Este texto não substitui o publicado no Diário Oficial da União
Gabinete do Ministro
Portaria GM/MS Nº 6.919, DE 7 DE maio DE 2025
Altera o Anexo I da Portaria GM/MS nº 1.966, de julho de 2018, que dispõe sobre a constituição de Equipe de Prevenção, Tratamento e Respostas a Incidentes Cibernéticos do Ministério da Saúde - ETIR/MS.
O MINISTRO DE ESTADO DA SAÚDE, no uso das atribuições que lhes confere os incisos I e II do parágrafo único do art. 87 da Constituição, resolve:
Art. 1º O Anexo I da Portaria GM/MS nº 1.966, de 17 de julho de 2018, passa a vigorar com as seguintes alterações:
ANEXO I
DA CONSTITUIÇÃO DE EQUIPE DE PREVENÇÃO, TRATAMENTO E RESPOSTA A INCIDENTES CIBERNÉTICOS NA REDE COMPUTACIONAL DO MINISTÉRIO DA SAÚDE" (NR)
"CAPÍTULO I
DAS DIRETRIZES GERAIS" (NR)
"Art. 1º Este Anexo trata das diretrizes de organização e funcionamento da Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos na Rede Computacional do Ministério da Saúde - ETIR/MS.
Parágrafo único. O disposto neste anexo deverá observar as demais regras previstas na Norma Complementar nº 05 IN01/DSIC/GSIPR de 14 de agosto de 2009, acerca da criação de equipes de prevenção, tratamento e respostas a incidentes cibernéticos." (NR)
"Art. 2º Para fins deste anexo, os conceitos e definições no Glossário de Segurança da Informação da Portaria GSI/PR nº 93, de 18 de outubro de 2021." (NR)
"Art. 3º A ETIR/MS tem como missão planejar, coordenar e executar atividades de prevenção, tratamento e respostas a incidentes cibernéticos em redes computacionais, receber e notificar qualquer evento adverso à segurança da informação, confirmado ou sob suspeita, relacionado às redes de computadores, preservando os dados, as informações e a infraestrutura do Ministério da Saúde." (NR).
"Art. 4º A ETIR/MS será formada a partir dos membros das equipes de tecnologia da informação do Ministério da Saúde, que, além de suas funções regulares, passarão a desempenhar as atividades relacionadas ao tratamento e resposta a incidentes de segurança em redes computacionais, conforme modelo descrito no item 7.1 da Norma Complementar nº 05 IN01/DSIC/GSIPR, de 14 de agosto de 2009. " (NR)
"Art. 5º A abrangência das atividades da ETIR/MS inclui todos os usuários, serviços de tecnologia da informação e comunicação e sistemas de informação mantidos pelo Ministério da Saúde.
§ 1º As atividades da ETIR/MS serão realizadas com a troca de informações e em cooperação com as seguintes instâncias:
I - o Centro de Tratamento a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal;
II - a Autoridade Nacional de Proteção de Dados;
III - o Departamento de Polícia Federal; e
IV - o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
§ 2º A definição de procedimentos operacionais para execução será realizada pelo Gestor de Segurança da Informação do Ministério da Saúde, em norma específica." (NR)
"Art. 6º A ETIR/MS possuirá autonomia compartilhada, trabalhando em acordo com os outros setores do Ministério da Saúde a fim de participar do processo de tomada de decisão sobre quais medidas devam ser adotadas." (NR)
"CAPÍTULO II
DA ESTRUTURA ORGANIZACIONAL" (NR)
"Art. 7º A ETIR/MS será instituída no âmbito da Coordenação de Segurança da Informação da Coordenação-Geral de Infraestrutura do Departamento de Informática do Sistema Único de Saúde da Secretaria de Informação e Saúde Digital da Saúde do Ministério da Saúde, com a composição definida abaixo:
I - um Agente Responsável da ETIR;
II - um representante da Coordenação-Geral de Infraestrutura e Segurança da Informação;
III - um representante da Divisão de Governança de Segurança e Resposta à Incidentes;
IV - um representante da Coordenação de Gestão de Redes e Datacenter;
V - um representante da Coordenação de Banco de Dados;
VI - um representante da Coordenação-Geral de Arquitetura, Produto e Soluções de Tecnologia da Informação e Comunicação;
VII - um representante da Coordenação de Interoperabilidade em Saúde;
VIII - um representante da Coordenação de Desenvolvimento de Soluções de Tecnologia da Informação e Comunicação;
IX - um representante da Coordenação de Arquitetura de Soluções de Tecnologia da Informação e Comunicação;
X - um representante da Coordenação-Geral de Relacionamento, Governança e Projetos; e
XI - um representante da Coordenação-Geral de Inovação e Informática em Saúde.
