Império Alemão
CASA IMPERIAL
Castelo de Praga

Distrito Imperial de Thomasstadt, 19 de janeiro de 2025.

F

ERNANDO, por autoridade constitucional e solene eleição dos bem-aventurados povos reunidos nos territórios e domínios sob a Coroa Germânica, Imperador Alemão, Rei da Boêmia, Margrave da Morávia, Duque de Schleswig, de Holstein e da Silésia, Burgrave da Estugarda, Conde de Vyšehrad, Soberano da Mais Nobre Ordem de Otto o Grande, da Mais Antiga Ordem da Cruz de Ferro, e da Ilustríssima Ordem do Cisne; Príncipe de Schwarzenfeld, Duque de Wiesenburg, 2º Conde de Rosenheim, Soberano da Mais Nobre Ordem da Casa Real de Vyšehrad e da Honorável Ordem de Carlos IV, etc, nos termos do Artigo 9º da Constituição Imperial em conjunto do Artigo 6º do Decreto Imperial nº 48 de 15 de novembro de 2006, fazemos saber o presente

Edito Imperial

através de que comunicamos que o Senado Imperial da Nação Alemã aprovou em sua 9ª Convocatória e encaminhou para sanção imperial a Lei de Segurança Cibernética, proposta pelo Senador do Império, o Rei da Prússia, razão porque ora a promulgamos sem vetos o texto tal qual recebido pela Coroa.

Lei de Segurança Cibernética (2025)

Título I – Disposições Gerais

Artigo 1º – Esta lei tem por objetivo assegurar a proteção, integridade e confidencialidade das informações digitais e dos dados pessoais no Império Alemão, estabelecendo diretrizes claras para a prevenção, monitoramento e resposta a incidentes cibernéticos, além de regulamentar o tratamento de dados pessoais por entes públicos e privados.

Artigo 2º – Para os fins desta lei, considera-se:

  1. Segurança Cibernética: Conjunto de práticas, tecnologias e processos destinados a proteger redes, dispositivos, programas e dados de ataques, danos ou acesso não autorizado.
  2. Dados Pessoais: Informações relacionadas a pessoa física identificada ou identificável.
  3. Infraestrutura Crítica: Ativos, sistemas e redes, físicos ou virtuais, cuja interrupção ou destruição teria um impacto debilitante na segurança, economia, saúde pública ou segurança nacional.
  4. Incidente de Segurança: Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados e sistemas de informação.

Título II – Política Nacional de Segurança Cibernética

Artigo 3º – Fica instituída a Política Nacional de Segurança Cibernética, com os seguintes objetivos:

  1. Proteger as infraestruturas críticas do Império contra ameaças cibernéticas.
  2. Estabelecer diretrizes e padrões mínimos de segurança para órgãos públicos e privados.
  3. Promover a cooperação internacional no combate a crimes cibernéticos.
  4. Desenvolver capacidades de resposta rápida a incidentes cibernéticos.
  5. Incentivar a pesquisa e o desenvolvimento de tecnologias de segurança cibernética.

Artigo 4º – Fica criado o Conselho Imperial de Segurança Cibernética (CISC), órgão consultivo e deliberativo responsável pela coordenação e implementação da PNSC.

§1º – O CISC será composto por representantes dos Ministérios do Interior, Justiça, Economia, Comunicação, além de especialistas do setor privado e da academia, com um presidente indicado pelo Senado Imperial.

§2º – Compete ao CISC:

  1. Estabelecer normas e diretrizes para a segurança cibernética em todo o território germânico.
  2. Monitorar e avaliar a implementação das políticas de segurança cibernética.
  3. Coordenar a resposta a incidentes cibernéticos de grande escala, inclusive com respostas militares.
  4. Fomentar a colaboração entre os setores público e privado.

Artigo 5º – Será obrigatório, para todos os entes públicos e privados que operam infraestruturas críticas ou que tratam dados pessoais sensíveis, obter certificação de segurança cibernética, emitida por entidades credenciadas pelo CISC.

§1º – A certificação avaliará a conformidade com os padrões mínimos de segurança definidos pela PNSC, incluindo a proteção contra malwares, controle de acesso, criptografia de dados, e planos de resposta a incidentes.

§2º – A certificação deverá ser renovada a cada dois anos, ou imediatamente após mudanças significativas na infraestrutura ou no processo de tratamento de dados.

Artigo 6º – Todos os entes públicos e privados sujeitos a esta lei deverão realizar auditorias regulares de segurança cibernética, conduzidas por entidades independentes, para verificar a conformidade com as diretrizes da PNSC.

§1º – As auditorias deverão incluir testes de penetração, análises de vulnerabilidades, e revisão das políticas de segurança.

§2º – Os resultados das auditorias deverão ser reportados ao CISC, que poderá impor sanções em caso de não conformidade.

Título III – Proteção de Dados Pessoais

Artigo 7º – O tratamento de dados pessoais no Império Alemão deverá obedecer aos seguintes princípios:

  1. Finalidade: Os dados pessoais só poderão ser coletados e tratados para fins específicos, explícitos e legítimos.
  2. Necessidade: A coleta e tratamento de dados pessoais deverão ser limitados ao mínimo necessário para atingir as finalidades específicas.
  3. Transparência: Os titulares dos dados têm o direito de ser informados sobre a coleta, tratamento e armazenamento de seus dados.
  4. Segurança: Os dados pessoais deverão ser protegidos por medidas de segurança apropriadas para prevenir o acesso não autorizado, divulgação, alteração ou destruição.

Artigo 8º – Os titulares dos dados pessoais terão os seguintes direitos:

  1. Acesso aos dados pessoais que lhes dizem respeito.
  2. Correção de dados pessoais incorretos ou incompletos.
  3. Eliminação de dados pessoais desnecessários ou excessivos.
  4. Oposição ao tratamento de dados pessoais para fins de marketing.

§1º – As empresas e órgãos públicos que tratam dados pessoais deverão dispor de mecanismos eficazes para o exercício desses direitos.

Artigo 9º – Os controladores de dados, sejam eles públicos ou privados, deverão adotar medidas técnicas e organizacionais adequadas para garantir a conformidade com esta lei.

§1º – Os controladores deverão nomear um Encarregado de Proteção de Dados (EPD), responsável por monitorar a conformidade e servir de ponto de contato com os titulares dos dados e com a autoridade de supervisão, desde que com faturamento superior a 10,000.00 táleres mensais.

§2º – Em caso de violação de dados pessoais, o controlador deverá notificar os titulares dos dados e a autoridade de supervisão em até 72 horas.

Artigo 10º – O descumprimento das disposições desta lei acarretará em penalidades proporcionais à gravidade da infração, incluindo:

  1. Multas administrativas de até 4% do faturamento anual da empresa, limitadas a um valor máximo estipulado por decreto executivo.
  2. Suspensão do tratamento de dados pessoais por até 6 meses.
  3. Proibição parcial ou total das atividades relacionadas ao tratamento de dados pessoais.

Título IV – Disposições Finais

Artigo 11 – Cabe ao CNSC, em conjunto com a Autoridade Nacional de Proteção de Dados (ANPD) e ao Comitê Senatorial de Segurança Nacional (CSSN, a ser criado), regulamentar e fiscalizar o cumprimento desta lei, estabelecendo normas complementares quando necessário.

Artigo 12 – Esta lei entra em vigor no prazo de 180 dias a contar de sua publicação, período durante o qual deverão ser implementadas as regulamentações necessárias.