PORTARIA Nº 302, DE 29 DE OUTUBRO DE 2025.

CONSIDERANDO a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados), que prevê a criação de planos de resposta a incidentes e remediação;

CONSIDERANDO a Resolução CNJ nº 396/2021, que institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

CONSIDERANDO a Resolução CNJ nº 370/2021, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) para o sexênio 2021-2026;

CONSIDERANDO a Resolução TSE nº 23.644/2021, que dispõe sobre a Política de Segurança da Informação (PSI) no âmbito da Justiça Eleitoral;

CONSIDERANDO a Norma ABNT NBR ISO 22301, que especifica a estrutura e os requisitos para a implementação e manutenção de um sistema de gestão de continuidade de negócios;

CONSIDERANDO a Norma ABNT NBR ISO 22313, que orienta o uso da ABNT NBR ISO 22301;

CONSIDERANDO a importância de garantir a continuidade das atividades e a prestação ininterrupta dos serviços, bem como a necessidade de mitigar os impactos de possíveis interrupções e de prevenir que eventos adversos comprometam a continuidade dos trabalhos;

RESOLVE

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 1° Instituir a Política de Gestão da Continuidade de Negócios (PGCN) no âmbito da Justiça Eleitoral do Paraná.

Parágrafo único. Entende-se por continuidade de negócios a capacidade estratégica e tática de planejar e responder a interrupções na prestação de serviços, com o objetivo de minimizar impactos, recuperar perdas de ativos de informação e manter as operações das atividades críticas em níveis aceitáveis e previamente definidos.

Art. 2º Para os fins desta Portaria, consideram-se:

I - atividade: processo ou conjunto de processos que produzam ou suportem um ou mais serviços;

II - auditoria: exame sistemático das atividades e dos resultados relacionados, com o objetivo de verificar se estão em conformidade com o planejado;

III - análise de impacto nos negócios (AIN): processo de análise das funções de negócios e os efeitos que uma interrupção possa causar;

IV - atividades críticas: atividades precípuas da Justiça Eleitoral cuja interrupção ocasiona severos transtornos aos seus serviços e danos à imagem institucional;

V - interrupção: evento que cause um desvio negativo na entrega de produtos ou execução de serviços;

VI - teste: atividade na qual os planos de continuidade de negócios são exercitados parcial ou integralmente, de forma a garantir que eles contenham as informações apropriadas e produzam o resultado desejado, quando colocados em prática;

VII - impacto: consequência avaliada de um evento em particular;

VIII - incidente: qualquer evento que possa causar a interrupção nos serviços;

IX - declaração de acionamento ou ativação do plano: ato de declarar que o Plano de Continuidade de Negócios precisa ser colocado em prática de forma a continuar o fornecimento de produtos ou serviços essenciais;

X - perda: consequência negativa;

XI - resiliência: capacidade de resistir aos efeitos de um incidente e retornar ao estado normal de operação;

XII - recursos: todos os ativos, pessoas, competências, informação, tecnologia, suprimentos e bens disponíveis para uso, quando necessário, a fim de operar e atingir seus objetivos;

XIII - risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, medido em termos de impacto e de probabilidade;

XIV - avaliação de riscos: processo geral de identificação, análise e estimativa de riscos;

XV - gestão de riscos: desenvolvimento estruturado e aplicação de uma cultura de gestão, políticas, procedimentos e práticas para as tarefas de identificação, análise, avaliação e controle dos riscos;

XVI - partes interessadas: magistradas e magistrados, servidoras e servidores, terceirizadas e terceirizados, advogadas e advogados, jurisdicionados e fornecedores;

XVII - serviços essenciais: conjunto de serviços prestados pelo Tribunal cuja interrupção pode causar danos à imagem institucional;

XVIII - plano de continuidade de negócios: documento que contém os procedimentos e informações necessários para a manutenção das atividades críticas de uma organização diante de situações que afetem seu funcionamento normal;

XIX - gestão de riscos dos serviços essenciais: consiste no acompanhamento do mapeamento de riscos feito pelas unidades gestoras destes serviços, em conformidade com a Política de Gestão de Riscos e com foco na continuidade de negócios;

XX - tempo de recuperação: tempo máximo que uma organização aceita que um sistema, aplicação ou serviço fique inativo após uma interrupção, antes que isso cause danos significativos aos negócios;

XXI - ponto de recuperação (RPO): quantidade máxima de perda de dados aceitável, medida em tempo, que uma organização pode tolerar em caso de interrupção ou desastre;

XXII - gestores(as) de negócios: são os(as) responsáveis por unidades administrativas ou processos caracterizados como críticos relativamente ao negócio do Tribunal;

XXIII - equipe de tratamento e resposta a incidentes de segurança cibernética - ETIR: equipe responsável por receber, analisar, classificar, tratar e responder às notificações e atividades relacionadas a incidentes de segurança em redes de computadores, além de armazenar registros para formação de séries históricas, como subsídio estatístico, e para fins de auditoria.

