Qual é a principal diferença entre NIS2 e DORA no que respeita à gestão do risco de fornecedores?

Embora ambas exijam uma supervisão robusta de fornecedores, DORA é específica do setor financeiro e é altamente prescritiva quanto ao risco de terceiros nas TIC, impondo cláusulas contratuais específicas, análise do risco de concentração e direitos de acesso para o regulador. NIS2 aplica-se de forma mais ampla a entidades 'essenciais' e 'importantes', exigindo uma abordagem baseada no risco para proteger toda a cadeia de fornecimento, sem ser tão granular como DORA nos termos contratuais específicos.

O certificado ISO/IEC 27001:2022 de um fornecedor é suficiente para provar que é seguro?

Não. Embora um certificado ISO/IEC 27001:2022 seja um indicador positivo de um programa de segurança maduro, não substitui a sua própria diligência prévia. Regulamentos como DORA e NIS2 exigem que avalie os riscos específicos dos serviços que lhe são prestados. Deve verificar os controlos do fornecedor, rever os seus relatórios de auditoria quanto a exceções e assegurar que os acordos contratuais contêm cláusulas específicas de notificação de violação de dados, direitos de auditoria e tratamento seguro de dados.

Com que frequência devemos auditar os nossos fornecedores de alto risco?

Para fornecedores de alto risco e críticos, as auditorias não devem ser um evento isolado. É necessária uma abordagem de monitorização contínua. Isto inclui uma revisão formal e aprofundada, pelo menos anualmente ou sempre que ocorram alterações significativas ao serviço. Deve ser complementada por revisões trimestrais da evidência do fornecedor, como relatórios SOC 2 e análises de vulnerabilidades, e por monitorização em tempo real da sua postura de segurança e de quaisquer incidentes públicos.

O que são riscos de 'quarta parte' ou riscos a jusante, e por que são críticos?

Os riscos de quarta parte são os riscos introduzidos pelos fornecedores dos seus fornecedores, como subcontratados ou subcontratantes subsequentes. Se o seu prestador de serviços cloud utilizar uma empresa terceira de análise de dados, um comprometimento dessa empresa pode afetar os seus dados. Os reguladores esperam que tenha visibilidade sobre estas dependências a jusante nos seus fornecedores críticos. Os seus contratos devem exigir que os fornecedores imponham as suas normas de segurança aos respetivos subcontratados e o notifiquem de quaisquer alterações.

Qual é o elemento mais importante a incluir num contrato com um fornecedor de alto risco?

A cláusula de 'direito de auditoria' é, provavelmente, a mais crítica. Esta cláusula concede contratualmente o direito de verificar os controlos de segurança do fornecedor, diretamente ou através de um terceiro. Sem ela, todas as promessas de segurança assentam apenas na confiança. Esta cláusula é a sua principal ferramenta para ir além do questionário e recolher evidência tangível e defensável sobre a postura de segurança do fornecedor.

NIS2 DORA Supplier Management Risk Management

Para além do questionário: guia definitivo do Diretor de Segurança da Informação para auditar fornecedores de alto risco no âmbito da NIS2 e DORA

Editor de IA da Clarysec

November 15, 2025

18 min read

#Risco de terceiros #Auditoria #ISO 27001 #Conformidade #SGSI #Resposta a incidentes

Diagrama de fluxo do processo de auditoria a fornecedores de alto risco, detalhando um ciclo de vida em 4 fases, desde a avaliação inicial do risco e a revisão contratual até à monitorização contínua, auditorias técnicas e retenção documental regulamentar para conformidade com NIS2 e DORA.

O relatório chegou à secretária de Maria Valen, Diretora de Segurança da Informação, com um impacto discreto que soou mais a sirene. Era a avaliação pré-auditoria para a próxima revisão de conformidade com DORA, e uma linha estava destacada a vermelho vivo: “Garantia insuficiente para prestador terceiro crítico, CloudSphere.”

