Declaração de Aplicabilidade ISO 27001 para preparação para NIS2 e DORA
São 08:30 de uma segunda-feira e Elena, diretora de segurança da informação (CISO) de um fornecedor SaaS FinTech B2B em rápido crescimento, abre um pedido urgente do Conselho de Administração. A empresa acabou de obter a certificação ISO/IEC 27001:2022, mas um grande potencial cliente bancário da UE está a colocar perguntas mais exigentes do que as de um questionário de segurança habitual.
Não querem saber apenas se a empresa cifra dados, utiliza MFA ou tem um relatório de testes de intrusão. Querem saber se a plataforma SaaS apoia as suas obrigações DORA, se o fornecedor pode estar no âmbito da NIS2 enquanto serviço de TIC ou dependência de infraestrutura digital, e se a Declaração de Aplicabilidade ISO 27001 consegue justificar cada controlo incluído, cada controlo excluído e cada elemento de evidência.
O Conselho de Administração coloca a pergunta que cada CISO, gestor de conformidade e fundador de SaaS ouve cada vez mais:
A nossa SoA ISO 27001 consegue demonstrar preparação para NIS2 e DORA?
Elena sabe que a resposta errada seria lançar três programas de conformidade separados: um para ISO 27001, um para NIS2 e um para DORA. Isso criaria evidência duplicada, proprietários de controlos em conflito e uma corrida permanente antes de cada avaliação de cliente. A melhor resposta é utilizar o SGSI existente como sistema operativo da conformidade, tendo a Declaração de Aplicabilidade, ou SoA, como documento-mestre de rastreabilidade.
A SoA não é apenas uma folha de cálculo para certificação ISO. Num ambiente de cibersegurança e resiliência operacional da UE, é nela que a organização demonstra por que existem controlos, por que as exclusões são defensáveis, quem é responsável por cada controlo, que evidência suporta a implementação e de que forma o conjunto de controlos responde à NIS2, à DORA, ao GDPR, aos contratos com clientes e ao tratamento interno de riscos.
A Política de Segurança da Informação empresarial da Clarysec Política de Segurança da Informação estabelece:
O SGSI deve incluir limites de âmbito definidos, uma metodologia de avaliação de riscos, objetivos mensuráveis e controlos documentados justificados na Declaração de Aplicabilidade (SoA).
Esse requisito, da cláusula 6.1.2 da Política de Segurança da Informação, é a base de uma abordagem preparada para auditoria. A SoA deve tornar-se a ponte entre obrigações, riscos, controlos, evidência e decisões de gestão.
Porque NIS2 e DORA mudaram o significado de “aplicável”
Uma SoA ISO/IEC 27001:2022 tradicional começa muitas vezes com uma pergunta simples: “Que controlos do Anexo A se aplicam ao nosso plano de tratamento de riscos?” Isso continua correto, mas já não é suficiente para fornecedores SaaS, cloud, serviços geridos, fintech, tecnologia financeira e prestadores críticos da cadeia de fornecimento.
A NIS2 eleva a linha de base da gestão de riscos de cibersegurança para entidades essenciais e importantes na UE. Abrange setores como infraestrutura digital, prestadores de serviços de computação em cloud, prestadores de serviços de centros de dados, redes de distribuição de conteúdos, prestadores de serviços geridos, prestadores de serviços de segurança geridos, banca e infraestruturas dos mercados financeiros. Os Estados-Membros devem identificar entidades essenciais e importantes e prestadores de serviços de registo de nomes de domínio, e muitos fornecedores tecnológicos que antes tratavam a regulamentação de cibersegurança como um problema do cliente estão agora diretamente no âmbito ou expostos por requisitos contratuais em cascata.
O NIS2 Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionais em matéria de análise de riscos, políticas de segurança, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, aquisição e desenvolvimento seguros, avaliação da eficácia dos controlos, higiene de cibersegurança, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e autenticação, quando adequado. O NIS2 Article 23 acrescenta expectativas de notificação faseada de incidentes, incluindo alerta precoce, notificação, atualizações e relatório final para incidentes significativos.
A DORA, o Regulamento relativo à Resiliência Operacional Digital, aplica-se desde 17 de janeiro de 2025 e foca-se nas entidades financeiras e no respetivo ecossistema de risco das TIC. Abrange a gestão do risco das TIC, a notificação de incidentes relacionados com TIC, a notificação de incidentes operacionais ou de segurança relacionados com pagamentos para determinadas entidades, os testes de resiliência operacional digital, a partilha de informações sobre ameaças cibernéticas, a gestão do risco de terceiros de TIC, os acordos contratuais e a supervisão de prestadores terceiros críticos de serviços de TIC.
