Preservação legal em incidentes de cibersegurança para o RGPD da UE, NIS2 e DORA
Às 4:17, Maria, CISO de um fornecedor fintech SaaS, recebeu a chamada para a qual todos os responsáveis de segurança se preparam e que, ainda assim, esperam nunca receber. Servidores críticos de produção estavam sem resposta. Ficheiros estavam cifrados. Uma nota de resgate estava aberta no ecrã de um administrador júnior.
Às 4:28, a equipa de resposta a incidentes queria isolar os sistemas afetados e reimplementar infraestrutura limpa. Às 4:41, a engenharia perguntou se podia fazer rotação de credenciais, remover ficheiros temporários e reconstruir contentores. Às 5:03, o Encarregado da Proteção de Dados alertou que o ambiente comprometido continha identificadores de clientes e metadados de transações. Às 5:16, a assessoria jurídica entrou na chamada de crise com uma instrução: “Não destruam evidência potencial. Podemos precisar de preservação legal.” Às 5:30, o COO perguntou se tinham sido acionadas obrigações de comunicação DORA. Às 6:00, Maria lembrou-se do relógio da NIS2: um alerta precoce poderia ser devido em 24 horas, uma notificação mais completa em 72 horas e um relatório final no prazo de um mês.
Depois surgiu a pergunta que decide se um incidente de cibersegurança se torna defensável ou caótico:
“Continuamos a ter os logs?”
Este é o problema de governação pós-incidente que muitos planos de resposta subestimam. Não basta detetar, conter e recuperar. Em 2026, as organizações também devem provar o que aconteceu, preservar evidência relevante, evitar a corrupção de artefactos forenses, respeitar a minimização de dados do RGPD da UE, suportar a supervisão NIS2 e manter registos de risco das TIC exigidos pela DORA capazes de resistir a auditoria, litígio e escrutínio regulamentar.
A preservação legal em incidentes de cibersegurança e a conservação de evidência ficam no ponto de colisão entre operações de segurança, privacidade, jurídico, conformidade, engenharia de cloud, gestão de fornecedores e auditoria. Se o processo for improvisado durante uma violação, a organização pode perder a evidência necessária para análise de causa raiz, comunicação ao regulador, pedidos de indemnização ao seguro, defesa em litígio, procedimentos disciplinares e garantia para clientes. Se for excessivo, a organização pode reter dados pessoais em excesso e criar um segundo problema de conformidade.
A abordagem da Clarysec é tornar a preservação legal um processo controlado do SGSI, não uma reação de pânico. O modelo liga a governação da ISO/IEC 27001:2022, os controlos de evidência e registo de logs da ISO/IEC 27002:2022, a responsabilização do RGPD da UE, a comunicação de incidentes NIS2 e a evidência de risco das TIC da DORA num único modelo operacional. Esse modelo indica às equipas o que preservar, quem pode autorizar a preservação, durante quanto tempo a evidência permanece sob preservação, quem pode aceder-lhe e quando a eliminação pode ser retomada.
As primeiras 24 horas decidem se a evidência sobrevive
Em muitos incidentes reais, a evidência não é destruída pelos atacantes. É destruída pelas operações normais.
Um período de retenção de logs na nuvem expira. Um contentor é reimplementado. Um endpoint recebe nova imagem antes de a memória ser capturada. Um administrador SaaS exporta um CSV para investigação e depois edita o ficheiro. Um engenheiro bem-intencionado elimina scripts maliciosos antes de criar uma cópia forense. Uma tarefa de retenção num data warehouse remove os registos necessários para determinar que clientes foram afetados.
A organização pode ainda recuperar operacionalmente, mas perde a prova. Essa distinção é importante.
Ao abrigo do RGPD da UE, um responsável pelo tratamento deve conseguir demonstrar conformidade com os princípios de proteção de dados, incluindo integridade e confidencialidade, limitação das finalidades, minimização de dados e limitação da conservação. Se uma violação de dados pessoais for suscetível de resultar num risco para as pessoas singulares, o Article 33 pode exigir notificação à autoridade de controlo sem demora injustificada e, sempre que viável, no prazo de 72 horas após a tomada de conhecimento. Se a violação for suscetível de resultar num elevado risco para as pessoas singulares, o Article 34 pode exigir comunicação aos titulares dos dados afetados.
Ao abrigo da NIS2, entidades essenciais e importantes devem gerir incidentes significativos através de comunicação faseada e supervisão. Ao abrigo da DORA, as entidades financeiras devem registar incidentes relacionados com TIC, classificar incidentes graves, comunicá-los, realizar análise de causa raiz e preservar evidência em ativos de TIC, funções de negócio e dependências de terceiros.