CloudSphere não era apenas mais um fornecedor. Era a espinha dorsal da nova plataforma de banca digital da empresa, processando diariamente milhões de transações. Maria tinha arquivado o certificado ISO/IEC 27001:2022 do fornecedor. Tinha também o questionário de segurança preenchido, um documento denso com 200 perguntas. Mas os pré-auditores estavam a sinalizar que, para um fornecedor crítico e de alto risco, a conformidade por checklist já não era suficiente. As regras tinham mudado.

Com a Diretiva NIS2 e o Regulamento de Resiliência Operacional Digital (DORA) já plenamente em vigor, os reguladores estão a olhar para além do rasto documental. Exigem prova tangível de diligência prévia, monitorização contínua e governação robusta sobre toda a cadeia de fornecimento. O desafio de Maria é o mesmo que muitos Diretores de Segurança da Informação enfrentam: como ir além do questionário para auditar e proteger efetivamente os fornecedores mais críticos? Isto exige uma mudança estratégica: sair da validação passiva e avançar para uma garantia ativa, baseada em evidência.

A falha do questionário estático num mundo dinâmico

Durante anos, o questionário de segurança foi a pedra angular da gestão do risco de terceiros. Mas é apenas uma fotografia estática num panorama de ameaças dinâmico. O perfil de risco de um fornecedor não é fixo; evolui com cada nova ameaça, alteração de sistema ou subcontratado integrado. Depender apenas de autoavaliações para um fornecedor crítico como a CloudSphere é como navegar numa tempestade com o mapa meteorológico do ano passado.

A Diretiva NIS2 exige explicitamente uma abordagem baseada no risco, impondo que as medidas de segurança sejam proporcionais aos riscos reais. Isto significa que um questionário uniforme, aplicado da mesma forma a todos os fornecedores, está fundamentalmente desalinhado com as expectativas regulamentares atuais. Ficaram para trás os dias em que um certificado ou uma lista de verificação preenchida podiam substituir a evidência. O verdadeiro risco está para além do rasto documental.

É aqui que uma abordagem estruturada e baseada no ciclo de vida se torna essencial. Não se trata de abandonar questionários, mas de os complementar com verificações mais profundas e intrusivas para os fornecedores que realmente importam. Este é o princípio central incorporado na Política de segurança de terceiros e fornecedores da Clarysec. Um dos seus objetivos fundamentais é:

“Exigir diligência prévia formal e avaliações de risco documentadas antes da contratação de novos fornecedores ou da renovação de acordos de serviço de alto risco.”
Da secção ‘Objetivos’, cláusula 3.3 da política

Esta cláusula altera a mentalidade: de uma simples verificação para uma investigação formal, um primeiro passo crucial para construir um programa defensável e capaz de resistir ao escrutínio regulamentar.

Risco de fornecedores no âmbito da NIS2 e DORA: as novas expectativas

Tanto NIS2 como DORA exigem que as organizações identifiquem, avaliem e monitorizem continuamente os riscos em todo o seu universo de fornecedores. Transformam a gestão de fornecedores, que deixa de ser uma função de compras, num pilar central da resiliência operacional e da segurança da informação.

O novo contexto regulamentar exige referenciais claros, estreitamente mapeados para normas estabelecidas como ISO/IEC 27001:2022. Segue-se um resumo de alto nível do que estes referenciais esperam do seu programa de governação de fornecedores:

Requisito	NIS2	DORA	Controlos ISO/IEC 27001:2022
Avaliação de riscos de fornecedores	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Cláusulas contratuais de segurança	Article 21(3), Article 22	Article 30	5.20
Monitorização contínua	Article 21, Article 22	Articles 30, 31	5.22
Gestão de vulnerabilidades e resposta a incidentes	Article 23	Article 9, 11	5.29, 8.8

Um programa robusto de auditoria a fornecedores não tem de ser inventado de raiz. O referencial ISO/IEC 27001:2022, em especial os controlos do Anexo A, fornece um modelo poderoso. Na Clarysec, orientamos os clientes na construção do programa em torno de três controlos interligados que formam um ciclo de vida completo de governação de fornecedores.