Para entidades financeiras que também sejam entidades essenciais ou importantes ao abrigo da NIS2, a DORA funciona como o regime setorial específico para obrigações equivalentes de gestão do risco das TIC e notificação de incidentes. Mas, para fornecedores SaaS, prestadores de serviços cloud, MSPs e prestadores MDR que servem clientes financeiros, a realidade prática é que as expectativas da DORA chegam através de processos de aquisição, contratos, direitos de auditoria, obrigações de suporte a incidentes, planeamento de saída, transparência sobre subcontratantes e evidência de resiliência.
Isso muda a conversa sobre a SoA. A pergunta já não é: “O Anexo A contém este controlo?” A melhor pergunta é:
Conseguimos demonstrar que a seleção de controlos é baseada no risco, considera obrigações, é proporcional, tem proprietário, está implementada, é monitorizada, tem evidência e foi aprovada?
ISO 27001 é o tradutor universal para NIS2 e DORA
A ISO/IEC 27001:2022 é valiosa porque é uma norma de sistema de gestão, não uma checklist limitada. Exige que o SGSI seja integrado nos processos da organização e dimensionado às suas necessidades. Isso torna-a um tradutor universal eficaz para requisitos de conformidade sobrepostos.
As cláusulas 4.1 a 4.4 exigem que a organização compreenda o seu contexto, identifique partes interessadas, determine requisitos relevantes e defina o âmbito do SGSI. Para um fornecedor FinTech SaaS como a empresa de Elena, esses requisitos das partes interessadas podem incluir clientes da UE, clientes financeiros afetados pela DORA, exposição setorial à NIS2, obrigações de responsável pelo tratamento e subcontratante ao abrigo do GDPR, dependências cloud externalizadas, interfaces com fornecedores e expectativas do Conselho de Administração.
As cláusulas 6.1.1 a 6.1.3 exigem planeamento para riscos e oportunidades, um processo repetível de avaliação de riscos de segurança da informação, um processo de tratamento de riscos, comparação com o Anexo A e uma Declaração de Aplicabilidade que identifique controlos incluídos, estado de implementação e justificações de exclusão.
É aqui que a SoA se torna um registo de decisões de controlo. Um controlo pode ser incluído porque trata um risco, satisfaz um requisito legal, cumpre um contrato com cliente, apoia um objetivo de negócio ou representa higiene de segurança de referência. Um controlo só pode ser excluído depois de a organização o ter avaliado conscientemente, considerado irrelevante para o âmbito do SGSI, documentado a justificação e obtido aprovação adequada.
A Política de Gestão de Riscos empresarial da Clarysec Política de Gestão de Riscos estabelece:
Uma Declaração de Aplicabilidade (SoA) deve refletir todas as decisões de tratamento e deve ser atualizada sempre que a cobertura de controlos for modificada.
Este requisito, da cláusula 5.4 da Política de Gestão de Riscos, é crítico para a preparação para NIS2 e DORA. Um novo cliente regulado, uma nova dependência cloud, uma nova obrigação de notificação de incidentes ou um novo risco de concentração em fornecedores podem alterar a aplicabilidade dos controlos.
Comece pelo registo de conformidade, não pela lista de controlos
Uma SoA fraca começa pelo Anexo A e pergunta: “Que controlos já temos?” Uma SoA forte começa pela realidade operacional da organização e pergunta: “Que obrigações, serviços, riscos, dados, fornecedores e clientes o SGSI deve cobrir?”
A ISO/IEC 27005:2022 suporta esta abordagem ao enfatizar os requisitos das partes interessadas, critérios de risco e a necessidade de considerar normas, regras internas, leis, regulamentos, contratos e controlos existentes. Também sublinha que a não aplicabilidade ou o incumprimento devem ser explicados e justificados.
A Política de Cumprimento Legal e Regulamentar para PME da Clarysec Política de Cumprimento Legal e Regulamentar para PME capta o mesmo princípio operacional:
A gestão deve manter um Registo de Conformidade simples e estruturado que enumere:
Esse requisito vem da cláusula 5.1.1 da Política de Cumprimento Legal e Regulamentar para PME. Para uma organização mais pequena, o registo pode ser simples. Para uma empresa, deve ser mais detalhado. A lógica é a mesma: as obrigações devem ser visíveis antes de poderem ser mapeadas.
A Política de Cumprimento Legal e Regulamentar empresarial da Clarysec Política de Cumprimento Legal e Regulamentar é explícita:
Todas as obrigações legais e regulamentares devem ser mapeadas para políticas, controlos e proprietários específicos no Sistema de Gestão de Segurança da Informação (SGSI).