A ISO/IEC 27001:2022 fornece a estrutura de sistema de gestão para isto. A Cláusula 4.2 exige que a organização determine as necessidades e expectativas das partes interessadas, incluindo requisitos legais, regulamentares e contratuais relevantes para a segurança da informação. A Cláusula 4.3 exige que o âmbito do SGSI considere interfaces e dependências, o que é crítico quando a evidência está num prestador cloud, prestador de segurança gerida, plataforma de pagamentos ou helpdesk externalizado. A Cláusula 6.1 liga estas obrigações aos riscos de segurança da informação e ao respetivo tratamento. A Cláusula 7.5 exige informação documentada controlada. A Cláusula 8 exige planeamento e controlo operacional.
O Zenith Blueprint: roteiro de 30 passos para auditores da Clarysec explica porque isto deve ser desenhado antes do incidente, não durante. Na fase Controlos em Ação, Passo 23, a orientação para o controlo 5.28 da ISO/IEC 27002:2022 declara:
“Quando ocorre um incidente de segurança da informação, um dos elementos mais críticos da resposta, mas frequentemente negligenciado, é a evidência. Não logs, não capturas de ecrã, não narrativas soltas, mas evidência corretamente preservada, respeitando a cadeia de custódia e resistente à adulteração.”
O mesmo Passo 23 acrescenta que “o que se consegue provar é tão importante como aquilo que efetivamente aconteceu.” Essa frase marca a diferença entre resposta a incidentes e resposta a incidentes defensável. Um regulador, auditor de cliente, tribunal, seguradora ou autoridade de controlo não aceitará uma reconstrução verbal se a organização não conseguir apresentar logs preservados, carimbos temporais fiáveis, registos controlados e uma cadeia de custódia documentada.
Preservação legal não significa “guardar tudo para sempre”
A preservação legal em incidentes de cibersegurança é uma suspensão formal da eliminação ou destruição normal de registos, logs, cópias de segurança, imagens, comunicações e outra evidência definida que possa ser relevante para uma investigação, litígio, pedido de esclarecimento regulamentar, auditoria ou disputa contratual.
A falha mais comum é tratar a preservação legal como uma instrução genérica: “Não apagar nada.” Isso cria riscos de privacidade, custo e operação. O RGPD da UE não deixa de se aplicar durante um incidente de cibersegurança. Os dados pessoais devem continuar a ser tratados de forma lícita, leal e transparente, para finalidades especificadas, limitados ao necessário e conservados apenas pelo tempo necessário. O Article 5(2) acrescenta a responsabilização, ou seja, a organização deve conseguir demonstrar essas decisões.
É aqui que a biblioteca de políticas da Clarysec se torna prática. A Política de Retenção de Dados e Política de Eliminação Segura para PME declara:
“A preservação legal e a suspensão da eliminação sobrepõem-se aos requisitos normais de retenção e impedem a eliminação de dados.”
Para organizações de maior dimensão, a política Enterprise Política de Retenção e Eliminação de Dados, Cláusula 6.4.1, estabelece:
“Se for emitida uma preservação legal e suspensão da eliminação (por exemplo, por litígio, investigação ou auditoria pendente), os dados que de outra forma estariam sujeitos a destruição devem ser preservados para além do seu período normal de retenção.”
A mesma política Enterprise exige que a preservação seja:
“Documentada e aprovada pela assessoria jurídica e pelo Encarregado da Proteção de Dados (EPD)”
Este modelo de aprovação não é burocracia. É o mecanismo de equilíbrio entre preservação probatória e contenção de privacidade. A assessoria jurídica confirma a base de litígio, investigação ou regulação. O EPD confirma que o âmbito, a finalidade, as categorias de dados pessoais, os controlos de acesso e a extensão da retenção permanecem proporcionais.
Para PME sem departamento jurídico completo ou função de EPD, a mesma lógica de decisão pode ser executada por um vCISO, responsável de privacidade, diretor-geral e assessoria jurídica externa, desde que a autorização seja documentada, limitada no tempo e revista.
