Provimento CNJ n. 213/2026
Novos padrões de tecnologia da informação e segurança cibernética para os serviços notariais e de registro do Brasil. Revoga o Provimento n. 74/2018.
O que muda com o Provimento 213?
O Provimento CN-CNJ n. 213/2026 representa uma evolução substancial em relação ao Provimento 74/2018. Ele abandona uma abordagem de requisitos mínimos genéricos para adotar um modelo de governança de TI e segurança cibernética muito mais sofisticado, baseado em proporcionalidade e progressividade, com 5 etapas cumulativas de conformidade.
"Dispõe sobre os padrões mínimos de tecnologia da informação e comunicação para garantir a segurança, a integridade, a disponibilidade, a autenticidade e a rastreabilidade."— Ementa do Provimento CN-CNJ n. 213/2026
Conceitos-Chave Introduzidos
Classes, Subclasses e Prazos
Assim como o Provimento 74, o novo provimento mantém 3 classes baseadas na arrecadação bruta semestral, mas agora com 10 subclasses (A a J), reavaliação anual, atualização pelo IPCA, e parâmetros técnicos diferenciados de RPO, RTO, velocidade de internet e intervalos de backup por classe.
Atenção (Art. 16, §3°): A migração de classe não produz efeitos imediatos se a variação for inferior a 10% do limite superior da faixa anterior. Exige consolidação por 2 ciclos consecutivos. Os limites são atualizados anualmente pelo IPCA (§2°).
O que sua serventia precisa implementar
O Provimento 213 introduz requisitos técnicos abrangentes distribuídos em 3 Anexos: Infraestrutura Tecnológica Mínima (Anexo I), Segurança da Informação e Controles Técnicos (Anexo II), e Política Mínima de Segurança da Informação (Anexo III).
Criptografia
TLS 1.2+ em trânsito, AES-256 em repouso, gestão formal de chaves
Autenticação MFA
Multifator obrigatória para acessos administrativos e funcionalidades críticas
Backups Automatizados
Completo + incremental, off-site, redundância geográfica, monitoramento contínuo
Firewall com IPS/IDS
Segurança perimetral com detecção e prevenção de intrusões
Dossiê Técnico
Evidências documentais obrigatórias com hash de integridade (Classes 2-3)
Gestão de Incidentes
Comunicação à Corregedoria em até 72h (críticos) ou 24h (impacto sistêmico)
Trilhas de Auditoria
4 níveis (Essencial a Avançado), retenção mínima de 5 anos, possibilidade de SIEM
Gestão de Vulnerabilidades
Tratamento em até 30 dias, correção emergencial em 72h quando risco iminente
SGBD com Integridade
Banco de dados com integridade transacional e rastreabilidade (logs)
Conectividade por Classe
Cl.1: 2 Mbps | Cl.2: 10 Mbps | Cl.3: 50 Mbps (com múltiplos links)
Infraestrutura Elétrica
SAI/UPS com autonomia mínima de 30 min, aterramento com laudo atualizado
Portabilidade de Dados
Reversibilidade contratual, restituição integral, formatos interoperáveis
5 Etapas de Adequação Progressiva
O provimento estabelece um caminho de implementação em 5 etapas cumulativas e progressivas. As Etapas 1 e 2 devem ser concluídas nos prazos iniciais (90 a 210 dias conforme a classe). As Etapas 3 a 5 seguem em regime progressivo de maturidade.
Etapa 1: Governança, Estruturação Organizacional e Conformidade Legal
Designar responsável técnico e DPO, elaborar e divulgar PSI (Anexo III), definir preliminarmente PCN e PRD, implementar autenticação individualizada e MFA, instituir registro de tratamento de dados pessoais, elaborar inventário de ativos tecnológicos, regularizar licenciamento de softwares e revisar contratos com terceiros.
Condição de conformidade: Governança formal instituída, responsabilidades definidas, política interna publicizada, controles mínimos de autenticação implementados.
Etapa 2: Infraestrutura e Continuidade Operacional
Implementar infraestrutura energética adequada (SAI/UPS com 30 min de autonomia), ambiente físico com controle de acesso, conectividade compatível com a classe, formalizar PCN e PRD completos com RTO e RPO definidos, garantir equipamentos adequados e suporte técnico contínuo, implementar proteção básica de endpoint.
Condição de conformidade: Infraestrutura física adequada, conectividade compatível, PCN e PRD formais com RTO e RPO, capacidade mínima de restabelecer operações.
Etapa 3: Proteção do Acervo Digital e Resiliência Tecnológica
Implementar criptografia para dados em trânsito (TLS 1.2+) e repouso (AES-256), gestão formal de chaves criptográficas, rotinas automatizadas de backup completo e incremental conforme intervalos da classe, armazenamento em 2+ ambientes independentes com redundância geográfica, monitoramento de backups com alertas automáticos.
Condição de conformidade: Dados críticos protegidos por criptografia, backup proporcional à classe, armazenamento off-site, monitoramento ativo e defesas perimetrais.
Etapa 4: Controles Avançados de Segurança e Auditoria
Implementar trilhas de auditoria conforme nível exigido pela classe (Essencial para Classes 1-2, Intermediário para Classe 3), gestão de vulnerabilidades com tratamento em até 30 dias, gestão de incidentes com comunicação à Corregedoria em até 72h, pentest a cada 2 anos para Classe 3.
Condição de conformidade: Trilhas de auditoria, gestão de vulnerabilidades, resposta a incidentes, pentest (Classe 3).
Etapa 5: Maturidade Operacional e Melhoria Contínua
Consolidar maturidade operacional com revisão periódica de políticas, simulações anuais de desastre para validação do PCN e PRD, avaliações técnicas independentes, dossiê técnico consolidado e preparação para auditorias externas e fiscalização correicional.