Essa é a cláusula 6.2.1 da Política de Cumprimento Legal e Regulamentar. É a espinha dorsal de governação para utilizar uma Declaração de Aplicabilidade ISO 27001 na preparação para a conformidade com NIS2 e DORA.
| Campo do registo | Exemplo de entrada | Porque é importante para a SoA |
|---|---|---|
| Fonte da obrigação | NIS2 Article 21 | Impulsiona a inclusão de controlos de análise de riscos, tratamento de incidentes, continuidade, segurança de fornecedores, criptografia, controlo de acesso, gestão de ativos e formação |
| Justificação de aplicabilidade | Fornecedor SaaS que apoia clientes financeiros e de setores essenciais da UE | Mostra por que razão a NIS2 é considerada, mesmo que o estatuto legal final dependa da designação pelo Estado-Membro |
| Proprietário do controlo | Diretor de Operações de Segurança | Suporta a responsabilização e a propriedade da evidência |
| Controlo ISO/IEC 27001:2022 mapeado | Controlos A.5.24 a A.5.28 de gestão de incidentes | Liga a obrigação legal à seleção de controlos do Anexo A |
| Fonte de evidência | Plano de resposta a incidentes, amostras de tickets, revisão pós-incidente, exercício de reporte | Facilita a amostragem em auditoria |
| Decisão da SoA | Aplicável | Cria rastreabilidade entre obrigação, risco, controlo e evidência |
Crie critérios de risco que reflitam resiliência, privacidade, fornecedores e regulamentação
Muitas justificações da SoA falham porque o modelo de pontuação de risco é demasiado estreito. Mede probabilidade e impacto técnicos, mas não capta exposição regulatória, criticidade do serviço, dano ao cliente, dependência de fornecedores, impacto na privacidade ou disrupção operacional sistémica.
A NIS2 não trata apenas de confidencialidade. Foca-se na prevenção e minimização do impacto dos incidentes nos serviços e nos destinatários dos serviços. A DORA define funções críticas ou importantes com base na possibilidade de uma disrupção prejudicar materialmente o desempenho financeiro, a continuidade do serviço ou a conformidade regulamentar. O GDPR acrescenta responsabilização, integridade, confidencialidade, preparação para violações e dano aos titulares dos dados.
A Política de Gestão de Riscos para PME da Clarysec Política de Gestão de Riscos para PME fornece um mínimo prático:
Cada entrada de risco deve incluir: descrição, probabilidade, impacto, pontuação, proprietário e plano de tratamento.
Esta é a cláusula 5.1.2 da Política de Gestão de Riscos para PME. Para preparação para NIS2 e DORA, a Clarysec expande esse mínimo para campos como fonte da obrigação, serviço afetado, categoria de dados, dependência de fornecedores, proprietário de negócio, impacto regulatório, risco residual, estado do tratamento e fonte de evidência.
| ID do risco | Cenário de risco | Fator da obrigação | Controlos de tratamento | Justificação da SoA |
|---|---|---|---|---|
| R-021 | Indisponibilidade da plataforma cloud impede os clientes de aceder a painéis de análise de fraude regulada | NIS2 Article 21, dependência de cliente DORA, SLA contratual | A.5.29, A.5.30, A.8.13, A.8.15, A.8.16 | Aplicável porque a continuidade do serviço, cópia de segurança, registo de logs, monitorização e preparação das TIC reduzem a disrupção operacional e suportam as obrigações de resiliência dos clientes |
| R-034 | Incidente de segurança envolvendo dados pessoais da UE não é detetado, escalado ou reportado dentro dos prazos exigidos | Responsabilização GDPR, NIS2 Article 23, deveres de suporte a incidentes DORA | A.5.24 a A.5.28, A.8.15, A.8.16 | Aplicável porque o tratamento faseado de incidentes, a recolha de evidência, a aprendizagem, o registo de logs e a monitorização suportam fluxos regulamentares e de notificação a clientes |
| R-047 | Fragilidade de subcontratante crítico afeta a prestação segura de serviços a clientes financeiros | Segurança da cadeia de fornecimento NIS2 Article 21, risco de terceiros de TIC DORA | A.5.19 a A.5.23, A.5.31, A.5.36 | Aplicável porque risco de fornecedores, requisitos contratuais, governação cloud, obrigações de conformidade e cumprimento da política são necessários para a garantia de dependências de TIC |
Repare na linguagem. Uma justificação forte não diz apenas “implementado”. Explica por que razão o controlo é aplicável no contexto de negócio, regulamentar e de risco da organização.