Construir um referencial de auditoria defensável: o ciclo de vida ISO 27001:2022

Para construir um programa que satisfaça os reguladores, é necessária uma abordagem estruturada assente numa norma reconhecida mundialmente. Os controlos de segurança de fornecedores da ISO/IEC 27001:2022 fornecem um ciclo de vida para gerir o risco de terceiros desde o início da relação até à sua cessação. Vejamos como Maria pode utilizar este ciclo de vida para construir um plano de auditoria defensável para a CloudSphere.

Passo 1: a base — segurança da informação nas relações com fornecedores (5.19)

O controlo 5.19 é o ponto de partida estratégico. Exige a criação de processos formais para identificar, avaliar e gerir os riscos de segurança da informação associados a todo o ecossistema de fornecedores. É aqui que se define o que significa “alto risco” para a organização e se estabelecem as regras do jogo.

O Zenith Controls: The Cross-Compliance Guide da Clarysec fornece uma análise detalhada do 5.19, ilustrando o seu papel como eixo central da governação de fornecedores. Este controlo está intrinsecamente ligado a controlos relacionados, como 5.21 (Segurança da informação na cadeia de fornecimento das TIC), que abrange componentes de hardware e software, e 5.14 (Transferência de informação), que governa a troca segura de dados. Não é possível gerir eficazmente uma relação com um fornecedor sem controlar também a tecnologia que ele fornece e os dados que partilha.

Para Maria, isto significa que a auditoria à CloudSphere deve ir além da postura de segurança corporativa do fornecedor e aprofundar a segurança da plataforma efetivamente disponibilizada. O guia Zenith Controls destaca que uma implementação sólida do 5.19 apoia diretamente a conformidade com regulamentos relevantes:

NIS2 (Article 21(2)(d)): obriga as organizações a gerir o risco da cadeia de fornecimento como parte central do seu referencial de segurança.
DORA (Articles 28–30): impõe um referencial robusto de gestão do risco de terceiros nas TIC, incluindo classificação de criticidade e diligência prévia pré-contratual.
RGPD da UE (Article 28): exige que os responsáveis pelo tratamento recorram apenas a subcontratantes que apresentem garantias suficientes em matéria de proteção de dados.

Este controlo impõe a estratificação do risco de fornecedores, a monitorização contínua e a revogação atempada de acessos. A sua finalidade é garantir que a segurança fica integrada no ciclo de vida do fornecedor, e não acrescentada posteriormente como uma consideração tardia.

Passo 2: a aplicação — tratar a segurança da informação nos acordos com fornecedores (5.20)

Um requisito de segurança que não esteja no contrato é apenas uma recomendação. O controlo 5.20 é o ponto em que a governação se torna juridicamente exigível. Para um fornecedor de alto risco, o contrato é a ferramenta de auditoria mais poderosa.

Como o Zenith Controls sublinha, estes acordos devem ser explícitos. Promessas vagas de “segurança de acordo com as melhores práticas da indústria” não têm valor operacional. Para um fornecedor como a CloudSphere, Maria deve verificar se o contrato inclui cláusulas específicas e mensuráveis que concedem à sua organização supervisão tangível:

Direito de auditoria: uma cláusula que concede explicitamente à sua organização o direito de realizar avaliações técnicas, rever evidência ou contratar um terceiro para auditar em seu nome.
Prazos de notificação de violação: prazos específicos e exigentes, por exemplo, no prazo de 24 horas após a deteção, para notificar a empresa de um incidente de segurança, e não apenas uma formulação vaga como “sem demora injustificada”.
Gestão de subcontratados, incluindo quarta parte: uma cláusula que obriga o fornecedor a impor as mesmas normas de segurança aos seus próprios subcontratados críticos e a notificar Maria de quaisquer alterações. Isto é crucial para gerir o risco a jusante.
Estratégia de saída segura: obrigações claras para a devolução ou destruição certificada dos dados após a cessação do contrato.

