Auditoria interna ISO 27001 para NIS2 e DORA
É a primeira reunião do comité de auditoria de 2026. Sarah, a Diretora de Segurança da Informação (CISO) da FinSecure, um prestador SaaS e fintech em rápido crescimento, tem quinze minutos na agenda. O conselho de administração tem cinco perguntas.
Estamos preparados para a auditoria de acompanhamento ISO/IEC 27001:2022? Estamos abrangidos pela NIS2 enquanto prestador de serviços geridos? A DORA afeta-nos por apoiarmos clientes do setor financeiro? Conseguimos demonstrar que a notificação de incidentes, a diligência devida sobre fornecedores e a continuidade de negócio estão operacionais? E porque é que a revisão de acessos do último trimestre ainda identificou contas que já deveriam ter sido removidas?
Sarah tem evidência, mas está dispersa. A engenharia tem exportações de análises de vulnerabilidades. A área de compras tem questionários de fornecedores. O departamento jurídico tem cláusulas contratuais. O responsável de conformidade tem um registo de acompanhamento do RGPD da UE. O SOC tem tickets de incidentes. Nada disso está obviamente errado, mas nada disso conta uma história coerente de garantia.
É neste momento que um programa de auditoria interna ISO 27001 se torna um motor estratégico de evidência ou permanece uma corrida anual de última hora.
Para organizações afetadas pela NIS2 e pela DORA, a auditoria interna já não pode ser uma lista de verificação meramente formal. Deve tornar-se um sistema de garantia baseado no risco que confirma se o âmbito do SGSI está correto, se os controlos funcionam na prática, se os requisitos regulamentares estão mapeados, se as constatações são classificadas de forma consistente e se as ações corretivas chegam à revisão pela gestão. Em 2026, os programas mais robustos não perguntarão apenas: “Fizemos uma auditoria?” Perguntarão: “Conseguimos demonstrar, mês a mês, que a governação de cibersegurança, a resiliência das TIC, a segurança de fornecedores e a preparação para incidentes estão operacionais?”
É esta a abordagem que a Clarysec incorpora no Zenith Blueprint: roteiro de 30 passos para auditores, no Zenith Controls: guia de conformidade cruzada e no conjunto de políticas da Clarysec. O objetivo não é criar projetos separados para ISO, NIS2 e DORA. O objetivo é enriquecer o SGSI para que um único programa de auditoria produza evidência reutilizável para múltiplas necessidades de garantia.
Porque os programas de auditoria interna de 2026 têm de mudar
A NIS2 e a DORA deslocaram a conversa de auditoria da documentação para uma resiliência governada.
A NIS2 aplica-se a muitas organizações médias e grandes em setores críticos e importantes, incluindo infraestrutura digital, prestadores de serviços de computação em nuvem, prestadores de centros de dados, prestadores de serviços geridos, prestadores de serviços geridos de segurança, mercados em linha, motores de pesquisa em linha e plataformas de redes sociais. Os Estados-Membros começaram a aplicar medidas nacionais a partir de outubro de 2024 e, em 2026, muitas organizações estão no primeiro ano completo de expectativas NIS2 maduras.
A DORA aplica-se desde 17 de janeiro de 2025 a um vasto conjunto de entidades financeiras, incluindo instituições de crédito, instituições de pagamento, instituições de moeda eletrónica, empresas de investimento, prestadores de serviços de criptoativos, empresas de seguros e resseguros, prestadores de serviços de financiamento colaborativo e prestadores terceiros relevantes de serviços de TIC. A DORA é o regime setorial específico de resiliência operacional digital para as entidades financeiras abrangidas. Os prestadores de TIC que servem entidades financeiras também podem sentir o efeito da DORA através de contratos, direitos de auditoria, participação em testes, apoio a incidentes, controlos de subcontratação e requisitos de saída.
Ambos os regulamentos reforçam a responsabilização. O Artigo 20 da NIS2 exige que os órgãos de gestão aprovem e supervisionem medidas de gestão de riscos de cibersegurança e recebam formação em cibersegurança. O Artigo 5 da DORA torna o órgão de gestão responsável em última instância pelo risco das TIC, incluindo a aprovação e supervisão da estratégia de resiliência operacional digital, das políticas de TIC, dos mecanismos de continuidade e do risco de terceiros.
A ISO 27001 adequa-se bem a este contexto porque é um sistema de gestão. Exige que a organização compreenda o seu contexto, defina partes interessadas e requisitos, estabeleça o âmbito do SGSI, avalie e trate riscos, monitorize o desempenho, realize auditorias internas e promova a melhoria contínua. O objetivo não é forçar a NIS2 e a DORA para dentro de uma estrutura ISO. O objetivo é usar a ISO 27001 como sistema operativo para uma garantia repetível.