A tensão de conformidade que todos os CISO devem resolver
Após um incidente grave, diferentes partes interessadas pedem evidência diferente. O jurídico quer preservação. A privacidade quer minimização. Os reguladores querem factos. As operações querem restauro. Os clientes querem garantias. Os auditores querem evidência objetiva.
| Regulamento ou necessidade | Exigência principal sobre a evidência | Implicação para a retenção |
|---|---|---|
| NIS2 | Provar impacto, severidade e causa suspeita para comunicação faseada de incidentes | Preservar alertas, indicadores de compromisso, dados de impacto no serviço, registos de interrupção operacional e logs de decisão |
| DORA | Suportar classificação de incidentes, comunicação, análise de impacto nos clientes e revisão de causa raiz | Reter artefactos técnicos, evidência de ativos de TIC, briefings de gestão, comunicações de fornecedores e registos de remediação |
| RGPD da UE | Demonstrar limitação das finalidades, minimização de dados, limitação da conservação e segurança do tratamento | Justificar a retenção de dados pessoais, restringir o acesso e eliminar ou anonimizar evidência quando a preservação for levantada |
| Litígio | Apresentar evidência defensável, não adulterada, com cadeia de custódia clara | Congelar dados relevantes sob preservação formal e manter registos de aquisição, acesso e transferência |
| Contratos de cliente | Provar obrigações de notificação, impacto no serviço, remediação e cooperação | Preservar comunicações com clientes, análise de SLA, relatórios de incidente e registos de resposta contratual |
Tentar gerir estas exigências através de fluxos separados de privacidade, jurídico, SOC e auditoria é uma receita para contradição. Um SGSI unificado segundo a ISO/IEC 27001:2022 integra-as num único processo de risco, controlo e evidência.
A pilha de controlos para retenção de evidência defensável
A preservação legal em incidentes de cibersegurança não é um único controlo ISO/IEC 27002:2022. É uma relação entre controlos.
O Zenith Controls: guia de conformidade cruzada da Clarysec mapeia o controlo 5.28 da ISO/IEC 27002:2022, Recolha de evidência, como um controlo corretivo que suporta confidencialidade, integridade e disponibilidade. Situa-se nos conceitos de cibersegurança Detetar e Responder e na capacidade operacional de gestão de eventos de segurança da informação.
O mesmo guia Zenith Controls liga o 5.28 à resposta a incidentes de segurança da informação, registo de logs e monitorização, proteção de registos e comunicação de eventos. A lógica é prática: os respondentes a incidentes precisam de logs e artefactos antes de a remediação alterar a cena, os responsáveis pela comunicação regulamentar precisam de factos fiáveis e os investigadores precisam de evidência que não tenha sido alterada.
O controlo 5.33 da ISO/IEC 27002:2022, Proteção de registos, é igualmente importante. Suporta requisitos legais e de conformidade, gestão de ativos e proteção da informação. Liga a proteção de registos à classificação, cópias de segurança, eliminação segura, requisitos legais e contratuais, controlo de acesso e resposta a incidentes. Na prática, uma preservação legal não deve apenas capturar evidência. Deve proteger a integridade, confidencialidade e disponibilidade do próprio registo probatório.
Para o registo de logs, o controlo 8.15 da ISO/IEC 27002:2022, Registo de eventos, é a base. Liga-se ao 8.16, Atividades de monitorização, e ao 8.17, Sincronização de relógios. Se os logs estiverem incompletos, forem editáveis por administradores, não estiverem sincronizados no tempo ou forem retidos por um período demasiado curto, o processo de evidência pode falhar antes de a investigação começar.
| Necessidade de evidência | Relação com controlos ISO/IEC 27002:2022 | Porque é importante após uma violação |
|---|---|---|
| Preservar artefactos antes da remediação | 5.28 Recolha de evidência ligada a 5.26 Resposta a incidentes de segurança da informação | Impede que os respondentes destruam prova enquanto contêm o incidente |
| Proteger registos de investigação | 5.33 Proteção de registos ligada a 5.31 Requisitos legais, estatutários, regulamentares e contratuais e 5.15 Controlo de acesso | Garante que ficheiros de evidência, relatórios e aprovações permanecem íntegros e restritos |
| Manter logs fiáveis | 8.15 Registo de eventos ligado a 8.16 Atividades de monitorização e 8.17 Sincronização de relógios | Suporta cronologias de eventos, atribuição, análise de impacto e comunicação regulamentar |
| Equilibrar privacidade | 5.34 Privacidade e proteção de PII ligada ao registo de logs e à proteção de registos | Evita retenção excessiva ou divulgação não controlada de dados pessoais |
| Recuperar a disponibilidade da evidência | 8.13 Cópia de segurança da informação ligada à proteção de registos | Ajuda a restaurar registos e logs se os sistemas forem corrompidos, cifrados ou eliminados |
| Melhorar após o incidente | 5.27 Aprendizagem com incidentes de segurança da informação ligada a ações corretivas | Converte lições aprendidas em tratamento de riscos, melhoria de controlos e evidência de auditoria |
O Zenith Blueprint, fase Controlos em Ação, Passo 19, reforça isto com linguagem prática sobre registo de logs:
“Devem ser produzidos, armazenados, protegidos e analisados logs que registem atividades, exceções, falhas e outros eventos relevantes.”