CAPÍTULO II

DOS OBJETIVOS

Art. 3º São objetivos da Política de Gestão da Continuidade de Negócios:

I - aprimorar a capacidade de manter a prestação normal dos serviços, mesmo diante de indisponibilidades prolongadas de recursos essenciais, visando a resiliência organizacional;

II - proteger a reputação e a credibilidade da Justiça Eleitoral do Paraná, transmitindo confiança na habilidade de cumprir sua missão, visão e valores, e de apoiar a cadeia de valor da instituição;

III - identificar formalmente os serviços considerados essenciais para o cumprimento da missão institucional do Tribunal;

IV - definir, implementar e manter procedimentos para a Análise de Impacto nos Negócios (AIN);

V - formalizar o Plano de Continuidade de Negócios para assegurar a prestação dos serviços essenciais em um nível aceitável durante interrupções decorrentes da indisponibilidade de recursos;

VI - direcionar os(as) gestores(as) para que mitiguem o impacto de adversidades operacionais (desastres) de forma segura e eficaz, minimizando seus efeitos na organização e prevenindo a interrupção ou execução inadequada das atividades críticas;

VII - orientar os(as) gestores(as) para que, em caso de desastres, as operações críticas e essenciais não sejam interrompidas ou prejudicadas.

CAPÍTULO III

DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS

Art. 4° A Gestão da Continuidade de Negócios do TRE/PR (GCN/TRE-PR) será promovida por servidor(a) do quadro efetivo do Tribunal, designado(a) Gestor(a) da Continuidade de Negócios

pela Administração.

Art. 5° São objetivos da GCN/TRE-PR:

I - entender o contexto, a estrutura e o apetite a risco da instituição, identificando os processos organizacionais que impactam diretamente na prestação dos serviços considerados essenciais pelo Tribunal;

II - acionar a resposta de continuidade de negócios adequada;

III - planejar as ações necessárias à continuidade de negócios;

IV - estabelecer prioridades;

V - monitorar os efeitos da interrupção e a resposta de continuidade de negócios;

VI - garantir a segurança da informação e a privacidade de dados pessoais durante incidentes, de acordo com as diretrizes da Política de Segurança da Informação da Justiça Eleitoral;

VII - comunicar-se com as partes interessadas, autoridades e meios de comunicação;

VIII - reconhecer e promover ações corretivas e de melhoria contínua;

IX - aumentar o nível de resposta e prontidão do TRE-PR para continuar operando durante eventuais interrupções em seus serviços essenciais;

X - garantir o desenvolvimento das competências necessárias ao processo de Gestão de Continuidade de Negócios;

XI - implementar o Plano de Continuidade de Negócios, a ser acionado em casos de incidentes que possam interromper ou comprometer os serviços essenciais do Tribunal e do processo eleitoral, de forma a permitir uma resposta adequada e a recuperação de suas atividades;

XII - definir papéis e responsabilidades;

XIII - promover treinamentos e análises que garantam a manutenção e o bom funcionamento do PCN, em conformidade com esta PGCN;

XIV - avaliar os riscos decorrentes da interdependência com fornecedores(as), parceiros(as) e outras entidades externas cujos serviços ou produtos são essenciais para a continuidade das atividades do Tribunal.

CAPÍTULO IV

DOS INSTRUMENTOS DA GESTÃO DA CONTINUIDADE DE NEGÓCIOS

Art. 6° São instrumentos da Gestão da Continuidade de Negócios GCN-TRE/PR:

I - Gestão de Riscos dos serviços essenciais;

II - Análise do Impacto no Negócio - AIN;

III - Plano de Continuidade de Negócios, composto de:

a) Plano de Emergência - PE;

b) Plano de Gestão de Crises - PGC;

c) Plano de Contingência Operacional - PCO;

d) Plano de Recuperação de Desastres - PRD;

e) Plano de Comunicação - PCOM;

f) Plano de Retorno à Normalidade - PRN;

g) Plano de Suporte e Bem-Estar de Pessoal (PSBP).

IV - Campanhas de Conscientização;

V - Avaliação de Desempenho;

VI - Auditoria Interna;

VII - Análise Crítica.