Comece pelo âmbito: audite o sistema de que o conselho depende
Um programa de auditoria interna fraco começa com um âmbito vago, como “segurança da informação”. Um programa forte começa pelo perímetro de negócio e regulamentar.
A ISO 27001 exige que o âmbito do SGSI considere questões internas e externas, requisitos de partes interessadas e interfaces ou dependências com outras organizações. Isto é relevante porque as obrigações NIS2 e DORA muitas vezes residem nas fronteiras da organização: plataformas em nuvem, prestadores de SOC externalizado, serviços geridos de deteção e resposta (MDR), sistemas de pagamento, interfaces de programação de aplicações fintech, tratamento de dados de clientes, serviços de cópia de segurança e parceiros de escalonamento de incidentes.
A Política de Auditoria e Monitorização da Conformidade para PME da Clarysec define a linha de base de governação:
O Diretor-Geral (GM) deve aprovar um plano anual de auditoria.
Da secção “Requisitos de governação”, cláusula 5.1.1 da política.
Para ambientes maiores, a Política de Auditoria e Monitorização da Conformidade da Clarysec eleva a expectativa:
Deve ser desenvolvido e aprovado anualmente um Plano de Auditoria baseado no risco, tendo em conta:
Da secção “Requisitos de governação”, cláusula 5.2 da política.
Por conseguinte, o âmbito não é apenas uma preferência do auditor. É um compromisso de garantia aprovado pela gestão.
Um programa de auditoria interna ISO 27001 para 2026 que apoie NIS2 e DORA deve incluir:
- Cláusulas e processos do SGSI, incluindo contexto, liderança, gestão de riscos, objetivos, suporte, operações, avaliação do desempenho e melhoria.
- Áreas de controlo relevantes do Anexo A da ISO/IEC 27001:2022, incluindo relações com fornecedores, gestão de incidentes, continuidade de negócio, obrigações legais, privacidade, registo, monitorização, gestão de vulnerabilidades, controlo de acessos, criptografia, desenvolvimento seguro, gestão de alterações e governação de serviços em nuvem.
- Camadas regulamentares, incluindo os Artigos 20, 21 e 23 da NIS2, os Artigos 5, 6, 8 a 14, 17 a 19, 24 a 27 e 28 a 30 da DORA, além dos requisitos de segurança e responsabilização do RGPD da UE.
- Serviços-chave e processos de negócio, especialmente funções críticas ou importantes, serviços essenciais, plataformas orientadas para o cliente e sistemas que suportam clientes regulados.
- Dependências de terceiros, incluindo fornecedores de TIC, prestadores de serviços em nuvem, desenvolvimento externalizado, SOC, MSSP, subcontratantes responsáveis pelo tratamento de dados e subcontratantes críticos.
- Processos que produzem evidência, incluindo avaliações de riscos, revisões de acessos, remediação de vulnerabilidades, exercícios de incidentes, testes de restauro de cópias de segurança, revisões de fornecedores, testes de continuidade e revisões pela gestão.
O Zenith Blueprint reforça este ponto na fase de Auditoria, Revisão e Melhoria, Passo 25, Programa de Auditoria Interna:
Defina o âmbito do seu programa de auditoria interna. Em última análise, ao longo de um ano, tem de cobrir todos os processos e controlos relevantes do SGSI.
Da fase de Auditoria, Revisão e Melhoria, Passo 25: Programa de Auditoria Interna.
Não precisa de auditar tudo todos os meses. Mas, ao longo do ciclo anual, deve cobrir todos os processos e controlos relevantes do SGSI, com trabalho mais frequente em áreas de alto risco e reguladas.
Construa o universo de auditoria em torno dos temas de controlo NIS2 e DORA
O Artigo 21 da NIS2 exige medidas técnicas, operacionais e organizativas adequadas e proporcionadas. A sua linha de base inclui análise de riscos, políticas de segurança, tratamento de incidentes, continuidade de negócio, gestão de cópias de segurança, recuperação de desastre, gestão de crises, segurança da cadeia de fornecimento, aquisição e desenvolvimento seguros, tratamento de vulnerabilidades, avaliação da eficácia, higiene cibernética, formação, criptografia, segurança de recursos humanos, controlo de acessos, gestão de ativos, MFA ou autenticação contínua quando adequado, e comunicações seguras.
A DORA tem um ciclo de vida operacional semelhante. Exige que as entidades financeiras identifiquem e classifiquem funções de negócio suportadas por TIC, ativos de informação, ativos de TIC, dependências e interligações com terceiros. Também exige proteção, deteção, classificação de incidentes, resposta, recuperação, cópia de segurança, restauro, testes, aprendizagem pós-incidente, comunicação e gestão do risco de terceiros de TIC.