Também alerta que a proteção de logs inclui restringir o acesso e utilizar mecanismos como hashing ou armazenamento write-once para impedir adulteração. O Passo 19 liga a sincronização de relógios à coerência forense, explicando que relógios sincronizados permitem alinhar logs de diferentes sistemas para investigação.
Responsabilização no RGPD da UE: preserve o que precisa, justifique o que retém
O RGPD da UE cria a tensão mais visível na retenção de evidência de incidentes. As equipas de segurança tendem a querer mais dados. As equipas de privacidade querem menos. Uma preservação legal defensável concilia ambos.
Logs e artefactos podem conter endereços IP, IDs de utilizador, endereços de correio eletrónico, identificadores de dispositivo, registos de autenticação, texto de tickets de suporte, capturas de ecrã, exportações de clientes ou dados de categorias especiais. A preservação de evidência é, portanto, tratamento de dados. A notificação de preservação legal deve documentar o fundamento de licitude, a finalidade, o âmbito, as restrições de acesso, a data de revisão da retenção e o evento que desencadeia a eliminação.
A Política de Proteção de Dados e Privacidade para PME da Clarysec declara:
“Apenas devem ser recolhidos e retidos os dados pessoais mínimos necessários”
A política Enterprise Política de Recolha de Evidência e Análise Forense ancora explicitamente o tratamento de evidência forense em:
“GDPR Article 5, incluindo limitação das finalidades e minimização de dados”
Este é o princípio operacional. Não preserve uma base de dados de produção inteira se a evidência relevante for um rasto de auditoria restrito, um log de acesso, um registo de consulta e a lista de utilizadores afetados. Não dê a todos os respondentes acesso à evidência bruta se extratos pseudonimizados ou acesso baseado em funções forem suficientes. Não mantenha artefactos de incidente indefinidamente depois de expirada a necessidade legal, regulamentar e de auditoria.
Um bom registo de preservação legal consciente do RGPD da UE responde a sete perguntas:
- Que incidente ou investigação desencadeou a preservação?
- Que categorias de dados pessoais podem estar incluídas?
- Porque é que cada categoria de evidência é necessária?
- Quem aprovou a preservação e quando?
- Quem pode aceder à evidência?
- Quando será revista a preservação?
- Que processo de eliminação ou eliminação segura é retomado quando a preservação é levantada?
É assim que a retenção de evidência evita transformar-se em retenção excessiva por motivos de privacidade.
NIS2: preservação legal para comunicação faseada de incidentes
Para organizações abrangidas, a NIS2 altera a expectativa sobre evidência de “útil internamente” para “necessária para supervisão”.
A NIS2 aplica-se a muitas entidades essenciais e importantes na UE, incluindo prestadores de infraestrutura digital, prestadores de serviços de computação em cloud, prestadores de serviços de centros de dados, redes de distribuição de conteúdos, prestadores de serviços de confiança, prestadores de comunicações eletrónicas, prestadores de serviços geridos, prestadores de serviços de segurança geridos e determinados prestadores digitais, como mercados em linha, motores de pesquisa em linha e plataformas de redes sociais.
O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionais, incluindo análise de riscos, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, avaliação da eficácia, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e autenticação. O Article 20 torna os órgãos de administração responsáveis pela aprovação e supervisão dessas medidas.
Para a preservação legal, a questão central da NIS2 é o Article 23. Incidentes significativos exigem comunicação faseada: alerta precoce no prazo de 24 horas após a tomada de conhecimento, notificação de incidente no prazo de 72 horas, relatórios intercalares mediante pedido e relatório final o mais tardar um mês após a notificação de 72 horas. O relatório final necessita de descrição, severidade, impacto, tipo provável de ameaça ou causa raiz, medidas de mitigação e impacto transfronteiriço quando aplicável.
| Fase de comunicação NIS2 | Evidência necessária | Ação de preservação legal |
|---|---|---|
| Alerta precoce de 24 horas | Hora inicial de deteção, atividade maliciosa suspeita, serviço afetado e possível impacto transfronteiriço | Congelar alertas SOC, ticket de incidente, logs de identidade e trilhos de auditoria cloud |
| Notificação de 72 horas | Severidade, impacto, indicadores de compromisso, interrupção operacional e indicadores de perda financeira | Preservar exportações forenses, inventário de ativos afetados, IOC, notas de impacto no negócio e registos de comunicação |
| Relatórios intercalares | Estado atual, progresso da contenção e questões da autoridade | Manter registo de investigação versionado e log de decisões de resposta |
| Relatório final | Causa raiz, descrição do incidente, severidade, impacto, mitigação e efeito transfronteiriço | Preservar evidência de causa raiz, evidência de remediação, lições aprendidas e trilho de aprovação |
Se o incidente afetar dados pessoais, as autoridades competentes NIS2 podem cooperar com as autoridades de controlo do RGPD da UE. Isso aumenta a necessidade de uma narrativa única de evidência que suporte tanto a supervisão de cibersegurança como a responsabilização em matéria de privacidade.