Mapeie domínios NIS2 e DORA para controlos ISO 27001:2022
Depois de estabelecidos o registo de conformidade e os critérios de risco, o trabalho prático consiste em mapear domínios regulamentares para controlos do Anexo A. Este mapeamento não comprova a conformidade por si só, mas fornece a auditores e clientes um índice claro para testar evidência.
| Área de requisito regulamentar | Referência NIS2 | Referência DORA | Exemplos de controlos ISO/IEC 27001:2022 |
|---|---|---|---|
| Governação e responsabilização da gestão | Article 20 | Article 5 | A.5.1, A.5.2, A.5.31, A.5.35, A.5.36 |
| Quadro de gestão de riscos | Article 21(1) | Article 6 | Cláusulas ISO 27001 6.1.1 a 6.1.3, A.5.7, A.5.31, A.5.36 |
| Tratamento e reporte de incidentes | Article 23 | Articles 17 a 19 | A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.8.15, A.8.16 |
| Continuidade de negócio e resiliência | Article 21(2)(c) | Articles 11 e 12 | A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16 |
| Cadeia de fornecimento e risco de terceiros | Article 21(2)(d), Article 21(3) | Articles 28 a 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 |
| Aquisição e desenvolvimento seguros | Article 21(2)(e) | Article 9 | A.8.25, A.8.26, A.8.27, A.8.28, A.8.29, A.8.32 |
| Testes e eficácia dos controlos | Article 21(2)(f) | Articles 24 a 27 | A.5.35, A.5.36, A.8.8, A.8.29, A.8.34 |
| Controlo de acesso e gestão de ativos | Article 21(2)(i) | Article 9(4)(d) | A.5.9, A.5.15, A.5.16, A.5.17, A.5.18, A.8.2, A.8.3 |
| Criptografia e cifragem | Article 21(2)(h) | Article 9(4)(d) | A.8.24 |
Para Elena, este mapeamento mudou a conversa com o Conselho de Administração. Em vez de apresentar NIS2 e DORA como projetos separados, pôde mostrar a sobreposição: governação, gestão de riscos, incidentes, continuidade, fornecedores, testes, controlo de acesso e criptografia.
Os três controlos ISO de que depende toda a SoA NIS2 e DORA
Em Zenith Controls: The Cross-Compliance Guide Zenith Controls, a Clarysec trata três controlos ISO/IEC 27002:2022 como centrais para a governação da SoA preparada para auditoria em NIS2 e DORA. São controlos ISO, enriquecidos com atributos de conformidade cruzada no guia Zenith Controls.
| Controlo ISO/IEC 27002:2022 | Nome do controlo | Atributos Zenith Controls | Porque é importante para a governação da SoA |
|---|---|---|---|
| 5.31 | Requisitos legais, estatutários, regulamentares e contratuais | Preventivo, CID, Identificar, Jurídico e Conformidade, Governação, Ecossistema, Proteção | Estabelece a linha de base de obrigações que orienta a inclusão de controlos e a atribuição de proprietários |
| 5.35 | Revisão independente da segurança da informação | Preventivo e corretivo, CID, Identificar e Proteger, Garantia de Segurança da Informação, Governação, Ecossistema | Fornece garantia de que as decisões da SoA e a evidência de implementação resistem a uma revisão independente |
| 5.36 | Cumprimento de políticas, regras e normas de segurança da informação | Preventivo, CID, Identificar e Proteger, Jurídico e Conformidade, Garantia de Segurança da Informação, Governação, Ecossistema | Liga a SoA à conformidade operacional, ao cumprimento da política e à monitorização |
Estes controlos não são isolados. Ligam-se diretamente aos controlos de relacionamento com fornecedores A.5.19 a A.5.23, aos controlos de gestão de incidentes A.5.24 a A.5.28, aos controlos de continuidade A.5.29 e A.5.30, ao controlo de privacidade A.5.34, à gestão de vulnerabilidades A.8.8, à gestão da configuração A.8.9, à cópia de segurança da informação A.8.13, ao registo de logs A.8.15, às atividades de monitorização A.8.16, à criptografia A.8.24, aos controlos de desenvolvimento seguro A.8.25 a A.8.29 e à gestão de alterações A.8.32.
O valor do Zenith Controls é ajudar as equipas a evitar tratar a SoA como um artefacto de uma única norma. O controlo 5.31 suporta o mapeamento legal e contratual. O controlo 5.35 suporta auditoria interna, revisão independente e garantia pela gestão. O controlo 5.36 suporta o cumprimento operacional de políticas, procedimentos, normas e requisitos de controlo.
Utilize o Zenith Blueprint para construir, testar e defender a SoA
Em Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, a Clarysec coloca a construção da SoA na fase de Gestão de Riscos, etapa 13: planeamento do tratamento de riscos e Declaração de Aplicabilidade. O Blueprint orienta as organizações a utilizar a folha SoA no modelo “Risk Register and SoA Builder.xlsx”, decidir se cada um dos 93 controlos do Anexo A é aplicável e basear a decisão no tratamento de riscos, requisitos legais e contratuais, relevância para o âmbito e contexto organizacional.