Um universo de auditoria unificado evita o erro comum de auditar a ISO 27001 separadamente da NIS2 e da DORA.
| Domínio de auditoria | Âncora de auditoria ISO 27001 | Relevância NIS2 e DORA | Evidência típica |
|---|---|---|---|
| Governação e obrigações legais | Contexto, liderança, tratamento de riscos, requisitos legais e contratuais | Supervisão pelo conselho na NIS2, responsabilidade do órgão de gestão na DORA, responsabilização no RGPD da UE | Registo legal, registo de partes interessadas, âmbito do SGSI, apetite ao risco, atas do conselho, revisão pela gestão |
| Avaliação e tratamento de riscos | Avaliação de riscos, Declaração de Aplicabilidade, plano de tratamento | Medidas adequadas e proporcionadas NIS2, quadro de gestão do risco das TIC DORA | Registo de riscos, critérios de risco, aprovações de tratamento, aceitação do risco residual |
| Inventário de ativos e dependências | Gestão de ativos, governação de serviços em nuvem, serviços de fornecedores | Ativos e interligações de TIC na DORA, sistemas de prestação de serviços NIS2 | CMDB, mapas de fluxo de dados, registo centralizado de fornecedores, inventário de serviços em nuvem, classificação de criticidade |
| Controlo de acessos e identidade | Segurança de recursos humanos, gestão de acessos, MFA, acesso privilegiado | Controlo de acessos e MFA na NIS2, princípio do menor privilégio e autenticação forte na DORA | Tickets de admissão-movimentação-saída, revisões de acessos, relatórios MFA, registos de contas privilegiadas |
| Registo, monitorização e deteção | Registo de eventos, monitorização, avaliação de eventos | Deteção de anomalias e classificação de incidentes DORA, preparação para incidentes NIS2 | Alertas SIEM, regras de deteção, registos de triagem de incidentes, painéis de monitorização |
| Gestão de incidentes | Planeamento de incidentes, resposta, recolha de evidência, lições aprendidas | Fluxo de notificação NIS2, ciclo de vida de incidentes de TIC DORA | Registo de incidentes, matriz de severidade, modelos de notificação, relatórios de causa raiz, registos de exercício |
| Continuidade de negócio e recuperação | Preparação das TIC, cópias de segurança, segurança em perturbações | Cópias de segurança e gestão de crises NIS2, continuidade e recuperação DORA | BIA, planos de continuidade, testes de cópia de segurança, registos RTO e RPO, teste de comunicação de crise |
| Risco de fornecedores e terceiros de TIC | Acordos com fornecedores, cadeia de fornecimento de TIC, aquisição e saída de serviços em nuvem | Segurança da cadeia de fornecimento NIS2, registo de terceiros de TIC e cláusulas contratuais DORA | Diligência devida sobre fornecedores, contratos, direitos de auditoria, planos de saída, análise de risco de concentração |
| Desenvolvimento seguro e vulnerabilidades | Aquisição segura, desenvolvimento, alterações, gestão de vulnerabilidades | Tratamento de vulnerabilidades NIS2, aplicação de patches e testes DORA | Análises de vulnerabilidades, SLA de remediação, tickets de alteração, revisão de código, relatórios de testes de intrusão |
| Monitorização da conformidade e ação corretiva | Monitorização, auditoria interna, não conformidade e ação corretiva | Medidas corretivas NIS2, auditoria DORA e acompanhamento da remediação | Relatórios de auditoria, registo CAPA, painel de KPI, ações de revisão pela gestão |
Esta estrutura transforma cada domínio de auditoria num objeto de garantia partilhado. O auditor interno testa o requisito ISO 27001 e, em seguida, regista se a mesma evidência também apoia as expectativas NIS2, DORA, RGPD da UE, NIST CSF e COBIT 2019.
Planeie o ano em torno do risco, não da documentação
O Zenith Blueprint dá às equipas uma sequência prática para transformar a auditoria em melhoria:
- Passo 25, Programa de Auditoria Interna: planear âmbito, frequência, independência e prioridades baseadas no risco.
- Passo 26, Execução da Auditoria: recolher evidência objetiva através de entrevistas, revisão documental, observação e amostragem.
- Passo 27, Constatações de auditoria, análise e causa raiz: classificar constatações e identificar a causa raiz.
- Passo 28, Revisão pela gestão: integrar resultados de auditoria, incidentes, não conformidades, objetivos, riscos e necessidades de recursos na revisão pela liderança.