Art. 7º A partir da avaliação dos riscos identificados na Análise de Impacto no Negócio (AIN) e em conformidade com o apetite a risco do Tribunal, o(a) Gestor(a) da Continuidade de Negócios, em conjunto com os(as) Gestores(as) de Negócios, proporá a estratégia de tratamento mais adequada para cada risco, que poderá ser uma das seguintes:

I - aceitar: trata-se de tolerar os riscos sem praticar nenhuma ação específica pois, ou o nível de risco é considerado baixo, ou o custo é desproporcional ao benefício, isto é, consiste na estratégia aplicável quando o risco está dentro do nível de tolerância da organização;

II - mitigar: caracteriza-se como a resposta adotada para a maior parte dos riscos na administração pública e consiste em ações para reduzir a probabilidade ou o impacto de ocorrência do risco, ou mesmo ambos;

III - transferir: trata-se de compartilhar ou transferir parte do risco a terceiros, mediante contratação de seguros ou terceirização de atividades;

IV - evitar: consiste em descontinuar a atividade que gera o risco, podendo implicar, por exemplo, na extinção da atividade ou do processo de trabalho.

Parágrafo único. Compete à Assessoria de Gestão Estratégica da Presidência, unidade responsável pela Gestão de Riscos do Tribunal, a coordenação das análises empregadas com a finalidade de evidenciar os riscos a serem mitigados nas atividades consideradas essenciais no âmbito da Justiça Eleitoral do Paraná.

Art. 8° A Análise do Impacto do Negócio - AIN consiste na documentação que avalia riscos e analisa criticamente o impacto nos negócios por meio dos seguintes processos:

I - estabelecimento dos tipos e critérios de impacto;

II - identificação dos serviços essenciais;

III - identificação dos prazos durante os quais os impactos de não retomada dos serviços essenciais tornam-se inaceitáveis;

IV - definição dos recursos necessários para apoiar os serviços essenciais;

V - avaliação de riscos dos serviços essenciais;

VI - identificação e avaliação do impacto da interrupção de serviços, produtos ou informações providos por fornecedores(as) e parceiros(as) críticos(as).

Parágrafo único. A AIN deve ser revisada em intervalos planejados ou quando houver mudanças significativas na estrutura ou organização do Tribunal.

Art. 9° O Plano de Continuidade de Negócios - PCN é composto por um conjunto de planos que definem os procedimentos que orientam o Tribunal a responder, recuperar, retomar e restaurar a um nível predefinido de operação após a interrupção, constituindo planos específicos para os períodos eleitorais e não eleitorais, assim relacionados:

I - Plano de Emergência - PE, elaborado e mantido pela Secretaria de Administração: foco na proteção à vida e evacuação predial;

II - Plano de Gestão de Crises - PGC, elaborado e mantido pelo(a) Gestor(a) de Continuidade de Negócios: define o processo de gestão de crises, a declaração de crise, as reuniões do Comitê de Gerenciamento de Crises e o acionamento do plano de comunicação adequado em momentos de incidentes de alta relevância, incluindo incidentes cibernéticos;

III - Plano de Continuidade Operacional - PCO, elaborado e mantido pelos(as) Gestores(as) de Negócios: concebido de forma segmentada para as atividades críticas do negócio, estabelece os procedimentos e recursos alternativos a serem adotados pelas equipes em momentos de interrupções;

IV - Plano de Recuperação de Desastres - PRD, elaborado e mantido pela Secretaria de Tecnologia de Informação: parametrizado de forma segmentada conforme os diferentes recursos, estabelece como será realizada a recuperação dos ativos atingidos a um estado operacional;

V - Plano de Comunicação - PCOM, elaborado e mantido pela Secretaria de Comunicação Social e Multimídia: reúne métodos, ferramentas e canais que permitirão à Justiça Eleitoral do Paraná comunicar-se de forma eficaz durante as interrupções em seus serviços e monitorar a comunicação a fim de avaliar os impactos da crise, além de definir porta-vozes e pontos de contato, e de fornecer diretrizes e orientações aos(às) colaboradores(as) e aos meios de comunicação;

VI - Plano de Retorno à Normalidade - PRN, elaborado e mantido pelos(as) Gestores(as) de Negócios: define os procedimentos para o retorno às rotinas normais das equipes quando os recursos interrompidos estiverem operacionais;

VII - Plano de Suporte e Bem-Estar de Pessoal - PSBP: elaborado e mantido pela Secretaria de Gestão de Pessoas, define os procedimentos para o suporte prático e psicossocial aos(às) colaboradores(as) e seus familiares durante e após um incidente, abordando a comunicação com as famílias, o apoio em caso de trauma, a gestão do estresse e as ações para manter a moral e o engajamento das equipes de recuperação.