DORA: a evidência de risco das TIC vai além dos logs de segurança
Para entidades financeiras, a DORA é o regime setorial de resiliência operacional. Aplica-se desde 17 de janeiro de 2025 e abrange gestão do risco das TIC, comunicação de incidentes graves relacionados com TIC, testes de resiliência, partilha de informação e gestão do risco de terceiros de TIC. Para entidades financeiras que também sejam essenciais ou importantes ao abrigo da NIS2, a DORA funciona geralmente como o ato jurídico setorial da União para risco das TIC e comunicação de incidentes.
A DORA é, por conceção, intensiva em evidência. O Article 17 exige um processo de gestão de incidentes relacionados com TIC. O Article 18 aborda a classificação de incidentes relacionados com TIC e ameaças cibernéticas. O Article 19 abrange a comunicação de incidentes graves relacionados com TIC. As entidades financeiras também devem manter mecanismos de governação e controlo, identificar funções críticas ou importantes, documentar ativos e dependências de TIC e realizar análise de causa raiz.
Isto significa que a preservação legal DORA deve abranger evidência de resiliência operacional, não apenas artefactos de segurança. Após um comprometimento de identidade cloud que afete operações de pagamento, a preservação pode incluir logs do fornecedor de identidade, histórico de acessos privilegiados, logs de auditoria cloud, alertas SIEM, imagens de endpoint, análise de impacto em transações de clientes, registos de ativação de continuidade de negócio, evidência de cópia de segurança e recuperação, comunicações de fornecedores, briefings ao órgão de administração, análise de causa raiz e validação de remediação.
A DORA também torna inevitável a evidência de terceiros de TIC. Os Articles 28 a 30 exigem gestão do risco de terceiros de TIC, registos de acordos contratuais, diligência prévia, avaliação de risco de concentração e contratos escritos com direitos e obrigações. Para funções críticas ou importantes, os contratos devem suportar obrigações de aviso e comunicação pelo prestador, assistência em incidentes, cooperação com autoridades, direitos de acesso, inspeção e auditoria, e estratégias de saída.
Se o seu prestador cloud, MSP, MSSP, processador de pagamentos ou dependência SaaS detém os logs relevantes, o seu processo de preservação legal já deve estar incorporado nos contratos de fornecedores. Caso contrário, pode descobrir durante um incidente grave que a janela de retenção padrão do prestador é mais curta do que o seu ciclo de comunicação regulamentar.
Como a Clarysec operacionaliza a preservação legal durante uma violação SaaS
Considere o ambiente fintech SaaS de Maria. O incidente pode envolver acesso não autorizado a identificadores de clientes, metadados de transações, sistemas de administração e registos de SOC externalizado. A empresa serve instituições financeiras da UE, depende de infraestrutura cloud e pode enfrentar obrigações contratuais no âmbito do RGPD da UE, da DORA e deveres NIS2.
A primeira ação não é preservar tudo. A primeira ação é acionar uma decisão controlada.
O coordenador do incidente envia um pedido de preservação legal à assessoria jurídica, ao EPD ou responsável de privacidade, ao CISO e ao proprietário do negócio. O pedido inclui ID do incidente, data e hora, sistemas afetados, categorias de dados suspeitas, vias regulamentares iniciais, categorias de evidência propostas e riscos imediatos de eliminação.
Usando a política Enterprise Política de Retenção e Eliminação de Dados, a preservação é documentada e aprovada pela assessoria jurídica e pelo EPD. Para PME, a Política de Retenção de Dados e Política de Eliminação Segura para PME fornece a regra de suspensão da eliminação. A autorização inclui uma data de revisão alinhada com marcos da investigação, prazos de comunicação regulamentar e risco esperado de litígio ou disputa contratual. Não diz “para sempre”. Diz “até levantamento por decisão autorizada após revisão”.
Em seguida, a equipa congela logs e artefactos relevantes. A Política de Registo de Logs e Monitorização para PME da Clarysec declara:
“Os logs devem ser colocados sob preservação legal e suspensão da eliminação e protegidos contra alteração ou eliminação”
A equipa suspende a eliminação para casos SIEM, logs de identidade, logs de auditoria cloud, logs de aplicações, logs de consultas a bases de dados, eventos WAF e metadados de alertas SOC. Os logs exportados são armazenados em repositório de evidência restrito, com hashing, controlo de versões e permissões de só leitura quando adequado.