- Passo 29, Melhoria contínua: construir ações corretivas que eliminem causas, e não apenas sintomas.
O Zenith Blueprint é explícito quanto à independência:
Idealmente, o auditor interno não deve auditar o seu próprio trabalho.
Da fase de Auditoria, Revisão e Melhoria, Passo 25: Programa de Auditoria Interna.
Para uma empresa SaaS ou fintech mais pequena, isto pode significar pedir a um gestor de outra função que audite processos de segurança, rodar responsáveis pelos controlos ou recorrer a um consultor externo. O essencial é documentar competência e independência, especialmente quando a evidência NIS2 e DORA possa vir a ser revista por clientes, reguladores, autoridades de controlo ou auditores externos.
A Política de Auditoria e Monitorização da Conformidade para PME também define a estrutura mínima de auditoria:
Cada auditoria deve incluir um âmbito definido, objetivos, pessoal responsável e evidência exigida.
Da secção “Requisitos de governação”, cláusula 5.2.3 da política.
Uma estrutura trimestral prática para um prestador SaaS ou de TIC em forte crescimento poderia ser:
| Trimestre | Foco principal da auditoria | Ênfase regulamentar | Principais resultados |
|---|---|---|---|
| T1 | Gestão e notificação de incidentes | NIS2 Artigo 23, DORA Artigos 17 a 19 | Relatório de auditoria de incidentes, teste do fluxo de notificação, revisão da matriz de severidade |
| T2 | Gestão do risco de terceiros de TIC | NIS2 Artigo 21, DORA Artigos 28 a 30 | Amostra de fornecedores, revisão de contratos, evidência de diligência devida, revisão do planeamento de saída |
| T3 | Continuidade de negócio e testes de resiliência | NIS2 Artigo 21, DORA Artigos 11, 12, 24 a 27 | Evidência de restauro de cópias de segurança, exercício de continuidade, remediação de teste de resiliência |
| T4 | Governação, risco e conformidade | NIS2 Artigo 20, DORA Artigos 5 e 6, cláusulas 5, 9 e 10 da ISO 27001 | Pacote de revisão pela gestão, estado CAPA, decisões de risco residual, plano de auditoria do ano seguinte |
Isto não substitui a recolha mensal de evidência. Dá ao ano um ritmo claro de garantia.
Amostragem: quanta evidência é suficiente?
A amostragem é onde muitas auditorias internas se tornam demasiado superficiais ou demasiado dispendiosas. Em ambientes de TIC regulados, a amostragem deve ser baseada no risco, justificável e documentada.
O Zenith Blueprint, Passo 26, fornece o princípio prático:
Amostre e faça verificações por amostragem: não consegue verificar tudo, por isso use amostragem.
Da fase de Auditoria, Revisão e Melhoria, Passo 26: Execução da Auditoria.
A política empresarial da Clarysec torna isto auditável:
Documentação da estratégia de amostragem, do âmbito de auditoria e das limitações
Da secção “Requisitos de governação”, cláusula 5.5.3 da política.
Para NIS2 e DORA, a amostragem deve considerar criticidade, risco, importância do fornecedor, período temporal, histórico de incidentes, geografia e se o processo amostrado suporta funções críticas ou importantes.
| Área de controlo | População | Amostra sugerida | Ajuste baseado no risco |
|---|---|---|---|
| Provisionamento de acessos | Todas as novas contas de utilizador no trimestre | 10 contas ou 10 por cento, consoante o que for maior | Incluir todas as contas privilegiadas e administradores de aplicações críticas |
| Remoção de acessos de utilizadores cessados | Todos os utilizadores cessados no trimestre | 100 por cento para utilizadores privilegiados, 10 utilizadores padrão | Aumentar a amostra se a integração de Recursos Humanos ou IAM tiver mudado |
| Diligência devida sobre fornecedores | Fornecedores de TIC ativos | Todos os fornecedores críticos, 5 fornecedores de risco médio, 3 fornecedores de baixo risco | Incluir fornecedores que suportam clientes financeiros ou serviços essenciais |
| Remediação de vulnerabilidades | Constatações críticas e elevadas encerradas no trimestre | 15 tickets em vários sistemas | Incluir sistemas expostos à Internet e exceções repetidas |
| Gestão de incidentes | Todos os incidentes de segurança no trimestre | Todos os incidentes relevantes, 5 incidentes menores, 3 exemplos de triagem de falsos positivos | Incluir incidentes com dados pessoais, impacto em clientes ou relevância transfronteiriça |
| Restauro de cópias de segurança | Testes de cópia de segurança realizados no trimestre | Todos os testes de sistemas críticos, 3 sistemas não críticos | Incluir sistemas que suportam funções críticas ou importantes |
| Gestão de alterações | Alterações de produção no trimestre | 15 alterações, incluindo alterações de emergência | Incluir alterações que afetam autenticação, registo, cifragem ou dados de clientes |
| Formação em segurança | Trabalhadores e prestadores de serviços ativos no período | 20 utilizadores de vários departamentos | Incluir membros do órgão de gestão e funções técnicas privilegiadas |
Para ambientes afetados pela DORA, a evidência de testes merece atenção especial. A DORA exige testes de resiliência operacional digital para entidades financeiras, com testes mais avançados, como testes de intrusão baseados em ameaças, para determinadas entidades pelo menos de três em três anos. A sua amostra de auditoria deve incluir não apenas relatórios de testes, mas também evidência de que as constatações foram priorizadas, remediadas e novamente testadas.
