⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
PT EN BG CS DA DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL RO SK SL SV
NIS2 DORA GDPR NIST

Evidências de sensibilização e formação ISO 27001:2022 para NIS2 e DORA

Igor Petreski
15 min read
#Gestão de riscos #Auditoria #SGSI #Resposta a incidentes #RH #Proteção de dados
Evidências de sensibilização e formação em segurança ISO 27001 mapeadas para NIS2 e DORA

São 09:12 de uma terça-feira de manhã, em fevereiro de 2026. Um analista financeiro de uma FinTech em forte crescimento recebe uma mensagem de correio eletrónico que parece vir do CFO, a pedir uma revisão urgente de um ficheiro de pagamento a fornecedor. O anexo abre uma página convincente de autenticação Microsoft. O analista hesita, recorda a simulação de phishing e o módulo de fraude em pagamentos do mês anterior, e reporta a mensagem através do portal de segurança em vez de introduzir as suas credenciais.

Para o CISO, essa única decisão é um controlo a funcionar na prática.

Para o auditor, a história não basta.

Uma semana depois chega o pedido de evidência: “Apresentar evidência de um programa abrangente e baseado em funções de sensibilização e formação em segurança da informação, incluindo métricas de eficácia e registos que demonstrem a cobertura de todo o pessoal, incluindo a gestão.”

Essa frase muda a conversa. Uma folha de cálculo com “Concluído” ao lado de 97 por cento dos colaboradores já não é suficiente. O auditor vai perguntar quem formou o analista, quando a formação foi atribuída, se era obrigatória, se era baseada em funções, se a área financeira recebeu sensibilização adicional sobre fraude em pagamentos, se as novas admissões e os contratados foram incluídos, se a gestão aprovou o programa, se a formação foi alterada após a última campanha de phishing e se os registos de conclusão foram retidos.

Em 2026, as evidências de sensibilização e formação em segurança situam-se na interseção da ISO/IEC 27001:2022, NIS2, DORA, GDPR e NIST CSF 2.0. Já não são um exercício anual de RH. São governação pelo órgão de administração, tratamento de riscos, preparação para incidentes, responsabilização legal e evidência de auditoria.

A Clarysec trata a sensibilização para a segurança como um sistema operacional de evidências, não como uma apresentação de diapositivos. Zenith Blueprint: roteiro de 30 passos para auditores Zenith Blueprint, Zenith Controls: guia de conformidade cruzada Zenith Controls, Política de sensibilização e formação em segurança da informação - PME Política de sensibilização e formação em segurança da informação - PME e Política de sensibilização e formação em segurança da informação Política de sensibilização e formação em segurança da informação ligam a formação por função ao SGSI, às obrigações regulamentares, à resposta a incidentes, ao acesso de fornecedores e à revisão pela gestão.

Porque é que a formação genérica de sensibilização para a segurança falha em 2026

A mudança regulamentar é clara. A NIS2 torna a cibersegurança uma responsabilidade da gestão para entidades essenciais e importantes. O Artigo 20 exige que os órgãos de gestão aprovem medidas de gestão de riscos de cibersegurança, supervisionem a implementação e recebam formação. O Artigo 21 inclui higiene básica de cibersegurança e formação em cibersegurança como parte da linha de base obrigatória de gestão de riscos. Para prestadores de serviços de computação em nuvem, prestadores de serviços de centro de dados, prestadores de serviços geridos, prestadores de serviços de segurança geridos, prestadores de serviços DNS, registos de TLD, mercados em linha e motores de pesquisa, a formação tornou-se um tema ao nível do conselho de administração.

A DORA eleva o nível para entidades financeiras e prestadores de TIC que servem o setor financeiro. Aplica-se desde 17 de janeiro de 2025 e exige que as entidades financeiras mantenham uma governação interna e um quadro de controlo para a gestão do risco das TIC. Os órgãos de gestão devem supervisionar o risco das TIC, orçamentos, auditorias, acordos com terceiros, continuidade de negócio, planos de resposta e recuperação, e resiliência operacional digital. Os Artigos 17 a 19 da DORA também exigem que os incidentes relacionados com TIC sejam detetados, classificados, escalados, comunicados e reportados. A formação é o que torna esses procedimentos executáveis sob pressão.

A ISO/IEC 27001:2022 fornece às organizações a espinha dorsal do sistema de gestão. As cláusulas 4 a 10 cobrem contexto, partes interessadas, liderança, avaliação de riscos, tratamento de riscos, competência, sensibilização, informação documentada, avaliação de desempenho e melhoria. A norma é escalável entre setores e dimensões, razão pela qual a Clarysec a utiliza como modelo operacional para o alinhamento integrado entre ISO, NIS2, DORA, GDPR e NIST ISO/IEC 27001:2022.

O GDPR acrescenta a camada de responsabilização. As organizações devem demonstrar que os dados pessoais são tratados de forma lícita, leal, segura e com medidas técnicas e organizativas adequadas. Os colaboradores que tratam dados pessoais, administram sistemas, desenvolvem software, apoiam clientes ou investigam incidentes precisam de formação em privacidade e escalonamento de violações de dados pessoais.

O NIST CSF 2.0 reforça a mesma direção. A sua função Governar liga requisitos legais, regulamentares, contratuais, de privacidade e das partes interessadas a papéis, responsabilidades, políticas, recursos, supervisão e gestão de riscos empresarial. Os perfis do NIST CSF também ajudam a traduzir obrigações de formação em planos de melhoria do estado atual e do estado-alvo.