DORA é particularmente prescritivo neste ponto. O Article 30 enumera disposições contratuais obrigatórias, incluindo acesso sem impedimentos para auditores e reguladores, detalhes específicos sobre localizações de serviço e estratégias de saída abrangentes. Os auditores irão selecionar amostras de contratos de fornecedores de alto risco e verificar diretamente a existência destas cláusulas.

Passo 3: o ciclo contínuo — monitorização, revisão e gestão de alterações dos serviços de fornecedores (5.22)

A peça final do ciclo de vida é o controlo 5.22, que transforma a supervisão de fornecedores de uma verificação pontual num processo contínuo. Uma auditoria não deve ser um evento-surpresa, mas sim um ponto de validação dentro de uma relação contínua de transparência.

É aqui que muitas organizações falham. Assinam o contrato e arquivam-no. Mas, para fornecedores de alto risco, o verdadeiro trabalho começa após a integração. O guia Zenith Controls liga o 5.22 a processos operacionais críticos, como 8.8 (Gestão de vulnerabilidades técnicas) e 5.29 (Segurança da informação durante disrupções). Isto significa que uma monitorização eficaz envolve muito mais do que uma reunião anual de revisão. Inclui:

Revisão de evidência de terceiros: obter e analisar ativamente relatórios SOC 2 Tipo II, resultados de auditorias de acompanhamento ISO 27001 ou resumos de testes de intrusão. O essencial é rever as exceções e acompanhar a respetiva remediação.
Monitorização de incidentes: acompanhar violações ou incidentes de segurança divulgados publicamente que envolvam o fornecedor e avaliar formalmente o potencial impacto na organização.
Gestão de alterações: implementar um processo no qual qualquer alteração significativa no serviço do fornecedor, como uma nova localização de centro de dados ou um novo subcontratado crítico, desencadeia automaticamente uma reavaliação do risco.

O Zenith Blueprint: An Auditor’s 30-Step Roadmap da Clarysec fornece orientação acionável sobre este tema, em particular no Passo 24, que cobre o risco de subcontratados. Recomenda:

“Para cada fornecedor crítico, identifique se utiliza subcontratados ou subcontratantes subsequentes que possam aceder aos seus dados ou sistemas. Documente como os seus requisitos de segurança da informação são transmitidos a essas entidades… Sempre que viável, solicite uma lista dos principais subcontratados e assegure que o seu direito de auditoria ou de obtenção de garantia também se aplica a eles.”

Este é um ponto crucial para Maria. A CloudSphere utiliza uma empresa terceira de análise de dados? A sua infraestrutura está alojada numa grande cloud pública? Estas dependências a jusante representam um risco significativo, muitas vezes invisível, que a auditoria deve trazer à luz.

Da teoria à ação: o plano prático de auditoria de Maria para a CloudSphere

Com este ciclo de vida ISO 27001:2022, a equipa de Maria elabora um novo plano de auditoria para a CloudSphere que vai muito além do questionário, demonstrando a governação madura e baseada no risco que os reguladores exigem.

Revisão contratual: começam por mapear o contrato existente com a CloudSphere face ao DORA Article 30 e às melhores práticas do controlo 5.20. Criam um relatório de análise de lacunas para orientar o próximo ciclo de renovação e priorizar as áreas da auditoria atual.
Pedido direcionado de evidência: em vez de um questionário genérico, enviam um pedido formal de evidência específica, incluindo:
- O relatório SOC 2 Tipo II mais recente e um resumo da forma como todas as exceções identificadas foram remediadas.
- O resumo executivo do teste de intrusão externo mais recente.
- Uma lista completa de todos os subcontratados, incluindo quarta parte, que irão tratar ou aceder aos seus dados.
- Evidência de que os requisitos de segurança são contratualmente transmitidos a esses subcontratados.
- Registos ou relatórios que demonstrem aplicação atempada de correções para vulnerabilidades críticas, por exemplo Log4j e MOVEit, nos últimos seis meses.
Validação técnica: invocam a cláusula de “direito de auditoria” para agendar uma sessão técnica aprofundada com a equipa de segurança da CloudSphere. A agenda centra-se nos guias operacionais de resposta a incidentes, nas ferramentas de gestão da postura de segurança na cloud e nos controlos de prevenção de fuga de dados.
Gestão formal de exceções: se a CloudSphere resistir à disponibilização de determinada evidência, Maria está preparada. O processo de governação da sua organização, definido na Política de segurança de terceiros e fornecedores, é claro:

“Exceções de alto risco, por exemplo fornecedores que tratem dados regulados ou suportem sistemas críticos, devem ser aprovadas pelo Diretor de Segurança da Informação, pela área Jurídica e pela Direção de Compras, e registadas no Registo de Exceções do SGSI.”
Da secção ‘Tratamento do risco e exceções’, cláusula 7.3 da política

Isto assegura que qualquer recusa em fornecer evidência não é simplesmente ignorada, mas formalmente aceite como risco aos níveis mais elevados da organização, um processo que os auditores reconhecem como adequado.

A perspetiva do auditor: o que diferentes auditores irão exigir

Para construir um programa verdadeiramente resiliente, é necessário pensar como um auditor. Diferentes referenciais de auditoria trazem diferentes perspetivas, e antecipar as suas perguntas é essencial para o sucesso. Segue-se uma visão consolidada do que vários auditores exigiriam ao rever o seu programa de governação de fornecedores:

Perfil do auditor	Área de foco e controlos principais	Evidência que será exigida
Auditor ISO/IEC 27001:2022	5.19, 5.20, 5.22	Inventário de fornecedores com classificações de risco; amostras de contratos de fornecedores de alto risco para verificar cláusulas de segurança; registos de diligência prévia e de reuniões de revisão contínua.
Auditor COBIT 2019	APO10 (Gerir fornecedores), DSS04 (Gerir a continuidade)	Evidência de monitorização contínua do desempenho face aos SLA; documentação sobre a gestão de incidentes relacionados com fornecedores; registos de revisões de risco de fornecedores e de gestão de alterações.
DORA / regulador financeiro	Articles 28-30	Contrato com o prestador crítico de serviços de TIC, mapeado para as cláusulas obrigatórias de DORA; avaliação de risco de concentração; evidência de testes ou revisão da estratégia de saída.
Auditor NIST SP 800-53	SA-9 (Serviços de sistemas externos), família SR (cadeia de fornecimento)	Evidência do plano de gestão do risco da cadeia de fornecimento; registos de evidência de conformidade de fornecedores, por exemplo FedRAMP e SOC 2; documentação da visibilidade sobre riscos de quarta parte.
ISACA / auditor de TI	ITAF Performance Standard 2402	Registos que comprovem que o acesso de pessoal de fornecedores cessado foi revogado prontamente; evidência de contas únicas, protegidas por MFA, para acesso de terceiros; registos de resposta a incidentes.

Esta perspetiva multifacetada mostra que um programa robusto não visa satisfazer apenas uma norma, mas construir um referencial de governação holístico que gere a evidência necessária para satisfazer todas.

Armadilhas críticas: onde falham as auditorias a fornecedores

Muitos programas de supervisão de fornecedores ficam aquém devido a erros comuns e evitáveis. Esteja atento a estas armadilhas críticas:

Auditoria como evento: depender de auditorias pontuais durante a integração ou renovação, em vez de implementar monitorização contínua.
Complacência com certificações: aceitar um certificado ISO ou SOC 2 pelo valor aparente, sem rever os detalhes, o âmbito e as exceções do relatório.
Contratos vagos: não incluir cláusulas explícitas e exigíveis para direitos de auditoria, notificação de violação de dados e tratamento de dados.
Gestão deficiente do inventário: não conseguir produzir um inventário completo, estratificado por risco, de todos os fornecedores e dos dados a que acedem.
Ignorar o risco a jusante: não identificar nem gerir os riscos colocados pelos subcontratados críticos do próprio fornecedor, ou seja, o risco de quarta parte.
Gestão de vulnerabilidades não verificada: confiar que o fornecedor está a aplicar correções a vulnerabilidades críticas sem solicitar evidência.