Art. 10. Cada plano integrante do PGCN obedecerá à seguinte estrutura:

I - finalidade e escopo;

II - critérios e procedimentos para sua ativação;

III - procedimentos de implementação;

IV - papéis e responsabilidades;

V - requisitos e procedimentos de comunicação;

VI - recursos necessários;

VII - mecanismos para revisão periódica e contínuo aprimoramento.

§ 1° Os planos estarão disponíveis em meio físico e eletrônico, observando-se, quanto à publicidade, o nível de sigilo adequado.

§ 2° Procedimentos de continuidade serão elaborados e testados a fim de garantir que sejam compatíveis com os seus objetivos.

CAPÍTULO V

DA ESTRUTURA RESPONSÁVEL PELA EXECUÇÃO DA PGCN

Art. 11. Compõem a estrutura responsável pela execução da Política de Gestão da Continuidade de Negócios - PGCN da Justiça Eleitoral do Paraná:

I - Presidência;

II - Diretoria-Geral;

III - Comitê de Gerenciamento de Crises;

IV - Assessoria de Gestão Estratégica da Presidência;

V - Assessoria de Segurança Cibernética;

VI - Escola Judiciária Eleitoral;

VII - Gestor(a) da Continuidade de Negócios;

VIII - Equipe de Tratamento e Resposta a Incidentes de Segurança Cibernética - ETIR; e

IX - Titulares das Secretarias do Tribunal.

Parágrafo único. Compete à Presidência do Tribunal a garantia dos recursos necessários para estabelecer, implementar, operar e manter a PGCN.

Art. 12. O Comitê de Gerenciamento de Crises será acionado por decisão da Presidência do Tribunal e terá as seguintes atribuições:

I - deliberar sobre controles, processos e procedimentos de continuidade de negócios;

II - acompanhar a política, estratégias, processos, projetos e iniciativas corporativas de continuidade de negócios, zelando por sua qualidade e efetividade;

III - validar a análise de impacto nos negócios;

IV - aprovar os programas de conscientização, informação e divulgação;

V - aprovar os planos de retorno à normalidade elaborados pelos(as) Gestores(as) de Negócios.

Parágrafo único. Durante as eventuais interrupções dos serviços considerados essenciais, cabe ao Comitê:

I - declarar crise, mediante avaliação do cenário apresentado;

II - autorizar o acionamento dos planos integrantes da PGCN;

III - aprovar as comunicações a serem realizadas pelos porta-vozes do Tribunal;

IV - avaliar os impactos da crise;

V - manter o Tribunal Superior Eleitoral atualizado sobre a situação da crise.

Art. 13. Compete à Diretoria-Geral:

I - aprovar estratégias, planos, processos e decidir sobre ações de melhorias e correções em relação à continuidade de negócios;

II - aprovar a análise de impacto nos negócios;

III - declarar, formalmente, os serviços considerados essenciais no âmbito da Justiça Eleitoral do Paraná;

IV - promover a análise crítica da GCN-TRE/PR.

Art. 14. Compete à ETIR, além das atividades previstas na Instrução Normativa DG nº 05/2019 ou outra que a venha substituir:

I - elaborar o Processo de Tratamento e Resposta a Incidentes em Redes Computacionais no âmbito da Justiça Eleitoral do Paraná;

II - comunicar-se com as equipes congêneres de outros Tribunais Eleitorais para o tratamento de incidentes de segurança comum aos tribunais envolvidos.

Art. 15. Compete à Assessoria de Segurança Cibernética:

I - definir a metodologia e as ferramentas a serem utilizadas na condução da GCN;

II - propor melhorias na implantação de novos controles relativos à GCN;

III - consolidar os resultados de testes dos planos integrantes de continuidade de negócios, por meio da elaboração de relatórios, e dar ciência à Diretoria-Geral;

IV - propor projetos e iniciativas para o aperfeiçoamento da GCN do Tribunal, observando as melhores práticas existentes no assunto;

V - desenvolver a cultura de GCN, conforme Art. 11;

VI - apresentar recomendações e reportes à administração;

VII - monitorar os efeitos de eventuais interrupções e os níveis de resposta da execução dos planos;

VIII - criar e conduzir programas de exercícios, testes e simulações, buscando a aprovação da Diretoria-Geral;

IX - executar as demais incumbências que lhe forem atribuídas por esta Portaria.

