Quais são os prazos do Provimento 213/2026 por classe?

Os prazos para conclusão das Etapas 1 e 2 variam por classe de arrecadação semestral: Classe 3 (acima de R$ 500 mil) — 90 dias, prazo total de 24 meses. Classe 2 (R$ 100K a R$ 500 mil) — 150 dias, prazo total de 30 meses. Classe 1 (até R$ 100 mil) — 210 dias, prazo total de 36 meses. Os prazos contam a partir de 20/02/2026.

Como saber qual é a classe da minha serventia?

A classe é definida pela arrecadação bruta semestral: Classe 1: até R$ 100.000 (subclasses A, B, C). Classe 2: entre R$ 100.000 e R$ 500.000 (subclasses D, E, F). Classe 3: acima de R$ 500.000 (subclasses G, H, I, J). Consulte o extrato mensal do e-Notariado ou entre em contato com a Corregedoria estadual para confirmar sua subclasse.

O que é RPO e RTO e quais são os limites por classe?

RPO (Recovery Point Objective) é o tempo máximo de perda de dados tolerado — determina a frequência mínima de backup. RTO (Recovery Time Objective) é o tempo máximo para restaurar os sistemas após um incidente. Limites: Classe 1: RPO 24h / RTO 24h. Classe 2: RPO 12h / RTO 24h. Classe 3: RPO 4h / RTO 8h.

Quais documentos precisam ser elaborados para o Provimento 213/2026?

Os documentos obrigatórios incluem: PSI (Política de Segurança da Informação) com todos os elementos do Anexo III; PCN (Plano de Continuidade de Negócios) com RTO/RPO definidos; PRD (Plano de Recuperação de Desastres); Inventário de Ativos; registros de Trilhas de Auditoria imutáveis por 5 anos; e Declarações de Conclusão de Etapa para registro no Sistema Justiça Aberta.

O cartório precisa de pentest para o Provimento 213/2026?

O pentest (teste de intrusão) é obrigatório apenas para Classe 3, com periodicidade bienal ou após alterações relevantes de infraestrutura (Anexo II, item 6, IV). Para serventias que utilizam soluções SaaS ou centralizadas, é admitido relatório técnico coletivo, conforme o art. 13, §7º do Provimento 213/2026.

O que é o Sistema Justiça Aberta e qual seu papel no Provimento 213?

O Sistema Justiça Aberta é a plataforma do CNJ onde os delegatários devem registrar a conclusão de cada etapa do Provimento 213/2026 por meio de declaração assinada (art. 17). A declaração falsa verificada em correição sujeita o responsável às penalidades previstas em lei (art. 17, §2º). A declaração inicial deve ser feita dentro dos prazos de cada classe.

O que é a PSI e como deve ser elaborada para o Provimento 213/2026?

A Política de Segurança da Informação (PSI) é o documento central exigido pelo Anexo III do Provimento 213/2026. Deve conter: objetivos e escopo, papéis e responsabilidades, controle de acesso e MFA, criptografia (TLS 1.2+, AES-256), backup e continuidade, gestão de incidentes com prazo de 72h para notificação, gestão de fornecedores com cláusulas de reversibilidade e LGPD, e conformidade com a Lei 13.709/2018. Para Classe 1 é aceito um Relatório Simplificado; Classes 2 e 3 exigem documentação completa.

O que deve conter o PCN e o PRD de uma serventia extrajudicial?

O Plano de Continuidade de Negócios (PCN) deve definir os RTO e RPO por classe, identificar sistemas críticos, estabelecer medidas de curto prazo (30 dias) e médio prazo (90 dias), e incluir procedimentos de ativação. O Plano de Recuperação de Desastres (PRD) deve detalhar o inventário de sistemas críticos, procedimentos passo a passo para ao menos 3 cenários (falha de hardware, ransomware e perda de dados), localização dos backups e lista de contatos de emergência. Ambos devem ser testados anualmente (Classe 1 e 2) ou semestralmente (Classe 3).

O que são trilhas de auditoria imutáveis e por quanto tempo devem ser retidas?