Exemplo prático de auditoria: risco de terceiros de TIC
A segurança de fornecedores é frequentemente a forma mais rápida de expor lacunas entre a documentação e a realidade operacional. Os Artigos 28 a 30 da DORA exigem gestão do risco de terceiros de TIC, conteúdo contratual e registos de informação. O Artigo 21 da NIS2 exige segurança da cadeia de fornecimento que considere vulnerabilidades e práticas dos fornecedores diretos.
Para uma auditoria de T2, Sarah seleciona uma amostra de cinco fornecedores críticos, três novos fornecedores integrados nos últimos seis meses e dois fornecedores com contratos recentemente renovados. O auditor entrevista compras, jurídico, responsáveis pelo serviço e responsáveis pelos controlos de segurança.
| Requisito DORA ou NIS2 | Âncora de controlo ISO 27001:2022 | Pergunta de auditoria | Evidência a recolher |
|---|---|---|---|
| DORA Artigo 28, registo de terceiros de TIC | A.5.19 Segurança da informação nas relações com fornecedores | Existe um registo completo e atual de acordos com prestadores terceiros de TIC? | Registo centralizado de fornecedores em produção e registos amostrados de fornecedores críticos |
| DORA Artigo 28, avaliação de risco pré-contratual | A.5.19 Segurança da informação nas relações com fornecedores | Foi realizada diligência devida antes da assinatura ou renovação dos contratos com fornecedores? | Relatórios de diligência devida, avaliações de riscos e registos de aprovação |
| DORA Artigo 30, conteúdo contratual | A.5.20 Tratamento da segurança da informação em acordos com fornecedores | Os contratos incluem medidas de segurança, direitos de auditoria, assistência em incidentes e apoio à cessação quando exigido? | Contratos, adendas, anexos de segurança e notas de revisão jurídica |
| NIS2 Artigo 21, segurança da cadeia de fornecimento | A.5.21 Gestão da segurança da informação na cadeia de fornecimento de TIC | As práticas de segurança dos fornecedores, a subcontratação e as dependências de serviço são compreendidas? | Questionários de fornecedores, divulgações de subcontratantes e mapas de dependências |
| Monitorização contínua de fornecedores | A.5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores | O desempenho e a segurança dos fornecedores são revistos ao longo do tempo? | Atas de revisões trimestrais de negócio, relatórios de SLA, relatórios de auditoria e registos de revisão anual |
Esta tabela faz mais do que orientar a recolha de evidência. Demonstra que a organização traduziu texto regulamentar em critérios de auditoria alinhados com a ISO e em evidência concreta.
Constatações: redija-as para que a gestão possa atuar
Uma constatação de auditoria não deve soar a uma queixa vaga. Deve ser suficientemente estruturada para que a gestão compreenda o risco, atribua a responsabilidade e aprove a ação corretiva.
A Política de Auditoria e Monitorização da Conformidade para PME estabelece:
Todas as constatações de auditoria devem ser documentadas com classificações de risco e ações propostas.
Da secção “Requisitos de governação”, cláusula 5.4.1 da política.
A Política de Auditoria e Monitorização da Conformidade empresarial acrescenta a disciplina de ação corretiva:
Todas as constatações devem resultar numa CAPA documentada que inclua:
Da secção “Requisitos de implementação da política”, cláusula 6.2.1 da política.
No Zenith Blueprint, o Passo 27 recomenda categorizar as constatações como não conformidades maiores, não conformidades menores ou observações, e depois realizar análise de causa raiz. Uma não conformidade maior indica uma lacuna séria ou uma falha sistemática. Uma não conformidade menor é uma falha isolada num processo que, de outro modo, está conforme. Uma observação é uma oportunidade de melhoria.
Uma constatação robusta inclui:
- Requisito ou expectativa de controlo.
- Condição observada.
- Evidência amostrada.