A regra de recolha é simples: preservar evidência sem editar originais. A Política de Recolha de Evidência e Análise Forense para PME declara:
“Deve ser sempre criada uma cópia forense ou exportação; a evidência original nunca deve ser editada diretamente.”
Os engenheiros podem remediar, mas apenas depois de serem criados os snapshots, exportações ou cópias forenses necessários, salvo quando a contenção imediata seja necessária para impedir dano em curso. Se a remediação de emergência ocorrer primeiro, o motivo é documentado.
A mesma política para PME declara:
“Deve ser mantido um log simples de cadeia de custódia (por exemplo, ficheiro Excel ou modelo documental) para cada incidente.”
Para ambientes empresariais, a Política de Recolha de Evidência e Análise Forense, Cláusula 5.6, exige:
“Um log de cadeia de custódia deve acompanhar toda a evidência física ou digital desde o momento da aquisição até ao arquivo ou transferência e deve documentar:”
Na prática, o log de cadeia de custódia regista ID da evidência, descrição, sistema de origem, recolhedor, método de aquisição, valor de hash quando aplicável, fonte horária fiável, localização de armazenamento, eventos de acesso, transferências, cópias de análise e disposição final.
Por fim, o próprio registo da investigação deve ser protegido. A política Enterprise Política de Auditoria e Monitorização da Conformidade declara:
“Todos os logs de auditoria, constatações e relatórios de remediação devem ser retidos, cifrados e protegidos contra adulteração.”
Esse requisito aplica-se à cronologia do incidente, log de decisões, notificação de preservação legal, comunicações com reguladores, comunicações com clientes, análise de causa raiz e evidência de remediação.
A informação documentada que os auditores irão inspecionar
A Cláusula 7.5 da ISO/IEC 27001:2022 exige que a informação documentada necessária ao SGSI e exigida pela norma seja controlada. O Zenith Blueprint, fase Fundamentos e Liderança do SGSI, Passo 6, traduz isto em requisitos práticos: os documentos devem ter identificação, formato, revisão, aprovação, controlo de versões, acesso controlado, proteção da integridade, controlo de alterações, retenção e disposição.
O Passo 6 também observa que registos como logs de monitorização, relatórios de auditoria e ficheiros de investigação de incidentes podem ser confidenciais e devem ser partilhados com base no princípio da necessidade de conhecer, com direitos de edição limitados a utilizadores autorizados.
Um pacote de evidência defensável deve incluir:
- Notificação e aprovação de preservação legal.
- Classificação do incidente e decisão de severidade.
- Inventário de evidência.
- Log de cadeia de custódia.
- Confirmação de preservação de logs.
- Registos de imagem forense ou exportação.
- Valores de hash ou verificações de integridade quando aplicável.
- Lista de acessos ao armazenamento de evidência.
- Evidência de comunicação regulamentar.
- Avaliação de privacidade e análise de impacto sobre dados pessoais.
- Pedidos e respostas de evidência a fornecedores.
- Análise de causa raiz.
- Evidência de remediação e validação.
- Decisão de revisão e levantamento da preservação.
Quanto mais forte for o controlo da informação documentada, mais fácil será a auditoria.
Evidência de fornecedores e cloud: o ponto de falha que muitas equipas ignoram
A evidência mais difícil muitas vezes não está dentro da sua organização. Está na posse de um prestador cloud, plataforma SaaS, MSSP, MSP, processador de pagamentos, fornecedor de identidade ou equipa de desenvolvimento externalizado.
O Article 21 da NIS2 inclui segurança da cadeia de fornecimento e aspetos de segurança das relações com fornecedores diretos ou prestadores de serviços. A DORA vai mais longe para entidades financeiras, exigindo registos de terceiros de TIC, diligência prévia, análise de risco de concentração e contratos com assistência em incidentes, comunicação pelo prestador, cooperação com autoridades, direitos de auditoria e disposições de saída para funções críticas ou importantes.
O NIST Cybersecurity Framework 2.0 também trata o risco da cadeia de fornecimento como uma disciplina de ciclo de vida. A sua Função Governar inclui resultados de gestão de risco de fornecedores para estratégia, funções, contratos, diligência prévia, monitorização, participação em incidentes e disposições de saída. Os Perfis CSF podem expressar requisitos-alvo de cibersegurança para fornecedores, o que é útil para traduzir necessidades de evidência de preservação legal em cláusulas contratuais.