As trilhas de auditoria (logs) exigidas pelo art. 10 do Provimento 213/2026 devem registrar todos os acessos, alterações e eventos relevantes nos sistemas da serventia, com identificação inequívoca do usuário, timestamp sincronizado por fonte confiável (NTP), e mecanismo de verificação de integridade que impeça alteração posterior. O período mínimo de retenção é de 5 anos. Classe 1 e 2 exigem nível Essencial; Classe 3 exige nível Intermediário ou superior.

Quais são os requisitos de backup para cada classe do Provimento 213?

Os requisitos de backup variam por classe: Classe 1: backup completo com RPO máximo de 24 horas, armazenamento offsite, teste anual de restauração documentado. Classe 2: RPO máximo de 12 horas, backup offsite com redundância geográfica, criptografia AES-256, teste anual. Classe 3: RPO máximo de 4 horas, backups incrementais frequentes, armazenamento com imutabilidade (WORM), redundância geográfica, criptografia AES-256 e teste semestral de restauração com ata formal.

O que é MFA e por que é obrigatório para todas as classes?

MFA (Autenticação Multifator) ou AMF é a exigência de ao menos dois fatores distintos para autenticar o acesso a sistemas: algo que o usuário sabe (senha), tem (token, app autenticador) ou é (biometria). O art. 5º e o Anexo II, item 1 do Provimento 213/2026 tornam o MFA obrigatório para todos os acessos administrativos em todas as classes, eliminando credenciais compartilhadas ou genéricas. É um dos primeiros controles a serem implementados nas Etapas 1 e 2.

Quais são os requisitos de conectividade de internet por classe?

O Provimento 213/2026 define velocidades mínimas de conectividade por classe: Classe 1: 2 Mbps. Classe 2: 10 Mbps. Classe 3: 50 Mbps. Além da velocidade, é recomendada redundância de link para serventias de Classe 3, que também devem garantir alta disponibilidade (HA) dos sistemas críticos. A conectividade deve suportar as integrações com plataformas CNJ e Corregedoria estadual.

O que é alta disponibilidade (HA) e quem precisa implementar?

Alta disponibilidade (HA) é a capacidade de um sistema continuar operando mesmo diante de falhas de componentes, sem interrupção perceptível ao usuário. No contexto do Provimento 213/2026, HA é obrigatória apenas para Classe 3, que também deve garantir tolerância a falhas nos sistemas críticos. Isso tipicamente envolve servidores redundantes, storages espelhados, links de internet redundantes e soluções de failover automático.

Como deve ser feito o inventário de ativos tecnológicos?

O inventário de ativos deve cobrir três categorias: Hardware (computadores, servidores, impressoras, nobreaks, switches, roteadores) com número de série, fabricante e data de aquisição; Software e licenças com versão, data de validade e verificação de fim de suporte (EOL); Certificados digitais e integrações com data de validade e responsável. O inventário deve ser mantido atualizado e revisado periodicamente, sendo um dos documentos verificados em correição.

O que muda nos contratos com fornecedores de tecnologia após o Provimento 213?

O Provimento 213/2026 exige que os contratos com fornecedores de TIC contenham cláusulas obrigatórias de: confidencialidade dos dados da serventia e dos usuários; reversibilidade — garantia de devolução e destruição dos dados ao final do contrato; portabilidade — exportação dos dados em formato aberto; e cláusulas de conformidade com a LGPD, incluindo identificação do operador de dados. Contratos existentes devem ser revisados e adequados dentro dos prazos da Etapa 1.

Cartório que usa software SaaS (em nuvem) ainda precisa implementar tudo?

Sim, mas com adaptações. O art. 13, §7º do Provimento 213/2026 permite que serventias que utilizam soluções SaaS ou plataformas centralizadas homologadas apresentem relatório técnico coletivo do fornecedor em substituição a alguns controles individuais — como o pentest (Classe 3). Porém, a responsabilidade pela conformidade permanece com o delegatário (art. 13, §3º), que deve obter do fornecedor as evidências documentais exigidas, revisar os contratos com cláusulas de reversibilidade e LGPD, e elaborar os documentos de governança (PSI, PCN, PRD) de qualquer forma.

Como funciona a fiscalização do Provimento 213/2026 pelo CNJ?