Art. 16. Compete ao(à) Gestor(a) da Continuidade de Negócios:

I - estabelecer e demonstrar comprometimento com o Sistema de Gestão de Continuidade de Negócios do Tribunal Regional Eleitoral do Paraná - SGCN-TRE/PR;

II - promover a implantação da GCN-TRE/PR;

III - coordenar a elaboração e avaliar a adequação dos instrumentos da GCN-TRE/PR;

IV - coordenar a realização periódica da análise de impacto nos negócios;

V - propor melhorias na Política de Gestão da Continuidade de Negócios;

VI - estimular a capacitação e treinamento;

VII - liderar as atividades do programa e coordenar com outras funções e unidades;

VIII - solicitar colaboração de servidores com senioridade, autoridade e competência apropriada;

IX - facilitar a aprovação de soluções, procedimentos e programas;

X - apresentar recomendações e reportes à Alta Gestão.

Art. 17. São atribuições dos(as) Gestores(as) de Negócios:

I - realizar a análise de impacto nos negócios dos processos sob sua responsabilidade que suportam os serviços essenciais;

II - garantir a participação ativa das equipes sob sua gestão nos processos de elaboração e teste do PCO;

III - avaliar e aprimorar os planos a partir dos resultados dos testes;

IV - assegurar a execução de ações com base nos planos desenvolvidos, quando da ocorrência de incidente;

V - solicitar os recursos necessários para a implantação e o desenvolvimento das ações relacionadas à continuidade das atividades, bem como para a realização de testes;

VI - considerar, na elaboração do PCO e do PRN, os aspectos de bem-estar, segurança e saúde mental dos(as) colaboradores(as) envolvidos(as) nas atividades de resposta e recuperação, propondo as ações de suporte necessárias.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 18. A efetiva execução da GCN-TRE/PR será de responsabilidade compartilhada entre todos os gestores do Tribunal, os quais deverão:

I - atender às demandas do(a) Gestor(a) da Continuidade de Negócios;

II - elaborar e manter os planos e procedimentos de continuidade de negócios de competência de suas áreas de negócio;

III - informar o(a) Gestor(a) da Continuidade de Negócios sobre a necessidade de atualização dos planos e reportar qualquer incidente;

IV - colaborar com a exercitação dos planos, coordenando sua equipe durante os exercícios;

V - propor e acompanhar as ações corretivas.

Art. 19. Todas as unidades são corresponsáveis pela implementação e manutenção da GCN do Tribunal.

Art. 20. A GCN deve ser revisada sempre que mudanças significativas ocorrerem, para garantir a sua adequação.

Art. 21. A GCN-TRE/PR deve ter seu desempenho avaliado, no mínimo, uma vez ao ano, com a realização de simulações segmentadas por atividade crítica definida.

Parágrafo único. A análise crítica será realizada em intervalos planejados para assegurar a conformidade, suficiência e eficácia da GCN-TRE/PR.

Art. 22. Serão promovidas, pelas áreas competentes do Tribunal, ações de capacitação e campanhas de conscientização com temática voltada ao desenvolvimento da cultura da gestão da continuidade de negócios no âmbito da Justiça Eleitoral do Paraná.

Art. 23. O(A) Gestor(a) da Continuidade de Negócios deverá implementar e coordenar a elaboração dos planos previstos nesta Portaria, bem como os controles, processos e procedimentos necessários até o dia 31 de dezembro de 2025.

Art. 24. O Comitê de Segurança da Informação e Proteção de Dados Pessoais e a Assessoria de Gestão Estratégica da Presidência, unidade responsável pela Gestão de Riscos, atuarão alinhados com as diretrizes da PGCN e do Comitê de Gerenciamento de Crises.

Art. 25. Os atos praticados por meio dos instrumentos relacionados no art. 6º estão sujeitos à auditoria, que será realizada de forma sistemática, independente e documentada, de forma objetiva e com base em evidências, com vistas à declaração de conformidade.

Parágrafo único. A auditoria prevista no caput fará parte do Plano Anual de Auditoria da Justiça Eleitoral do Paraná.

Art. 26. Os casos omissos serão resolvidos pela Diretoria-Geral ou Presidência, no âmbito de suas atribuições.

Art. 27. Revoga-se a Portaria TRE-PR nº 345/2021.

Art. 28. Esta Portaria entra em vigor na data de sua publicação.

Curitiba, 29 de outubro de 2025.

Des. SIGURD ROBERTO BENGTSSON

Presidente