- Risco e impacto no negócio.
- Relevância regulamentar.
- Classificação e nível de risco.
- Causa raiz.
- Responsável pela ação corretiva e prazo.
Exemplo de constatação:
Constatação NC-2026-07, não conformidade menor, atraso na revisão de segurança de fornecedores
Requisito: As revisões de segurança de fornecedores para prestadores críticos de TIC devem ser realizadas pelo menos anualmente, apoiando os controlos de fornecedores da ISO 27001, as expectativas NIS2 de cadeia de fornecimento e as obrigações DORA de risco de terceiros de TIC.
Condição: Dois dos doze fornecedores críticos de TIC não tinham concluído as revisões de segurança de 2026 até à data exigida.
Evidência: Exportação do registo centralizado de fornecedores datada de 15 de junho de 2026, registo de acompanhamento de revisão de fornecedores, entrevista com o Responsável de Compras e dois registos de revisão em falta.
Risco: A revisão atrasada de fornecedores pode impedir a identificação tempestiva de vulnerabilidades, alterações de subcontratação, lacunas de apoio a incidentes ou incumprimento contratual que afete serviços críticos.
Causa raiz: A área de compras não foi notificada automaticamente quando as datas de revisão de fornecedores se aproximaram, e a responsabilidade pela evidência de fornecedores relacionada com a DORA não foi atribuída.
Ação corretiva: Configurar lembretes automatizados de revisão, atribuir responsáveis nominativos pelos controlos para todos os fornecedores críticos de TIC, concluir as revisões em atraso até 31 de julho de 2026 e realizar verificações trimestrais por amostragem.
Para análise de causa raiz, a técnica dos “5 Porquês” é útil. Se uma avaliação pré-contratual foi omitida, a verdadeira causa pode não ser um erro individual. Pode ser o facto de o fluxo de compras permitir que contratos de TIC de baixo valor contornem a revisão de segurança, embora as expectativas DORA e NIS2 se apliquem com base no risco e na dependência, não apenas no valor da despesa.
O calendário de evidência de 2026
Um calendário de evidência de 2026 transforma a auditoria interna num ritmo operacional. Distribui a geração de evidência ao longo do ano e evita a corrida de fim de ano.
A Política de Segurança da Informação da Clarysec espera uma revisão de governação de:
Revisão de indicadores-chave de desempenho (KPIs) de segurança, incidentes, constatações de auditoria e estado do risco
Da secção “Requisitos de governação”, cláusula 5.3.2 da política.
A evidência não é recolhida apenas para auditores. Alimenta decisões sobre risco, orçamento, recursos, fornecedores, ferramentas, formação e ação corretiva.
| Mês | Foco de auditoria e evidência | Principais entregáveis de evidência |
|---|---|---|
| Janeiro | Confirmar o âmbito regulamentar, o âmbito do SGSI e o plano de auditoria de 2026 | Plano de auditoria aprovado, revisão do âmbito do SGSI, avaliação de aplicabilidade NIS2 e DORA, atualização do registo legal |
| Fevereiro | Governação, apetite ao risco e formação do órgão de gestão | Atas do conselho, registos de formação, critérios de risco, registo de riscos atualizado |
| Março | Inventário de ativos, dados e dependências | Exportação da CMDB, mapas de fluxo de dados, lista de serviços críticos, mapa de interligações de fornecedores de TIC |
| Abril | Auditoria de controlo de acessos e MFA | Registos de revisão de acessos, amostra de acesso privilegiado, relatório de cobertura MFA, testes de remoção de acessos |
| Maio | Vulnerabilidades, aplicação de patches e gestão segura de alterações | Métricas de vulnerabilidades, evidência de remediação, amostra de tickets de alteração, aprovações de exceções |
| Junho | Governação de fornecedores e serviços em nuvem | Amostra de diligência devida sobre fornecedores, revisão de cláusulas contratuais, direitos de auditoria, planos de saída, notas de risco de concentração |
| Julho | Gestão de incidentes e exercício de notificação | Simulação de incidente, classificação de severidade, teste do fluxo de notificação NIS2, teste de escalonamento de incidente DORA |
| Agosto | Registo, monitorização e deteção | Casos de uso SIEM, ajuste de alertas, cobertura de monitorização, amostra de escalonamento |
| Setembro | Cópias de segurança, restauro e continuidade de negócio | Registos de teste de cópias de segurança, evidência RTO e RPO, exercício de continuidade, teste de comunicação de crise |
| Outubro | Desenvolvimento seguro e segurança das aplicações | Evidência SDLC, amostra de revisão de código, resultados dos testes de segurança, revisão de desenvolvimento externalizado |
| Novembro | Auditoria interna completa ao SGSI e revisão de conformidade cruzada | Relatório de auditoria interna, registo de constatações, mapeamento NIS2 e DORA, evidência de responsabilização RGPD da UE |
| Dezembro | Revisão pela gestão e encerramento de ações corretivas | Atas de revisão pela gestão, estado CAPA, aceitação do risco residual, contributos para o plano de auditoria de 2027 |
Este calendário dá ao comité de auditoria um plano de garantia prospetivo e dá aos responsáveis pelos controlos tempo para criar evidência através das operações normais.