Condição de conformidade: Revisão periódica de políticas, simulações de desastre, avaliações técnicas independentes, dossiê técnico consolidado.
Provimento 74 vs. Provimento 213
Entenda as diferenças fundamentais entre a norma revogada e a nova regulamentação. O Provimento 74 já possuía 3 classes de serventias, mas o 213 eleva significativamente o padrão de exigência em todos os aspectos.
| Aspecto | Provimento 74/2018 | Provimento 213/2026 |
|---|---|---|
| Classificação de Serventias | 3 classes por arrecadação semestral (sem subclasses) | 3 classes com 10 subclasses (A-J) por arrecadação semestral, com reavaliação anual e atualização pelo IPCA |
| Política de Segurança (PSI) | Menção genérica a políticas de segurança | Obrigatória com estrutura mínima definida no Anexo III (governança, LGPD, criptografia, gestão de fornecedores) |
| Plano de Continuidade (PCN) | Menção ao plano de continuidade de negócios | Obrigatório com identificação de riscos, medidas de mitigação, providências de curto (30 dias) e médio prazo (90 dias) |
| Plano de Recuperação (PRD) | Não exigido formalmente | Obrigatório com testes periódicos documentados e simulações anuais de cenários de desastre |
| Dossiê Técnico | Não existia | Obrigatório para fiscalização, com hash de integridade para Classes 2 e 3, retenção mínima de 5 anos |
| RPO (Perda de Dados) | Backup a cada 24h + incrementais para recuperação até 30 min antes do evento | RPO por classe: Classe 3 = 4h, Classe 2 = 12h, Classe 1 = 24h |
| RTO (Tempo de Recuperação) | Não definido formalmente | RTO por classe: Classe 3 = 8h, Classe 2 = 24h, Classe 1 = 24h |
| Velocidade de Internet | Classe 1: 2 Mbps | Classe 2: 4 Mbps | Classe 3: 10 Mbps | Classe 1: 2 Mbps | Classe 2: 10 Mbps | Classe 3: 50 Mbps |
| Backup | A cada 24h em mídia eletrônica + nuvem, mídia em local distinto | Automatizado, monitorado, off-site com redundância geográfica. Intervalos: Cl.3 = 24h, Cl.2 = 48h, Cl.1 = 72h |
| Segurança Cibernética | Antivírus, antissequestro, firewall, proxy | Firewall com IPS/IDS, MFA obrigatória, criptografia TLS 1.2+ e AES-256, gestão de vulnerabilidades, pentest (Cl.3) |
| Trilhas de Auditoria | Trilha de auditoria obrigatória (genérica) | 4 níveis (Essencial, Intermediário, Ampliado, Avançado), retenção mínima de 5 anos, possibilidade de SIEM |
| Comunicação de Incidentes | Sem protocolo definido | Comunicação à Corregedoria em até 72h para incidentes críticos, até 24h quando risco de impacto sistêmico |
| Modelos de Solução | Não regulamentados | 4 modelos reconhecidos: própria, contratada, compartilhada e coletiva |
| Portabilidade de Dados | Não abordada | Garantida com reversibilidade, cláusulas contratuais obrigatórias de confidencialidade e restituição integral |
| Prazos de Adequação | Prazo único de 180 dias | Progressivos: Cl.3 = 90 dias (iniciais) + 24 meses (global) | Cl.2 = 150 dias + 30 meses | Cl.1 = 210 dias + 36 meses |
| Etapas de Implementação | Sem etapas definidas | 5 etapas progressivas e cumulativas (Governança → Infraestrutura → Proteção → Controles Avançados → Maturidade) |
| LGPD | Não mencionada (anterior à LGPD) | Integração completa: controlador de dados, registro de operações, DPO, comunicação à ANPD |
Adequação ao Provimento 213
A complexidade da nova norma, os prazos curtos e a falta de preparo do mercado criam uma demanda por orientação especializada. A Intelinove oferece três níveis de serviço para atender todas as necessidades.
Diagnóstico de Conformidade
Auditoria inicial para mapear o gap de conformidade em relação à classe da serventia. Inclui análise da infraestrutura atual, avaliação de riscos, classificação da serventia e relatório com roadmap macro de adequação às 5 etapas do Provimento 213.
Plano de Adequação Completo
Consultoria completa com elaboração de PSI (Anexo III), PCN, PRD, Dossiê Técnico, especificação de infraestrutura compatível com a classe, implementação de controles de segurança (MFA, criptografia, backups), e acompanhamento integral das 5 etapas até a maturidade plena.
Gestão Contínua e Auditoria
Assinatura mensal para monitoramento contínuo, testes periódicos de restauração de backups, gestão de vulnerabilidades, atualização de políticas, preparação para fiscalizações da Corregedoria e suporte para comunicação de incidentes nos prazos normativos.
4 Modelos de Solução Tecnológica
O Provimento 213 reconhece formalmente quatro modelos de solução tecnológica, oferecendo flexibilidade para que cada serventia escolha a abordagem mais adequada à sua realidade e classe.
Solução Própria
Autonomia estrutural total sobre infraestrutura e operações de TI, com controle técnico suficiente.
Solução Contratada
Dependência de terceiros via SaaS, PaaS, IaaS ou licenciamento, com cláusulas contratuais obrigatórias.
Solução Compartilhada
Ambiente unificado para duas ou mais serventias, com infraestrutura compartilhada.
Solução Coletiva
Governança conjunta por múltiplas serventias, com contratação coletiva.
Sua serventia está preparada para o Provimento 213?
Os prazos já estão correndo. Serventias de Classe 3 têm apenas 90 dias para concluir as etapas iniciais de governança e conformidade. A Intelinove pode ajudar sua serventia em cada etapa do caminho.