Art. 21. Cada órgão deverá constituir e manter estruturas organizacionais adequadas e compatíveis de acordo com a demanda de TIC considerando, no mínimo, os seguintes macroprocessos:

I - Governança e Gestão de TIC:

a) planejamento e gestão;

b) transformação digital, inovação e colaboração;

c) orçamentária;

d) aquisições e contratações de soluções;

e) projetos e processos;

f) gestão de competência, de capacitação e reconhecimento; e

g) comunicação e divulgação.

II - Segurança da Informação e Proteção de Dados:

a) incidentes de segurança;

b) riscos;

c) continuidade de serviços essenciais; e

d) segurança dos serviços em nuvem.

III - Desenvolvimento de Soluções e Aplicações:

a) escopo e requisitos;

b) arquitetura;

c) processos de desenvolvimento e sustentação; e

d) ciclo de vida de desenvolvimento seguro.

IV - Infraestrutura e Serviços:

a) disponibilidade;

b) capacidade;

c) ativos de infraestrutura, de tecnologia da informação e de telecomunicação corporativas;

d) catálogo;

e) requisições;

f) incidentes;

g) central de serviços; e

h) atendimento, experiência e satisfação do usuário.