Os contratos com fornecedores devem abordar:
- Tipos de logs de segurança disponíveis para o cliente.
- Períodos de retenção predefinidos e opções de retenção alargada.
- Processo de pedido de preservação de emergência.
- Tempo para preservar evidência após pedido do cliente.
- Formatos de exportação forense.
- Suporte à cadeia de custódia.
- Cooperação com reguladores.
- Obrigações de evidência de subcontratantes subsequentes ou subcontratados.
- Restrições de localização e transferência de dados.
- Eliminação segura após levantamento da preservação.
O Zenith Blueprint, fase Controlos em Ação, Passo 18, aplica disciplina semelhante à transferência de suportes físicos, exigindo cifragem, embalagem com evidência de adulteração, rastreio, logs de transporte, inventário de suportes e auditoria do registo. A mesma lógica aplica-se às transferências de evidência cloud: preservar a integridade, acompanhar a custódia, restringir o acesso e confirmar a receção.
Como auditores e reguladores irão testar o seu processo de preservação legal
Um processo de preservação legal varia consoante o mandato do revisor. A Clarysec utiliza Zenith Controls como bússola de conformidade cruzada para que o mesmo pacote de evidência possa satisfazer múltiplas perspetivas sem duplicar trabalho.
| Lente de auditoria | O que o auditor irá perguntar | Evidência que a Clarysec prepara |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | A preservação legal faz parte do SGSI, do tratamento de riscos, da informação documentada e do processo de resposta a incidentes? | Âmbito do SGSI, requisitos das partes interessadas, Declaração de Aplicabilidade, procedimento de incidentes, política de evidência, política de retenção e registos controlados |
| Revisor de controlos ISO/IEC 27002:2022 | A recolha de evidência 5.28, a proteção de registos 5.33 e o registo de eventos 8.15 estão implementados e ligados? | Inventário de evidência, log de cadeia de custódia, proteção contra adulteração, definições de retenção de logs, prova de sincronização de relógios e controlos de acesso |
| Auditor do RGPD da UE ou revisor EPD | Os dados pessoais foram retidos apenas quando necessário e com finalidade e fundamento de licitude documentados? | Avaliação de privacidade, justificação da minimização de dados, restrições de acesso, revisão da retenção e prova de eliminação ou eliminação segura |
| Revisor de supervisão NIS2 | A entidade consegue suportar comunicações de 24 horas, 72 horas e final com factos fiáveis? | Cronologia do incidente, avaliação de severidade, IOC, evidência de impacto, análise transfronteiriça, aprovações da gestão e comunicações |
| Revisor de risco das TIC DORA | Os incidentes são registados, classificados, escalados, comunicados, sujeitos a análise de causa raiz e reintegrados na gestão do risco das TIC? | Registo de incidentes, critérios de classificação, comunicação ao órgão de administração, análise de causa raiz, validação de remediação e evidência de fornecedores |
| Avaliador NIST CSF 2.0 | Os resultados de governação, risco, fornecedores, detetar, responder e recuperar estão integrados num perfil único? | Perfis atuais e alvo, plano de lacunas, requisitos de fornecedores, evidência de monitorização e lições aprendidas de incidentes |
| Auditor COBIT 2019 ou ISACA | Os objetivos de governação, responsabilização, qualidade da informação, monitorização de controlos e evidência de garantia são fiáveis? | RACI, propriedade de controlos, revisão pela gestão, rasto de auditoria, acompanhamento de problemas, encerramento de remediação e métricas de desempenho |
O auditor ISO preocupar-se-á com conformidade e evidência objetiva. O revisor do RGPD da UE preocupar-se-á com necessidade, limitação das finalidades e responsabilização demonstrável. O revisor NIS2 preocupar-se-á com factos de comunicação de incidentes significativos e responsabilidade da gestão. O revisor DORA preocupar-se-á com governação do risco das TIC, tratamento de incidentes graves, dependências de terceiros e lições aprendidas. O auditor ao estilo COBIT 2019 ou ISACA preocupar-se-á com governação, desenho de controlos, operação de controlos e garantia sobre a qualidade da informação.
Um único pacote de evidência pode servir todos estes fins, se for desenhado dessa forma.
