Art. 6º. A segurança e a resiliência dos serviços essenciais e das infraestruturas críticas abrangem, no mínimo, as seguintes ações:
I - estímulo às entidades dotadas de competências regulatórias para promover a gestão de riscos e adotar medidas de proteção e resposta a ciberincidentes nos seus setores;
II - desenvolvimento de mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança, a resiliência e a continuidade dos serviços essenciais e das infraestruturas críticas, em especial quanto à adoção de ferramentas de tecnologia da informação e de tecnologia operacional;
III - adoção de mecanismos de alerta de risco na prestação de serviços digitais;
IV - desenvolvimento e manutenção de lista de alto risco de cibersegurança a ser utilizada como fundamentação para a gestão de ciber-riscos setoriais;
V - estímulo à adoção de padrões mínimos de segurança para categorias de dados relevantes e sensíveis;
VI - criação e manutenção de selo nacional de certificação de alto nível de segurança de ciberativos;
VII - estímulo à adoção de mecanismos de mitigação de riscos, como seguros contra ciberincidentes, por prestadores de serviços essenciais e operadores de infraestruturas críticas;
VIII - incentivo à realização de exercícios e simulações setoriais e multissetoriais regulares destinados ao aprimoramento da resiliência dos serviços essenciais e das infraestruturas críticas;
IX - incentivo ao aprimoramento contínuo dos atos normativos relacionados à cibersegurança, inclusive em relação a padrões mínimos de controle e guias;
X - estímulo ao aperfeiçoamento da segurança na interoperabilidade de dados e de canais digitais; e
XI - incentivo às empresas brasileiras na contratação de produtos e serviços que adotem padrões mínimos de cibersegurança.
I - estímulo às entidades dotadas de competências regulatórias para promover a gestão de riscos e adotar medidas de proteção e resposta a ciberincidentes nos seus setores;
II - desenvolvimento de mecanismos de regulação, fiscalização e controle destinados a aprimorar a segurança, a resiliência e a continuidade dos serviços essenciais e das infraestruturas críticas, em especial quanto à adoção de ferramentas de tecnologia da informação e de tecnologia operacional;
III - adoção de mecanismos de alerta de risco na prestação de serviços digitais;
IV - desenvolvimento e manutenção de lista de alto risco de cibersegurança a ser utilizada como fundamentação para a gestão de ciber-riscos setoriais;
V - estímulo à adoção de padrões mínimos de segurança para categorias de dados relevantes e sensíveis;
VI - criação e manutenção de selo nacional de certificação de alto nível de segurança de ciberativos;
VII - estímulo à adoção de mecanismos de mitigação de riscos, como seguros contra ciberincidentes, por prestadores de serviços essenciais e operadores de infraestruturas críticas;
VIII - incentivo à realização de exercícios e simulações setoriais e multissetoriais regulares destinados ao aprimoramento da resiliência dos serviços essenciais e das infraestruturas críticas;
IX - incentivo ao aprimoramento contínuo dos atos normativos relacionados à cibersegurança, inclusive em relação a padrões mínimos de controle e guias;
X - estímulo ao aperfeiçoamento da segurança na interoperabilidade de dados e de canais digitais; e
XI - incentivo às empresas brasileiras na contratação de produtos e serviços que adotem padrões mínimos de cibersegurança.