofes ambientais ou interrupção de processos críticos. Por um longo período, os requisitos foram cumpridos de maneira formal, com a elaboração de documentos, mas sem mudanças concretas em software e hardware.
A situação mudou a partir de setembro de 2025, com a entrada em vigor das emendas à 187-FZ. Agora, um pacote de documentos não é mais suficiente. A lei exige medidas técnicas e organizacionais específicas, e os órgãos de controle receberam ferramentas para verificar seu cumprimento.
As consequências por violações também foram alteradas. Agora, não se trata apenas de multas. As empresas podem enfrentar a suspensão das operações de seus ativos críticos. Em casos específicos, a responsabilidade criminal para os funcionários é prevista (Artigo 274.1 do Código Penal Russo).
Então, quem realmente se enquadra?
Essa questão frequentemente gera confusão. Não importa se sua empresa é grande ou pequena, ou o volume de transações financeiras. Apenas dois fatores são cruciais:
Em qual setor você opera;
Se você possui sistemas cuja falha pode causar danos reais – a pessoas, à economia ou ao meio ambiente.
Setores onde empresas automaticamente se enquadram na 187-FZ (de acordo com as listas do FSTEC e do Ministério da Digitalização):
Energia (incluindo fornecimento de eletricidade, calor e gás);
Transporte (ferroviário, aéreo, metrô, portos);
Comunicações e telecomunicações (operadoras, data centers);
Bancos e instituições financeiras não bancárias (participantes do sistema de pagamento, bolsas de valores);
Complexo de combustível e energia, energia nuclear;
Indústria de defesa e espaço;
Mineração, metalurgia, indústria química;
Saúde e ciência (se sistemas de controle automatizados ou sistemas médicos de suporte à vida forem utilizados).
A lei abrange não apenas pessoas jurídicas, mas também empreendedores individuais, caso possuam ativos de IIC. Por exemplo, um provedor de internet municipal que fornece serviços a edifícios residenciais e instituições municipais.
No entanto, pertencer a um setor específico não é suficiente. A lei também exige que a empresa possua sistemas de informação, redes de comunicação ou АСУ ТП que controlem um processo produtivo real. Um CRM comum para vendas ou um programa de contabilidade não se qualificam. Mas um sistema SCADA que controla uma caldeira já é um ativo sujeito a regulamentação.
Quem não se enquadra?
Os requisitos da lei não se aplicam a empresas dos seguintes setores (desde que não possuam ativos de IIC próprios relacionados a setores críticos):
Varejo (exceto quando o negócio fornece diretamente infraestrutura energética ou de transporte);
Serviços de alimentação;
Construção de edifícios residenciais e comerciais;
Indústria leve, produção de bens de consumo;
Setor de serviços (publicidade, consultoria, desenvolvimento de TI) – desde que não possuam sistemas de produção ou tecnológicos próprios que controlem processos críticos.
No entanto, se uma empresa desses setores utiliza sistemas automatizados que afetam a operação de ativos de IIC em outros setores (por exemplo, presta serviços a um sistema SCADA de abastecimento de água, mantém um sistema de medição de aquecimento para um bairro residencial ou fornece canais de comunicação para transporte municipal), ela pode ser indiretamente afetada pela regulamentação. Nesses casos, uma análise adicional é necessária.
Checklist: O que fazer para quem está na lista?
PASSO 1. Descubra seu status.
Verifique se sua empresa está listada no registro de sujeitos de IIC (mantido pelo FSTEC). Muitas empresas não estão formalmente registradas, mas isso não as isenta de suas obrigações. Em caso de dúvida, realize a categorização de acordo com a Ordem do FSTEC nº 239.
PASSO 2. Inventário de software e hardware.
Crie uma lista de todos os sistemas de informação e АСУ ТП que controlam processos críticos. Destaque separadamente onde software e hardware importados estão instalados.
PASSO 3. Plano de transição para software russo.
A partir de 1º de setembro de 2025, o uso de software estrangeiro em ativos de IIC sem a transição para análogos russos do registro do Ministério da Digitalização será proibido. Os prazos variam de acordo com o setor, mas não é aconselhável demorar mais de um ano.
PASSO 4. Implemente as medidas das Ordens do FSTEC.
O conjunto de requisitos depende da categoria de importância do ativo (primeira, segunda, terceira ou não categorizado). Em qualquer caso, há um mínimo básico necessário para todos: proteção contra hacking e acesso não autorizado; controle de quem acessa o sistema e para onde; registro de todos os eventos; antivírus. Os requisitos básicos específicos estão detalhados nas Ordens do FSTEC nº 239, nº 31 e nº 21. Estes devem ser estudados primeiro.
PASSO 5. Conecte-se ao GosSOPKA.
Configure a transmissão de dados sobre ciberataques para o sistema estatal. Isso pode ser feito por conta própria ou através de um provedor certificado, como centros de monitoramento já integrados.
PASSO 6. Reúna a documentação para cada ativo de IIC.
Para cada ativo crítico, prepare:
Ato de categorização;
Lista de endereços IP e domínios de onde o ativo acessa a internet;
Modo de funcionamento (projetado ou operacional);
Plano de resposta a incidentes.
A ausência desses documentos durante uma inspeção do FSTEC resultará em multa e uma ordem de correção.
Conclusão
Após as emendas da 58-FZ, os requisitos da 187-FZ tornaram-se não apenas obrigatórios, mas também verificáveis. Se você opera em um setor crítico e possui sistemas de controle, a lei deve ser cumprida. A ignorância pode levar à paralisação das operações e a perdas financeiras.
Se você pertence aos setores de varejo, alimentação, construção ou serviços (sem sistemas de produção próprios), a lei ainda não se aplica a você.
Portanto, é recomendado:
Especialistas em segurança da informação devem verificar se a categorização na organização foi realizada corretamente.
Gerentes devem perguntar aos seus departamentos de TI, segurança da informação e jurídico: a empresa se enquadra na 187-FZ e qual o status da transição para software russo na produção.
Se não houver clareza interna, é melhor encomendar uma auditoria a uma organização licenciada. Ela realizará uma verificação e informará com precisão se a lei está sendo cumprida ou não. Isso é mais barato do que ter que parar a produção posteriormente.