A espinha dorsal ISO 27002:2022: 5.31, 5.35 e 5.36
O Zenith Controls é o guia de conformidade cruzada da Clarysec. Mapeia áreas de controlo ISO/IEC 27001:2022 e ISO/IEC 27002:2022 para outras normas, regulamentos, expectativas de auditoria e padrões de evidência. É especialmente útil para ligar revisão interna, obrigações legais e cumprimento da política.
Três áreas de controlo ISO/IEC 27002:2022 formam a espinha dorsal de um programa unificado de auditoria interna:
| Área ISO 27002:2022 destacada no Zenith Controls | Pergunta de auditoria | Valor para NIS2 e DORA |
|---|---|---|
| 5.31 Requisitos legais, estatutários, regulamentares e contratuais | Sabemos que obrigações se aplicam e mapeámo-las para controlos e evidência? | Apoia a aplicabilidade NIS2, obrigações DORA de TIC, contratos de clientes e responsabilização RGPD da UE |
| 5.35 Revisão independente da segurança da informação | As revisões são objetivas, planeadas, competentes e geram ações? | Apoia a garantia sobre medidas de cibersegurança, testes de resiliência das TIC e supervisão pela gestão |
| 5.36 Cumprimento de políticas, regras e normas de segurança da informação | As regras internas são seguidas na prática e monitorizadas continuamente? | Apoia a aplicação da política, higiene cibernética, controlo de acessos, preparação para incidentes e ação corretiva |
O Controlo 5.35 é a pedra angular da garantia porque valida se o SGSI está a ser revisto de forma independente. O Controlo 5.36 confirma que as políticas não são apenas aprovadas, mas efetivamente seguidas. O Controlo 5.31 liga o SGSI às obrigações legais, regulamentares e contratuais, incluindo NIS2, DORA, RGPD da UE e requisitos de segurança de clientes.
Mapeamento de conformidade cruzada: uma auditoria, várias lentes de garantia
Um papel de trabalho de auditoria interna maduro deve mostrar explicitamente como um item de evidência apoia várias expectativas de garantia.
| Evidência de auditoria | Garantia ISO 27001 | Relevância NIS2 | Relevância DORA | Relevância RGPD da UE, NIST e COBIT |
|---|---|---|---|---|
| Registo legal e regulamentar | Contexto e obrigações de conformidade | Âmbito, estatuto da entidade, fatores do Artigo 21 | Obrigações setoriais específicas de resiliência das TIC | Responsabilização RGPD da UE, NIST CSF GOVERN, conformidade externa COBIT |
| Registo de riscos e plano de tratamento | Avaliação de riscos, tratamento, Declaração de Aplicabilidade | Medidas adequadas e proporcionadas | Quadro de gestão do risco das TIC e tolerância | Gestão de riscos NIST, otimização do risco COBIT |
| Relatório de exercício tabletop de incidente | Preparação para incidentes e lições aprendidas | Preparação do fluxo de notificação | Classificação, escalonamento, notificação e causa raiz | Preparação para violação de dados no RGPD da UE, NIST CSF RESPOND, incidentes geridos COBIT |
| Ficheiro de diligência devida sobre fornecedores | Relação com fornecedores e cadeia de fornecimento de TIC | Vulnerabilidades e práticas dos fornecedores | Registo de terceiros de TIC, diligência devida, planeamento de saída | NIST C-SCRM, governação de fornecedores COBIT |
| Teste de restauro de cópias de segurança | Preparação das TIC e continuidade | Cópias de segurança, recuperação de desastre, gestão de crises | Objetivos de recuperação, restauro e verificações de integridade | Disponibilidade RGPD da UE, NIST CSF RECOVER, continuidade COBIT |
| Revisão de acessos | Controlo de acessos e segurança de recursos humanos | Controlo de acessos e expectativas MFA | Princípio do menor privilégio e autenticação forte | Integridade e confidencialidade RGPD da UE, NIST CSF PROTECT |
É isto que permite ao CISO dizer ao conselho: “A nossa auditoria de incidentes de julho produziu evidência para a ISO 27001, NIS2, garantia DORA para clientes, preparação para violação de dados no RGPD da UE, resultados de resposta NIST CSF e governação de incidentes COBIT.”