O Blueprint estabelece:
A SoA é, na prática, um documento de ligação: liga a sua avaliação/tratamento de riscos aos controlos efetivamente existentes.
Essa frase capta o modelo operacional. A SoA liga obrigações, riscos, políticas, controlos, evidência e conclusões de auditoria.
O Zenith Blueprint também orienta as equipas a referenciar regulamentos nas notas da SoA quando adequado. Se um controlo for implementado para GDPR, NIS2 ou DORA, isso deve aparecer no registo de riscos ou nas notas da SoA. Mais tarde, na etapa 24, o Blueprint instrui as organizações a atualizar a SoA após a implementação e a verificá-la face ao plano de tratamento de riscos. Na etapa 30, preparação para a certificação, revisão final e auditoria simulada, o Blueprint orienta as equipas a confirmar que cada controlo aplicável do Anexo A tem evidência, como uma política, procedimento, relatório, plano ou registo de implementação.
Essa sequência transforma a SoA num instrumento vivo de conformidade:
- A etapa 13 constrói-a a partir do tratamento de riscos e das obrigações.
- A etapa 24 testa-a contra a realidade da implementação.
- A etapa 30 defende-a através da revisão final da evidência e de uma auditoria simulada.
Como escrever justificações de inclusão que os auditores consigam seguir
Um controlo deve ser incluído quando existe pelo menos um fator defensável: tratamento de riscos, requisito legal, requisito contratual, relevância para o âmbito, higiene de segurança de referência, expectativa de garantia do cliente ou objetivo de resiliência aprovado pela gestão.
Uma fórmula útil é:
Aplicável porque [risco ou obrigação] afeta [serviço, ativo, dado ou processo], e este controlo fornece [resultado preventivo, de deteção, corretivo ou de resiliência], evidenciado por [política, registo, teste, relatório ou saída de sistema].
| Área de controlo | Justificação fraca | Justificação preparada para auditoria |
|---|---|---|
| Gestão de incidentes | Implementado | Aplicável porque o NIS2 Article 23 e as expectativas DORA para o ciclo de vida dos incidentes exigem deteção, classificação, escalonamento, suporte ao reporte, comunicações, análise de causa raiz, recolha de evidência e lições aprendidas para incidentes que afetem clientes regulados |
| Segurança de fornecedores | Necessário | Aplicável porque o alojamento em cloud, prestadores de suporte e serviços MDR afetam a disponibilidade do serviço e a confidencialidade dos dados, e o NIS2 Article 21, juntamente com as expectativas DORA de risco de terceiros de TIC, exige diligência devida, salvaguardas contratuais, monitorização, revisão de subcontratantes e planeamento de saída |
| Criptografia | Em utilização | Aplicável porque dados de clientes, segredos de autenticação, cópias de segurança e dados financeiros regulados exigem salvaguardas de confidencialidade e integridade ao abrigo de NIS2, DORA, GDPR, contratos com clientes e tratamento interno de riscos |
| Revisão independente | Sim | Aplicável porque a gestão, os clientes e os auditores exigem garantia de que os controlos do SGSI, as decisões da SoA, a evidência e os mapeamentos regulamentares são periodicamente revistos de forma independente |
Para um fornecedor fintech SaaS, uma linha da SoA poderia ter este aspeto:
| Campo da SoA | Exemplo de entrada |
|---|---|
| Controlo | A.5.19 Gestão da segurança da informação nas relações com fornecedores |
| Aplicabilidade | Sim |
| Justificação | Aplicável porque o alojamento em cloud, as ferramentas de suporte e os serviços MDR afetam a confidencialidade, a disponibilidade, a deteção de incidentes e a garantia a clientes regulados. Suporta expectativas NIS2 de cadeia de fornecimento, expectativas DORA de risco de terceiros de TIC para clientes financeiros, responsabilização de subcontratantes ao abrigo do GDPR e requisitos contratuais de auditoria. |
| Estado de implementação | Implementado e monitorizado |
| Proprietário | Responsável pela Gestão de Fornecedores |
| Evidência | Registo de fornecedores, checklist de diligência devida, cláusulas contratuais de segurança, registos de revisão anual, relatórios SOC ou de garantia, revisão de subcontratantes, plano de saída para fornecedores críticos |
| Riscos associados | R-047, R-021, R-034 |
| Políticas relacionadas | Política de Segurança de Terceiros e Fornecedores, Política de Cumprimento Legal e Regulamentar, Política de Gestão de Riscos |
| Frequência de revisão | Anual, e após alteração de fornecedor, incidente de maior impacto, novo cliente regulado ou expansão do serviço |
Isto está preparado para auditoria porque liga o controlo a contexto, risco, obrigação, implementação, propriedade e evidência.