O art. 25 do Provimento 213/2026 estabelece que a fiscalização é orientada por risco: o CNJ e as Corregedorias estaduais priorizarão serventias com indícios de não conformidade, dados desatualizados no Sistema Justiça Aberta ou inconsistências nas declarações. As correições ordinárias e extraordinárias verificarão a existência e regularidade dos documentos (PSI, PCN, PRD), a implementação dos controles técnicos e a veracidade das declarações registradas na plataforma.

Qual a diferença entre notificação de incidente em 72 horas e as obrigações da LGPD?

O Provimento 213/2026 exige notificação interna e registro de incidentes de segurança em até 72 horas após a detecção, conforme o Anexo III. Já a LGPD (art. 48) exige comunicação à ANPD e aos titulares afetados em caso de incidente que possa acarretar risco ou dano relevante, em prazo razoável. As duas obrigações são complementares: o Provimento define o processo interno de gestão de incidentes, enquanto a LGPD adiciona a obrigação de comunicação externa quando dados pessoais são afetados.

Quanto tempo o cartório tem para fazer a simulação de extração de acervo?

A simulação de extração completa do acervo digital — que testa a portabilidade dos dados em formatos abertos (PDF/A, XML) — é exigida na Etapa 5 com prazos diferenciados: Classe 3: a partir de 24 meses. Classe 2: a partir de 30 meses. Classe 1: a partir de 36 meses. O objetivo é garantir que os dados da serventia podem ser exportados integralmente e relidos por outro sistema, protegendo o acervo histórico e a continuidade do serviço público.

O nobreak (SAI/UPS) precisa de certificação específica?

O Anexo I, item 1 do Provimento 213/2026 exige sistema de alimentação ininterrupta (SAI/UPS) com autonomia mínima de 30 minutos para todos os equipamentos críticos. O aterramento elétrico deve ter certificação técnica emitida por profissional habilitado (engenheiro eletricista com ART). A documentação do SAI e o laudo de aterramento são evidências verificadas em correição como parte dos requisitos de infraestrutura física da Etapa 2.

O que é criptografia TLS 1.2+ e AES-256 no contexto do Provimento 213?

TLS 1.2+ (Transport Layer Security) é o protocolo que protege os dados em trânsito — ou seja, durante a transmissão entre sistemas, como acesso ao sistema cartorial pela internet. AES-256 é o padrão de criptografia para dados em repouso — arquivos, backups e bancos de dados armazenados. O art. 9º do Provimento 213/2026 exige ambos para a Etapa 3. Versões mais antigas (TLS 1.0, TLS 1.1) são proibidas por apresentarem vulnerabilidades conhecidas.

Qual o prazo para corrigir vulnerabilidades críticas identificadas?

O Provimento 213/2026 (Anexo II, item 5) define prazos diferenciados por criticidade: Vulnerabilidades críticas: até 30 dias corridos após a identificação. Vulnerabilidades com exploração ativa (zero-day ou com exploit público): até 72 horas. A gestão formal de vulnerabilidades exige registro das identificações, prazos, responsáveis e evidências de correção, além de rastreabilidade para auditoria. O processo deve ser documentado na PSI.

O que são VLANs e quem precisa implementar?

VLANs (Virtual Local Area Networks) são redes lógicas separadas dentro da mesma infraestrutura física, que isolam o tráfego de diferentes ambientes — por exemplo, separando a rede administrativa da rede de atendimento ao público e da rede de servidores. No Provimento 213/2026, a segmentação por VLANs é obrigatória para Classes 2 e 3 e recomendada para Classe 1. Implementada junto ao firewall stateful com IPS/IDS na Etapa 3.

CartórioTech — Conformidade com o Provimento CNJ 213/2026 para Cartórios

Seu cartório está
preparado para o Provimento 213/2026?

O Provimento 213/2026 do CNJ exige que todos os 12.000+ cartórios brasileiros implementem padrões mínimos de TIC e segurança da informação — com multas, PAD e responsabilidade pessoal do delegatário pelo descumprimento.

As consequências do
descumprimento

O art. 24 do Provimento 213/2026 é claro: o descumprimento injustificado dos requisitos técnicos pode ensejar procedimento administrativo disciplinar, além de responsabilidades civis e penais — pessoalmente para o delegatário, interino ou interventor.

Com mais de 12.000 serventias no Brasil e expressivas assimetrias estruturais, o CNJ priorizou proporcionalidade — mas não dispensa nenhuma serventia. O prazo já começou a correr.