Revisão pela gestão: onde a auditoria se torna responsabilização
A auditoria interna tem pouco valor se as constatações não chegarem à gestão. A revisão pela gestão da ISO 27001 fornece o mecanismo, e a NIS2 e a DORA tornam explícita a expectativa de governação.
A Política de Auditoria e Monitorização da Conformidade para PME exige:
As constatações de auditoria e as atualizações de estado devem ser incluídas no processo de revisão pela gestão do SGSI.
Da secção “Requisitos de governação”, cláusula 5.4.3 da política.
Também estabelece:
O GM deve aprovar um plano de ações corretivas e acompanhar a sua implementação.
Da secção “Requisitos de governação”, cláusula 5.4.2 da política.
A revisão pela gestão deve responder a:
- As obrigações NIS2, DORA, RGPD da UE e contratuais continuam corretamente refletidas no âmbito do SGSI?
- Os controlos de alto risco são auditados com frequência suficiente?
- Que constatações indicam fragilidade sistémica em vez de erro isolado?
- Existem ações corretivas em atraso?
- Os responsáveis pelos riscos estão a aceitar o risco residual de forma consciente?
- Fornecedores, notificação de incidentes, continuidade e testes têm recursos adequados?
- As tendências de auditoria sugerem alterações a políticas, ferramentas, orçamento ou formação?
Se estas respostas não forem documentadas, a organização pode ter evidência de atividade, mas não evidência de governação.
Armadilhas comuns a evitar em 2026
A falha mais comum é tratar a auditoria interna ISO 27001 como separada da garantia regulamentar. Isso cria duplicação e pontos cegos.
Outras armadilhas incluem:
- O âmbito exclui fornecedores críticos, plataformas em nuvem ou serviços de SOC externalizado.
- A aplicabilidade NIS2 ou DORA não está documentada no registo legal.
- O Plano de Auditoria não é aprovado pela gestão.
- A amostragem é realizada, mas não documentada.
- Auditores internos reveem o seu próprio trabalho sem mitigação.
- As constatações descrevem sintomas, mas não causas raiz.
- As ações corretivas atualizam documentos, mas não corrigem processos.
- A revisão pela gestão recebe resultados de auditoria, mas não toma decisões.
- Os exercícios de incidentes testam a resposta técnica, mas não a notificação regulamentar.
- As auditorias a fornecedores reveem questionários, mas não contratos, planos de saída ou risco de concentração.
- A evidência de cópias de segurança mostra tarefas bem-sucedidas, mas não a integridade do restauro.
- As revisões de acessos são realizadas, mas as exceções não são acompanhadas até ao encerramento.
Cada armadilha pode tornar-se uma não conformidade menor ou maior, dependendo da severidade e do impacto sistémico. Mais importante ainda, cada uma enfraquece a capacidade da organização de demonstrar resiliência perante a NIS2, a DORA e o escrutínio dos clientes.
Transforme o seu plano de auditoria de 2026 num motor de evidência
Se o seu programa de auditoria interna ainda é um único evento anual, agora é o momento de o redesenhar.
Comece por um plano de auditoria aprovado pela gestão. Defina o âmbito do SGSI em torno de serviços reais, obrigações reguladas e dependências de terceiros. Construa um universo de auditoria baseado no risco. Documente a amostragem. Classifique constatações de forma consistente. Use análise de causa raiz. Acompanhe CAPA. Integre os resultados na revisão pela gestão. Mantenha um calendário mensal de evidência.
A Clarysec pode ajudá-lo a avançar mais depressa com:
- Zenith Blueprint: roteiro de 30 passos para auditores para planeamento de auditoria, execução, constatações, revisão pela gestão e melhoria contínua.
- Zenith Controls: guia de conformidade cruzada para mapear a garantia ISO 27001 para expectativas NIS2, DORA, RGPD da UE, NIST CSF e COBIT.
- Política de Auditoria e Monitorização da Conformidade e Política de Auditoria e Monitorização da Conformidade para PME para planeamento de auditoria e gestão de constatações prontos para governação.
- Política de Segurança da Informação para revisão ao nível da gestão de KPI, incidentes, constatações de auditoria e estado do risco.
Escolha um domínio de alto risco, como notificação de incidentes ou governação de fornecedores de TIC, e execute uma auditoria interna focada usando a estrutura de âmbito, amostragem e constatações da Clarysec. Num único ciclo, saberá se a sua evidência está preparada para auditoria, se os seus controlos estão operacionais e se o seu órgão de gestão tem a informação de que precisa para governar o risco cibernético.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