Como justificar exclusões sem criar exposição em auditoria
Exclusões não são falhas. Exclusões mal justificadas são falhas.
A ISO/IEC 27001:2022 exige que a SoA justifique controlos excluídos do Anexo A. A ISO/IEC 27005:2022 reforça que a não aplicabilidade deve ser explicada e justificada. A Política de Segurança da Informação empresarial da Clarysec estabelece:
A linha de base pode ser adaptada; contudo, as exclusões devem ser documentadas com aprovação formal e justificação na SoA.
Esta é a cláusula 7.2.2 da Política de Segurança da Informação.
A Política de Segurança da Informação para PME da Clarysec Política de Segurança da Informação para PME estabelece:
Qualquer desvio a esta política deve ser documentado, explicando claramente por que o desvio é necessário, que medidas de proteção alternativas estão em vigor e a data definida para reavaliação.
Esse requisito vem da cláusula 7.2.1 da Política de Segurança da Informação para PME.
| Área de controlo | Justificação de exclusão | Salvaguardas exigidas |
|---|---|---|
| Controlos de desenvolvimento seguro para código interno | Não aplicável porque o âmbito do SGSI cobre apenas um serviço de revenda sem desenvolvimento interno de software, sem modificação de código e sem pipeline de CI/CD | Garantia de fornecedores, aprovação de alterações, receção de vulnerabilidades, comunicação a clientes e reavaliação anual |
| Monitorização de segurança física de instalações próprias | Não aplicável porque a organização não tem centro de dados, sala de servidores ou escritório próprio no âmbito do SGSI, e toda a infraestrutura de produção é operada por prestadores cloud auditados | Diligência devida de fornecedores cloud, controlos contratuais, revisões de acessos, revisão do modelo de responsabilidade partilhada e evidência de relatórios de garantia do prestador |
| Certas atividades de tratamento de suportes on-premises | Não aplicável porque não são usados suportes removíveis nem armazenamento on-premises no serviço abrangido | Restrições de endpoints, monitorização DLP quando adequado, inventário de ativos e validação periódica |
Para NIS2 e DORA, as exclusões exigem cuidado adicional. Uma empresa SaaS raramente deve excluir registo de logs, monitorização, cópias de segurança, gestão de incidentes, controlo de acesso, segurança de fornecedores ou gestão de vulnerabilidades. Mesmo quando um controlo não está ligado a um risco específico, ainda pode ser necessário como segurança de referência, garantia ao cliente, expectativa contratual ou obrigação legal.
A Política de Gestão de Riscos para PME da Clarysec também recorda às equipas como deve ser tratado o risco aceite:
Aceitar: Justificar por que não é necessária ação adicional e registar o risco residual.
Essa cláusula, 6.1.1 da Política de Gestão de Riscos para PME, traduz exatamente a mentalidade necessária para exclusões e decisões de risco residual.
Notificação de incidentes: demonstre o fluxo de trabalho, não a existência da política
O NIS2 Article 23 exige notificação faseada de incidentes significativos, incluindo alerta precoce no prazo de 24 horas após a tomada de conhecimento, notificação no prazo de 72 horas, atualizações quando solicitadas e relatório final no prazo de um mês após a notificação de 72 horas. A DORA exige que as entidades financeiras detetem, giram, classifiquem, escalem, comuniquem e reportem incidentes importantes relacionados com TIC, informem clientes afetados quando exigido, realizem análise de causa raiz e melhorem os controlos.
Um fornecedor SaaS pode nem sempre reportar diretamente a uma autoridade DORA, mas pode ter de apoiar os prazos de reporte dos seus clientes financeiros. Isso torna os controlos de incidentes altamente relevantes na SoA.
Uma SoA fraca diz: “Existe política de resposta a incidentes.”
Uma SoA forte diz: “Aplicável porque a organização deve detetar, avaliar, classificar, escalar, comunicar, preservar evidência, suportar prazos de reporte regulamentar, notificar clientes afetados quando contratualmente exigido e aprender com incidentes que afetem serviços, dados ou clientes regulados.”
A evidência deve incluir:
- Plano de resposta a incidentes e matriz de escalonamento.
- Critérios de classificação de severidade.
- Fluxo de notificação a clientes.
- Árvore de decisão para notificação regulamentar, quando aplicável.
- Tickets e cronologias de incidentes.
- Logs e alertas de monitorização.
- Registos de exercícios de simulação de incidentes.
- Revisão pós-incidente e ações corretivas.