§ 1º A função de Agente Responsável pela ETIR/MS será desempenhada pelo Gestor de Segurança da Informação e Comunicações do Ministério da Saúde.
§ 2º O Agente Responsável e o seu substituto serão servidores efetivos de carreira e serão formalmente designados para as funções pelo Ministro de Estado da Saúde.
§ 3º Os demais membros serão indicados pelos titulares dos órgãos elencados e designados por ato do Diretor do Departamento de Informação e Informática do Sistema Único de Saúde.
§ 4º Cada membro da equipe terá um substituto, indicado e designado da mesma forma que o titular." (NR)
"Art. 8º A indicação dos membros da ETIR/MS, buscará preferencialmente, integrantes com as seguintes características:
I - capacidade de liderar equipes;
II - aptidão para explicar questões técnicas difíceis com termos de fácil entendimento;
III - alta capacidade de organização;
IV - capacidade de atuar sob pressão;
V - habilidade na comunicação verbal e escrita;
VI - facilidade de comunicação com diferentes níveis da organização;
VII - flexibilidade, criatividade e espírito de equipe; e
VIII - capacidade analítica." (NR)
"CAPÍTULO III
DAS COMPETÊNCIAS E ATRIBUIÇÕES DOS MEMBROS" (NR)
"Art. 9º Compete ao Agente Responsável da ETIR:
I - criar os procedimentos internos da equipe;
II - treinar os integrantes;
III - gerenciar as atividades e a distribuição de tarefas para a equipe, inclusive as de caráter proativo; e
IV - interfacear a comunicação da ETIR/MS com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
"Art. 10. São atribuições dos membros da ETIR/MS:
I - realizar as atividades de prevenção, de tratamento e de resposta a incidentes cibernéticos na rede computacional do Ministério da Saúde;
II - apoiar a condução de políticas de segurança da informação;
III - priorizar a continuidade dos serviços corporativos;
IV - cumprir o previsto no Plano de Gestão de Vulnerabilidades e no Plano de Gestão de Incidentes Cibernéticos;
V - comunicar ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, imediatamente, de acordo com seu modelo de atuação, a ocorrência de incidentes de segurança cibernética conforme os requisitos definidos por aquele Centro;
VI - manter um registro de incidentes cibernéticos;
VII - receber notificações, analisar, investigar, conter e apoiar o tratamento de incidentes cibernéticos; e
VIII - recomendar ações para tomada de decisão na recuperação dos incidentes." (NR)
"CAPÍTULO IV
DOS SERVIÇOS DA ETIR" (NR)
"Art. 11. Cabe à ETIR/MS monitorar, receber alertas, analisar, classificar e notificar qualquer incidente de segurança, mediante a realização das seguintes atividades:
I - monitoramento de alertas: o monitoramento de incidentes de segurança como parte do processo de reconhecimento de padrões e tendências de atividades maliciosas, que possibilita a produção de informações e conhecimentos que qualificam as respostas a esses incidentes com o objetivo de identificar atividades maliciosas dentre os eventos de segurança e encaminhá-los para tratamento;
II - acompanhamento de alertas: acompanhar os alertas de incidentes de segurança na rede computacional, encaminhá-los para tratamento, registrar as condutas adotadas, identificar tendências e padrões de atividades maliciosas e coletar indicadores estatísticos, com o objetivo de criar base de conhecimento sobre os incidentes de segurança com banco de informações sobre incidentes de segurança na rede do Ministério da Saúde e respectivos tratamentos;
III - registro de incidentes: registro das informações sobre os incidentes de segurança, suas características, danos causados e medidas corretivas e preventivas;
IV - descrição das funções e procedimento do serviço: realização de coleta e registro de informações que permite identificação do escopo do incidente de segurança, incluindo artefatos, evidências, logs relacionados, sua extensão, natureza e quais os impactos causados, apresentando aos gestores das áreas envolvidas as informações levantadas referentes ao incidente e as soluções propostas para o tratamento adotado;