Diagnóstico gratuito de conformidade
com o Provimento 213

Em 48h nossa equipe analisa o enquadramento da sua serventia e entrega um relatório com todas as obrigações, prazos e investimentos necessários — sem compromisso.

Solicitar diagnóstico grátis

O que é o Provimento 213/2026?

O Provimento n. 213, de 20 de fevereiro de 2026, da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça (CNJ), estabelece os padrões mínimos obrigatórios de Tecnologia da Informação e Comunicação (TIC) e segurança da informação para todas as serventias extrajudiciais brasileiras — cartórios de notas, registro de imóveis, registro civil, registro de títulos e documentos e registro de pessoas jurídicas.

O normativo é o resultado de anos de diagnóstico da situação de TIC nas mais de 12.000 serventias extrajudiciais do país e busca garantir a proteção do acervo histórico digital, a continuidade dos serviços públicos delegados e a conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).

Estrutura do Provimento: 5 Etapas cumulativas

O Provimento organiza as exigências em 5 Etapas sequenciais e cumulativas. Cada etapa deve ser concluída antes do início da próxima, e a conclusão é declarada pelo delegatário no Sistema Justiça Aberta do CNJ. Veja o resumo:

Etapa	Foco	Principais exigências
Etapa 1	Governança e Conformidade Legal	PSI, MFA, inventário de ativos, revisão de contratos, designação de DPO e responsável técnico
Etapa 2	Infraestrutura e Continuidade	SAI/UPS (30 min), aterramento certificado, conectividade mínima por classe, PCN e PRD, endpoint protection
Etapa 3	Proteção do Acervo Digital	Criptografia TLS 1.2+/AES-256, backup automatizado offsite, firewall IPS/IDS, VLANs (Cl.2/3), trilhas de auditoria imutáveis
Etapa 4	Monitoramento e Validação	Testes de restauração documentados, simulação de desastre, gestão de vulnerabilidades, pentest (Cl.3)
Etapa 5	Interoperabilidade e Governança	Integração com plataformas CNJ, formatos abertos (PDF/A, XML), simulação de extração de acervo, revisão anual da PSI

Prazos por classe de arrecadação

A proporcionalidade regulatória é o princípio central do Provimento 213. As exigências e os prazos variam conforme a arrecadação bruta semestral de cada serventia, dividida em subclasses (A a J) agrupadas em três classes:

Classe	Arrecadação semestral	Etapas 1–2	Prazo total (Etapa 5)
Classe 1	Até R$ 100.000 (subclasses A, B, C)	210 dias	36 meses
Classe 2	R$ 100K a R$ 500K (subclasses D, E, F)	150 dias	30 meses
Classe 3	Acima de R$ 500K (subclasses G, H, I, J)	90 dias	24 meses

Requisitos técnicos comparativos por classe

Requisito	Classe 1	Classe 2	Classe 3
Conectividade mínima	2 Mbps	10 Mbps	50 Mbps
RPO (backup)	24 horas	12 horas	4 horas
RTO (recuperação)	24 horas	24 horas	8 horas
VLANs	Recomendado	Obrigatório	Obrigatório
Alta disponibilidade (HA)	Não	Não	Obrigatório
Trilhas de auditoria	Essencial	Essencial	Intermediário+
Teste de restauração	Anual	Anual	Semestral
Pentest	Não	Não	Bienal
Simulação extração acervo	36 meses	30 meses	24 meses

Documentos obrigatórios

O Provimento 213/2026 exige a elaboração e manutenção dos seguintes documentos, que devem estar disponíveis para verificação em correições:

PSI — Política de Segurança da Informação (Anexo III): documento central de governança, com todos os controles e responsabilidades. Classe 1 aceita Relatório Simplificado; Classes 2 e 3 exigem documento completo. PCN — Plano de Continuidade de Negócios e PRD — Plano de Recuperação de Desastres (art. 3º): definem RTO, RPO e procedimentos de recuperação por cenário. Inventário de Ativos: hardware, software, licenças e certificados digitais com datas de validade e responsáveis. Registros de Trilhas de Auditoria (art. 10): imutáveis, com retenção mínima de 5 anos. Declarações de Conclusão de Etapa (art. 17): assinadas pelo delegatário e registradas no Sistema Justiça Aberta. Atas de testes de restauração de backup e simulações de desastre.

