CONSIDERANDO a Portaria CNJ nº 242/2020, que institui o Comitê de Segurança Cibernética do Poder Judiciário e dispõe sobre a normatização para criação do Centro de Tratamento de Incidentes de Segurança Cibernética (CTISC) do CNJ, que funcionará como canal oficial para orquestração e divulgação de ações preventivas e corretivas, em caso de ameaças ou de ataques cibernéticos;

CONSIDERANDO a Instrução Normativa GSI nº 1/2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal;

CONSIDERANDO a Instrução Normativa GSI nº 2/2020, que altera a Instrução Normativa GSI nº 1/2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar nº 04/IN01/DSIC/GSIPR, que estabelece Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar nº 06/IN01/DSIC/GSIPR, que estabelece Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF);

CONSIDERANDO a Norma Complementar nº 08/IN01/DSIC/GSIPR, que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

CONSIDERANDO a Norma Complementar nº 21/IN01/DSIC/GSIPR, que estabelece as Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e entidades da Administração Pública Federal, direta e indireta;

CONSIDERANDO a decisão do Plenário do Conselho Nacional de Justiça, tomada no julgamento do Ato Normativo nº 0010347-24.2020.2.00.0000, na 323ª Sessão Ordinária, realizada em 15 de dezembro de 2020;

~~RESOLVE:~~

Art. 1º Determinar a instituição, no âmbito dos órgãos do Poder Judiciário, à exceção do Supremo Tribunal Federal, do Protocolo de Investigação para Ilícitos Cibernéticos, nos termos da Portaria CNJ nº 291/2020, com a finalidade de estabelecer os procedimentos básicos para coleta e preservação de evidências, bem como para comunicação dos fatos penalmente relevantes ao órgão de polícia judiciária com atribuição para o início da persecução penal.

Parágrafo único. É interesse do Estado e da sociedade a investigação das condutas ilícitas que danifiquem ou exponham a segurança das redes e sistemas computacionais ou que possam comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações no âmbito do Poder Judiciário.

Art. 2º Assim que tomar conhecimento de Incidente de Segurança em Redes Computacionais penalmente relevante, deverá o responsável pelo órgão do Poder Judiciário afetado comunicá-lo de imediato ao órgão de polícia judiciária com atribuição para apurar os fatos.

~~Parágrafo único. Considerado o incidente uma Crise Cibernética, o Comitê de Crise deverá ser acionado, nos termos do Protocolo de Gerenciamento de Crises Cibernéticas.~~

Art. 3º O Protocolo de Gerenciamento de Crises Cibernéticas será objeto de reavaliação por ocasião da edição da Estratégia da Segurança Cibernética e da Informação do Poder Judiciário, também desenvolvida pelo Comitê de Segurança Cibernética do Poder Judiciário, instituído pela Portaria CNJ nº 242/2020, bem como remanescerá passível de atualização a qualquer tempo, por meio de Portaria da Presidência do CNJ, em razão do dinamismo inerente ao tema.

Art. 4º Os órgãos do Poder Judiciário deverão elaborar e formalizar plano de ação, com vistas à construção de seu Protocolo de Investigação para Ilícitos Cibernéticos, no prazo máximo de sessenta dias a contar da publicação da Portaria CNJ nº 291/2020, comunicando imediatamente ao Conselho Nacional de Justiça.

~~Art. 5º Esta Resolução entra em vigor na data da publicação, revogando-se as disposições em contrário.~~

Ministro LUIZ FUX