V - análise e tratamento de incidentes de segurança: análise das informações disponíveis sobre os incidentes e indicação dos tratamentos a serem adotados com o objetivo de produzir informações e conhecimentos sobre os incidentes de segurança registrados e adotar as medidas corretivas adequadas;
VI - comunicação sobre incidentes de segurança: comunicar incidentes de segurança aos órgãos competentes para fins estatísticos, geração de soluções integradas e investigação com objetivo de manter canal de comunicação sobre incidentes de segurança com órgãos competentes;
VII - comunicação aos órgãos externos competentes: levantar informações sobre incidentes de segurança e comunicar aos órgãos competentes, tais como o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil e autoridades policiais;
VIII - disseminação de informações: divulgar, no âmbito do Ministério da Saúde, informações sobre ameaças à rede e respectivas soluções de contenção e prevenção, novas atualizações dos softwares instalados e informações relativas a ataques identificados, com o objetivo de disponibilizar canal com base de conhecimento para tratamento de incidentes de segurança em rede computacional;
IX - disponibilizar canal com base de conhecimento para tratamento de incidentes de segurança em rede computacional; e
X - pesquisa de informações: pesquisar sobre ameaças às redes computacionais, soluções de contenção e prevenção, novas atualizações dos softwares instalados na rede e a disseminação de informações relativas a ataques, tendências e medidas preventivas." (NR)
"CAPÍTULO V
DA NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA" (NR)
"Art. 12. A ETIR/MS deve ser notificada sempre que houver suspeita ou confirmação de um incidente cibernético na rede de computadores e sistemas do Ministério da Saúde.
Parágrafo único. A notificação dos incidentes cibernéticos na rede de computadores será realizada por qualquer um dos meios, especificados abaixo:
I - Gestão de Demandas, divulgada no âmbito do DATASUS;
II - Suporte Técnico;
III - Ouvidoria Geral do SUS; e
IV - e-mail oficial ou correspondências oficiais." (NR)
"Art. 13. Todo incidente será registrado em software específico por membro da ETIR/MS.
Parágrafo único. Membro da ETIR/MS procederá à consolidação das informações e a notificação do Agente Responsável acerca do incidente." (NR)
"Art. 14. A ETIR terá acesso aos arquivos de registros de atividades (logs), além de evidências coletadas por outras equipes, de forma a realizar a análise e encaminhamento de investigação do incidente de segurança." (NR)
"Art. 15. Em casos de incidentes identificados pelo serviço de monitoramento, a ETIR/MS encaminhará as análises das ocorrências aos responsáveis pelas áreas afetadas juntamente com uma proposta de tratamento adequado.
Parágrafo único. Serão informados os impactos que poderão advir caso as recomendações da ETIR/MS não sejam seguidas." (NR)
"CAPÍTULO VI
DAS DISPOSIÇÕES FINAIS" (NR)
"Art. 16. Este Anexo deverá ser revisado e atualizado a cada dois anos, a partir da data de sua publicação, ou antes, em caso de necessidade." (NR)
"Art. 17. Todas as ações realizadas pela ETIR/MS devem ser documentadas e arquivadas para o acesso de gestores e técnicos envolvidos na investigação e tratamento de incidentes cibernéticos que comprometam a segurança das informações do Ministério da Saúde." (NR)
"Art. 18. A ETIR/MS manterá contato permanente com o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, para notificação dos incidentes cibernéticos." (NR)
Art. 2º Ficam revogados:
I - os incisos de I a XIII do art. 2º do Anexo I da Portaria GM/MS n° 1.966, de 17 de julho de 2018;
II - o parágrafo único do art. 4º do Anexo I da Portaria GM/MS n° 1.966, de 17 de julho de 2018;
III - os incisos de I a VIII do art. 5º do Anexo I da Portaria GM/MS n° 1.966, de 17 de julho de 2018;
IV - os incisos de I a IV do caput e os § 1º e § 2º do art. 6º do Anexo I da Portaria GM/MS n° 1.966, de 17 de julho de 2018; e
V - o parágrafo único do art. 9º do Anexo I da Portaria GM/MS n° 1.966, de 17 de julho de 2018.
Art. 3º Esta portaria entra em vigor na data de sua publicação.