Penalidades pelo descumprimento

O art. 24 do Provimento 213/2026 prevê que o descumprimento injustificado dos requisitos técnicos pode ensejar a instauração de Procedimento Administrativo Disciplinar (PAD) pela Corregedoria estadual competente. A responsabilidade é pessoal e indelegável do delegatário, interino ou interventor — independentemente da contratação de fornecedores externos (art. 13, §3º e art. 14). Declarações falsas no Sistema Justiça Aberta sujeitam o responsável às penalidades previstas em lei (art. 17, §2º).

Seu cartório está
preparado para o Provimento 213/2026?

As consequências do
descumprimento

Soluções para cada exigência
do Provimento 213

Autenticação Multifator (MFA)

Política de Segurança da Informação

Infraestrutura de Energia (SAI/UPS)

Backup Automatizado e Off-Site

Firewall IPS/IDS + Segmentação de Rede

Endpoint Protection Avançado

Trilhas de Auditoria (Logs) Imutáveis

PCN / PRD — Planos de Continuidade

Pentest e Gestão de Vulnerabilidades

Proposta certa para cada classe

Classe 1

Classe 2

Classe 3

As 5 etapas do Provimento 213

Governança, Estruturação e Conformidade Legal

Infraestrutura e Continuidade Operacional

Proteção do Acervo Digital e Resiliência

Monitoramento, Auditoria e Validação de Controles

Interoperabilidade, Consolidação e Governança Evolutiva

Como alcançar os 12.000
cartórios brasileiros

Marketing de Urgência Regulatória

Marketing de Conteúdo Jurídico-Técnico

Canal de Eventos e Associações

Canais Indiretos e Revenda

Diagnóstico gratuito de conformidade
com o Provimento 213

Quem somos

Guia Completo do
Provimento CNJ 213/2026

O que é o Provimento 213/2026?

Estrutura do Provimento: 5 Etapas cumulativas

Prazos por classe de arrecadação

Requisitos técnicos comparativos por classe

Documentos obrigatórios

Penalidades pelo descumprimento

Perguntas sobre o
Provimento 213/2026

Seu cartório estápreparado para o Provimento 213/2026?

As consequências dodescumprimento

Soluções para cada exigênciado Provimento 213

Autenticação Multifator (MFA)

Política de Segurança da Informação

Infraestrutura de Energia (SAI/UPS)

Backup Automatizado e Off-Site

Firewall IPS/IDS + Segmentação de Rede

Endpoint Protection Avançado

Trilhas de Auditoria (Logs) Imutáveis

PCN / PRD — Planos de Continuidade

Pentest e Gestão de Vulnerabilidades

Proposta certa para cada classe

⬟ Classe 1

⬡ Classe 2

⬢ Classe 3

As 5 etapas do Provimento 213

Governança, Estruturação e Conformidade Legal

Infraestrutura e Continuidade Operacional

Proteção do Acervo Digital e Resiliência

Monitoramento, Auditoria e Validação de Controles

Interoperabilidade, Consolidação e Governança Evolutiva

Como alcançar os 12.000cartórios brasileiros

Marketing de Urgência Regulatória

Marketing de Conteúdo Jurídico-Técnico

Canal de Eventos e Associações

Canais Indiretos e Revenda

O maior ciclo obrigatório de modernização do setor extrajudicial brasileiro

Diagnóstico gratuito de conformidadecom o Provimento 213

Quem somos

Guia Completo doProvimento CNJ 213/2026

O que é o Provimento 213/2026?

Estrutura do Provimento: 5 Etapas cumulativas

Prazos por classe de arrecadação

Requisitos técnicos comparativos por classe

Documentos obrigatórios

Penalidades pelo descumprimento

Perguntas sobre oProvimento 213/2026

Seu cartório está
preparado para o Provimento 213/2026?

As consequências do
descumprimento

Soluções para cada exigência
do Provimento 213

Classe 1

Classe 2

Classe 3

Como alcançar os 12.000
cartórios brasileiros

Diagnóstico gratuito de conformidade
com o Provimento 213

Guia Completo do
Provimento CNJ 213/2026

Perguntas sobre o
Provimento 213/2026