Lista de verificação prática para preservação legal em incidentes de cibersegurança em 2026
Use esta lista de verificação antes do próximo incidente grave, não durante.
| Questão de controlo | Resposta esperada |
|---|---|
| Quem pode emitir uma preservação legal em incidente de cibersegurança? | A assessoria jurídica e o EPD ou responsável de privacidade aprovam, com o CISO e o coordenador do incidente a iniciar |
| O que aciona uma preservação? | Suspeita de incidente de segurança grave, violação de dados pessoais, possibilidade de comunicação regulamentar, risco de litígio, pedido das autoridades policiais, auditoria de cliente ou disputa contratual |
| Que evidência está no âmbito? | Logs, alertas, imagens forenses, snapshots, tickets, comunicações, análise de impacto, registos de fornecedores, decisões de gestão e evidência de remediação |
| Como é protegida a evidência? | Acesso restrito, cifragem, proteção contra adulteração, hashing quando adequado, armazenamento imutável ou só de leitura e acesso monitorizado |
| Como é mantida a cadeia de custódia? | O registo de evidência documenta aquisição, recolhedor, hora, método, armazenamento, transferência, acesso e disposição |
| Como é tratada a minimização no RGPD da UE? | O âmbito é limitado à evidência necessária, o acesso a dados pessoais é restringido, são definidas datas de revisão e a eliminação é retomada após o levantamento |
| Como são incluídos os fornecedores? | Os contratos exigem preservação de evidência, assistência em incidentes, cooperação em auditoria e extensão da retenção mediante pedido |
| Como é tratado o levantamento? | Uma revisão autorizada determina se a preservação deve continuar, ser reduzida ou levantada, e retoma a eliminação segura |
Esta lista de verificação torna-se mais eficaz quando integrada no plano de tratamento de riscos do SGSI, nos requisitos de segurança de fornecedores, nos runbooks de resposta a incidentes, na arquitetura de registo de logs e na governação de privacidade.
Do pânico pós-violação à resiliência preparada para auditoria
A chamada das 4:00 será sempre stressante. Não tem de se transformar em caos.
Um processo maduro de preservação legal em incidentes de cibersegurança dá a cada parte interessada um caminho controlado. O jurídico obtém preservação defensável. A privacidade obtém minimização e revisão. O CISO obtém integridade da evidência. O EPD obtém responsabilização. O conselho de administração obtém factos fiáveis. Os revisores NIS2, DORA e RGPD da UE obtêm evidência objetiva em vez de explicações improvisadas.
A metodologia de 30 passos da Clarysec não trata a preservação legal como um memorando jurídico isolado. Trata-a como uma capacidade operacional do SGSI.
No Zenith Blueprint, o Passo 6 constrói a biblioteca de informação documentada, incluindo regras de retenção e disposição. O Passo 19 reforça o registo de logs e a sincronização de relógios para que as investigações possam reconstruir cronologias. O Passo 23 operacionaliza a recolha de evidência e a cadeia de custódia. O Passo 18 acrescenta disciplina de tratamento de suportes quando a evidência se move fisicamente ou entre partes.
No Zenith Controls, a Clarysec liga os controlos subjacentes da ISO/IEC 27002:2022 para que os clientes vejam como a recolha de evidência depende de registo de logs, monitorização, resposta a incidentes, proteção de registos, controlo de acesso, cópias de segurança, privacidade e requisitos legais.
Na biblioteca de políticas da Clarysec, os pontos de ancoragem práticos do fluxo de trabalho já estão definidos: Política de Retenção e Eliminação de Dados, Política de Retenção de Dados e Política de Eliminação Segura para PME, Política de Recolha de Evidência e Análise Forense, Política de Recolha de Evidência e Análise Forense para PME, Política de Registo de Logs e Monitorização para PME, Política de Proteção de Dados e Privacidade para PME e Política de Auditoria e Monitorização da Conformidade.
Se o seu plano de resposta a incidentes diz “preservar evidência”, mas não define autoridade de preservação legal, âmbito da evidência, suspensão da retenção, cadeia de custódia, preservação por fornecedores, minimização no RGPD da UE e critérios de levantamento, ainda não está preparado para auditoria.
Construa o processo antes da violação. A Clarysec pode ajudá-lo a criar uma capacidade defensável de preservação legal em incidentes de cibersegurança e retenção de evidência usando o Zenith Blueprint: roteiro de 30 passos para auditores, o Zenith Controls: guia de conformidade cruzada e modelos de políticas da Clarysec, incluindo a Política de Retenção e Eliminação de Dados, a Política de Recolha de Evidência e Análise Forense, a Política de Auditoria e Monitorização da Conformidade, a Política de Registo de Logs e Monitorização para PME, a Política de Proteção de Dados e Privacidade para PME e a Política de Recolha de Evidência e Análise Forense para PME.
Descarregue os toolkits, solicite uma revisão de políticas Clarysec ou marque uma avaliação de preparação para retenção de evidência antes da sua próxima auditoria, pedido de supervisão ou revisão de segurança por um cliente importante.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