- Procedimentos de preservação de evidência.
A Política de Auditoria e Monitorização da Conformidade empresarial da Clarysec Política de Auditoria e Monitorização da Conformidade explica por que isto é importante:
Gerar evidência defensável e um trilho de auditoria em suporte de pedidos de esclarecimento regulamentares, processos judiciais ou pedidos de garantia por parte de clientes.
Esse objetivo vem da cláusula 3.4 da Política de Auditoria e Monitorização da Conformidade.
Para organizações mais pequenas, a retenção de evidência também deve ser explícita. A Política de Auditoria e Monitorização da Conformidade para PME da Clarysec Política de Auditoria e Monitorização da Conformidade para PME estabelece:
A evidência deve ser retida durante pelo menos dois anos, ou por mais tempo quando exigido por acordos de certificação ou com clientes.
Essa é a cláusula 6.2.4 da Política de Auditoria e Monitorização da Conformidade para PME.
Uma SoA, várias conversas de auditoria
A melhor SoA não duplica referenciais. Cria uma narrativa de controlos rastreável que diferentes auditores conseguem compreender.
| Referencial ou perspetiva | O que o auditor ou avaliador perguntará | Como a SoA ajuda |
|---|---|---|
| ISO/IEC 27001:2022 | Por que este controlo do Anexo A está incluído ou excluído, qual é o estado de implementação e onde está a evidência? | Liga decisões de controlo a riscos, obrigações, estado de implementação, proprietários e evidência |
| NIS2 | Como funcionam, na prática, a governação, análise de riscos, tratamento de incidentes, continuidade de negócio, cadeia de fornecimento, cifragem, controlo de acesso, gestão de ativos e formação? | Mapeia expectativas do Article 21 e do Article 23 para controlos do Anexo A e registos operacionais |
| DORA | Como são evidenciados risco de TIC, gestão de incidentes, testes de resiliência, risco de terceiros, contratos, direitos de auditoria, planos de saída e supervisão pela gestão? | Mostra que controlos suportam obrigações de entidades financeiras ou garantia de fornecedor SaaS |
| GDPR | A organização consegue demonstrar integridade, confidencialidade, responsabilização, preparação para violações, suporte ao tratamento lícito e controlos de subcontratante? | Liga obrigações de privacidade a controlo de acesso, criptografia, registo de logs, fornecedores, incidentes, retenção e controlos de evidência |
| NIST CSF 2.0 | Como os resultados Govern, Identify, Protect, Detect, Respond e Recover são suportados por controlos implementados? | Usa a mesma base de evidência para demonstrar cobertura funcional de cibersegurança |
| COBIT 2019 e auditoria ISACA | Os objetivos de governação, propriedade dos controlos, atividades de garantia, métricas e responsabilização da gestão estão definidos? | Liga decisões da SoA a proprietários, revisão de desempenho, revisão independente e ação corretiva |
Um auditor ISO 27001 começa normalmente pela lógica das cláusulas: âmbito, partes interessadas, avaliação de riscos, tratamento de riscos, SoA, objetivos, auditoria interna, revisão pela gestão e melhoria. Um revisor orientado para NIS2 foca-se em proporcionalidade, responsabilização da gestão, formação, cadeia de fornecimento, prazos de incidentes e impacto no serviço. Um avaliador de cliente orientado para DORA foca-se em risco de TIC, funções críticas ou importantes, incidentes importantes de TIC, testes de resiliência, cláusulas contratuais, direitos de auditoria, planos de saída, subcontratação e risco de concentração. Um revisor de privacidade foca-se na responsabilização GDPR e na preparação para violações. Um auditor ao estilo COBIT 2019 ou ISACA testa governação, métricas, propriedade, garantia e ação corretiva.
É por isso que a SoA não pode ser mantida apenas pela equipa de segurança. Exige propriedade por parte de jurídico, privacidade, compras, engenharia, operações, recursos humanos e direção executiva.
Falhas comuns da SoA em projetos de preparação para NIS2 e DORA
A Clarysec encontra repetidamente os mesmos problemas em projetos de preparação:
- A SoA assinala controlos como aplicáveis, mas não regista risco, obrigação ou razão de negócio.
- NIS2 e DORA são mencionadas em políticas, mas não são mapeadas para controlos, proprietários ou evidência.
- Os controlos de fornecedores estão marcados como implementados, mas não existe registo centralizado de fornecedores, classificação de criticidade, revisão contratual ou plano de saída.
- Existem controlos de incidentes, mas o processo não suporta fluxos de reporte de 24 horas, 72 horas, cliente ou relatório final.
- A aprovação da gestão está implícita, mas não existe registo de aceitação do risco, aprovação da SoA ou decisão sobre risco residual.