Lista de verificação acionável para auditorias a fornecedores de alto risco

Utilize esta lista de verificação, adaptada do Zenith Blueprint, para assegurar que o seu processo de auditoria para cada fornecedor de alto risco é rigoroso e defensável.

Passo	Ação	Evidência a recolher e reter
Diligência prévia	Realizar e documentar uma avaliação de riscos formal antes da integração ou renovação.	Folha de trabalho de risco do fornecedor preenchida; registo de classificação; relatório de diligência prévia.
Revisão contratual	Verificar que as cláusulas de segurança, privacidade e auditoria estão presentes e são exigíveis.	Contrato assinado com cláusulas destacadas; aprovação da revisão jurídica; Acordo de Tratamento de Dados.
Monitorização contínua	Agendar e realizar revisões trimestrais ou anuais com base no nível de risco.	Ata de reunião; relatórios SOC 2 / ISO 27001 revistos; resumos de análises de vulnerabilidades.
Supervisão de subcontratados	Identificar e documentar todos os fornecedores críticos a jusante, incluindo quarta parte.	Lista de subcontratantes subsequentes fornecida pelo fornecedor; evidência de cláusulas de transmissão de requisitos de segurança.
Gestão de vulnerabilidades	Exigir evidência de um programa maduro de gestão de vulnerabilidades.	Resumo executivo de teste de intrusão recente; amostras de relatórios de análises de vulnerabilidades; prazos de aplicação de correções.
Comunicação de incidentes	Testar e validar o processo de notificação de incidentes do fornecedor.	Registos de notificações de incidentes anteriores; SLA documentados de notificação de violação de dados.
Gestão de alterações	Rever todas as alterações técnicas ou organizacionais significativas no fornecedor.	Registos de alterações do fornecedor; relatórios de reavaliação do risco desencadeados por alterações.
Mapeamento regulamentar	Mapear os controlos implementados diretamente para os requisitos da NIS2, DORA e RGPD da UE.	Tabela interna de mapeamento de conformidade; registo de evidência para reguladores.

Conclusão: construir uma cadeia de fornecimento resiliente e defensável

A era da conformidade por checklist para fornecedores críticos terminou. O escrutínio intenso de regulamentos como NIS2 e DORA exige uma mudança fundamental para um modelo de garantia contínua baseada em evidência. Diretores de Segurança da Informação como Maria devem liderar a transição das suas organizações para além do questionário estático.

Ao construir um programa sobre o ciclo de vida comprovado dos controlos ISO/IEC 27001:2022, cria um referencial que não é apenas conforme, mas verdadeiramente eficaz na redução do risco. Isto implica tratar a segurança de fornecedores como uma disciplina estratégica, integrar requisitos exigíveis nos contratos e manter uma supervisão vigilante ao longo de toda a relação.

A segurança da sua organização é tão forte quanto o seu elo mais fraco e, no ecossistema interligado atual, esse elo está frequentemente num terceiro. Está na altura de recuperar o controlo.

Pronto para ir além do questionário?

Os toolkits integrados da Clarysec fornecem a base necessária para construir um programa de gestão do risco de fornecedores de classe mundial, capaz de resistir a qualquer auditoria.

Descarregue os nossos modelos de políticas: implemente um referencial de governação robusto com a nossa Política de Segurança de Terceiros e Fornecedores de nível empresarial e a respetiva versão para PME.
Siga o Zenith Blueprint: utilize o nosso Zenith Blueprint: An Auditor’s 30-Step Roadmap para implementar e auditar um SGSI conforme, com passos dedicados ao domínio do risco de fornecedores.
Tire partido do Zenith Controls: solicite uma demonstração do nosso Zenith Controls: The Cross-Compliance Guide para mapear controlos de fornecedores para NIS2, DORA, RGPD da UE, NIST e muito mais, assegurando que o seu plano de auditoria é abrangente e defensável.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council