- As exclusões são copiadas de um modelo e não correspondem ao modelo operacional real cloud, remoto, SaaS ou fintech.
- Existe evidência em várias ferramentas, mas nenhum trilho de auditoria liga a evidência à SoA.
- O tratamento de dados pessoais ao abrigo do GDPR não está ligado a controlos de segurança, resposta a violações, contratos com fornecedores ou retenção.
- A auditoria interna verifica documentos, mas não testa se a SoA reflete a implementação real.
- A SoA só é atualizada antes da certificação, não após novos clientes, fornecedores, incidentes, constatações de auditoria ou alterações regulamentares.
Estas não são questões documentais. São questões de governação.
Lista de verificação prática para uma SoA ISO 27001 preparada para auditoria
Utilize esta lista de verificação antes de uma auditoria de certificação ISO 27001, revisão de preparação para NIS2, avaliação DORA por cliente, reunião do Conselho de Administração ou processo de diligência prévia de investidores.
| Ponto de verificação | Boa resposta |
|---|---|
| Âmbito | O âmbito do SGSI reflete serviços, clientes, dados, fornecedores, interfaces externalizadas e dependências reguladas |
| Partes interessadas | NIS2, clientes DORA, papéis GDPR, reguladores, clientes, fornecedores e partes interessadas internas estão identificados |
| Registo de conformidade | Obrigações legais, regulamentares, contratuais e de clientes estão mapeadas para políticas, controlos e proprietários |
| Critérios de risco | Impactos legais, operacionais, de privacidade, de fornecedores, de resiliência, financeiros e reputacionais estão incluídos |
| Registo de riscos | Cada risco inclui descrição, probabilidade, impacto, pontuação, proprietário, plano de tratamento e risco residual |
| Inclusão na SoA | Cada controlo aplicável tem uma justificação ligada a risco, obrigação, âmbito, contrato ou segurança de referência |
| Exclusão na SoA | Cada controlo excluído tem uma justificação específica, aprovada, baseada em evidência e com gatilho de revisão |
| Evidência | Cada controlo aplicável tem evidência de política, procedimento, configuração, relatório, teste, ticket, log, revisão ou registo |
| Aprovação da gestão | Os proprietários dos riscos aprovam planos de tratamento e riscos residuais, e a gestão revê o desempenho do SGSI |
| Revisão independente | A auditoria interna ou revisão independente testa a exatidão da SoA, a qualidade da evidência e a realidade da implementação |
| Gatilhos de atualização | As atualizações da SoA ocorrem após alterações de serviço, alterações de fornecedores, incidentes, novos clientes, alterações regulamentares ou constatações de auditoria |
Transforme a SoA numa ponte defensável de conformidade
A apresentação de Elena ao Conselho de Administração foi bem-sucedida porque ela não apresentou três projetos de conformidade desconexos. Apresentou um modelo operacional controlado e baseado em evidência, construído sobre a ISO/IEC 27001:2022, com a SoA como ponte entre regulamentação, risco, implementação de controlos, evidência e supervisão pela gestão.
NIS2 e DORA não tornam a ISO 27001 obsoleta. Tornam uma Declaração de Aplicabilidade ISO 27001 bem construída mais valiosa. A SoA pode tornar-se o local único onde a sua organização explica por que existem controlos, por que as exclusões são defensáveis, como a evidência é retida, como os fornecedores são governados, como os incidentes são escalados e como a gestão sabe que o SGSI está a funcionar.
A sua ação imediata é simples:
- Abra a sua SoA atual.
- Escolha cinco controlos marcados como aplicáveis e pergunte: “Que risco, obrigação ou contrato justifica isto?”
- Escolha cinco exclusões e pergunte: “Isto continuaria a fazer sentido para um auditor NIS2, DORA, GDPR ou ISO/IEC 27001:2022?”
- Verifique se cada controlo aplicável tem evidência atual.
- Confirme que a gestão aprovou os riscos residuais e as decisões da SoA.
- Atualize o registo de conformidade, o registo de riscos e a SoA sempre que serviços, fornecedores, clientes, regulamentos ou incidentes mudarem.
A Clarysec ajuda as organizações a fazer isto através do Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, conjuntos de políticas empresariais e para PME, ferramentas de registo de riscos, modelos de SoA, preparação para auditoria e mapeamento de conformidade cruzada para NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 e garantia a clientes.
Se a sua SoA não consegue responder porquê, quem é o responsável, que evidência o demonstra e que obrigação suporta, ainda não está preparada. Use a Clarysec para a transformar numa ponte de conformidade preparada para auditoria antes de um regulador, auditor ou cliente fazer primeiro as mesmas perguntas.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