O resultado é simples: a formação de sensibilização para a segurança preparada para auditoria deve provar que as pessoas conhecem as suas responsabilidades, que a formação é adaptada à função e ao risco, e que a evidência é suficientemente completa para auditores, reguladores, clientes e gestão.

O problema de auditoria: “formámos toda a gente” não é evidência

Muitas organizações falham auditorias não porque não tenham realizado formação, mas porque não conseguem provar que a formação foi concebida, atribuída, concluída, revista e melhorada.

Um pacote de evidência fraco inclui normalmente um PDF anual, uma folha de cálculo de conclusão sem datas, nenhuma evidência de integração, nenhuma cobertura de contratados, nenhuma formação para utilizadores privilegiados, nenhuma formação para a gestão, nenhum módulo por função para programadores ou finanças, nenhuma ligação à avaliação de riscos e nenhuma prova de que a formação foi atualizada após incidentes ou alterações regulamentares.

Os auditores não querem um cartaz motivacional. Querem uma cadeia de evidência.

A política da Clarysec para PME torna essa expectativa explícita. A Política de sensibilização e formação em segurança da informação - PME, Objetivos, cláusula 3.3, exige que as organizações:

“Estabeleçam registos documentados de conclusão para demonstrar conformidade com requisitos legais, contratuais e de auditoria.”

A mesma política para PME transforma a formação em informação documentada retida. Requisitos de implementação da política, cláusula 6.3.2, declara:

“Uma folha de cálculo central ou um Sistema de Informação de Recursos Humanos deve manter estes registos durante, no mínimo, três anos.”

Para ambientes empresariais, a Política de sensibilização e formação em segurança da informação, Finalidade, cláusula 1.2, estabelece uma expectativa mais estruturada:

“Esta política suporta a Cláusula 7.3 da ISO/IEC 27001 e o controlo 6.3 do Anexo A ao exigir um quadro estruturado de sensibilização e formação, baseado no risco, adaptado às funções organizacionais e a ameaças em evolução.”

Essa expressão é importante: estruturado, baseado no risco, adaptado à função e sensível às ameaças. É a diferença entre teatro de sensibilização e competência defensável.

Comece pelas funções, não pelos cursos

O erro mais comum é comprar conteúdos antes de definir responsabilidades. Num programa integrado de conformidade, a primeira pergunta correta não é “Que plataforma de formação devemos usar?”. A pergunta correta é “Que funções criam, gerem, aprovam, tratam, protegem ou recuperam ativos de informação?”.

A Cláusula 5.3 da ISO/IEC 27001:2022 exige a atribuição e comunicação de responsabilidades e autoridades para funções de segurança da informação. A Cláusula 7.2 exige competência para pessoas que realizam trabalho sob o controlo da organização, com base em educação, formação ou experiência. A Cláusula 7.3 exige sensibilização para a política de segurança da informação, para o contributo para a eficácia do SGSI e para as implicações da não conformidade.

No Zenith Blueprint, ISMS Foundation & Leadership, Step 5: Communication, Awareness, and Competence, a Clarysec traduz isto para linguagem de implementação:

“Identificar competências necessárias: determine que conhecimentos e competências são necessários para diferentes funções no seu SGSI.”

O Blueprint dá exemplos práticos: o pessoal de TI pode precisar de configuração segura de servidores, os programadores precisam de programação segura, os RH precisam de tratamento seguro de dados pessoais e o pessoal em geral precisa de sensibilização para phishing. Também enfatiza os registos:

“Manter registos de competência: a Cláusula 7.2 espera que retenha informação documentada como evidência de competência.”

Isto significa que o programa de formação deve começar por uma matriz função-risco.

Grupo de funçõesFoco da formaçãoEvidência a reterValor de conformidade
Todos os colaboradoresPhishing, higiene das palavras-passe, MFA, utilização aceitável, segurança de dispositivos, notificação de incidentesRelatório de conclusão, pontuação do questionário, confirmação da política, versão do conteúdoCláusula 7.3 da ISO/IEC 27001:2022, controlo 6.3 da ISO/IEC 27002:2022, Artigo 21 da NIS2
Executivos e conselho de administraçãoGovernação do risco cibernético, deveres do Artigo 20 da NIS2, supervisão DORA, apetite ao risco, decisões de criseRegisto de presença, pacote para o conselho de administração, atas, aprovação do programaArtigo 20 da NIS2, Artigo 5 da DORA, evidência de liderança ISO/IEC 27001:2022
ProgramadoresProgramação segura, OWASP Top 10, SDLC seguro, segurança de API, tratamento de vulnerabilidades, gestão de segredosConclusão do módulo, resultados de laboratório, lista de verificação de programação segura, evidência de remediaçãoControlos 8.25 e 8.28 da ISO/IEC 27002:2022, expectativas de risco das TIC da DORA
TI e administradores de sistemasAcesso privilegiado, registos de atividade, gestão de vulnerabilidades, restauro de cópias de segurança, controlo de alterações, endurecimentoRegisto de conclusão, ligação à revisão de acessos, participação em exercício de mesaControlos 8.8 e 8.13 da ISO/IEC 27002:2022, preparação para resiliência DORA
RHConfidencialidade, integração e desvinculação, processo disciplinar, tratamento de dados de categorias especiaisRegisto de formação de RH, lista de verificação de integração, confirmação da políticaResponsabilização GDPR, controlos de pessoas ISO/IEC 27002:2022
FinançasFraude em pagamentos, falsificação de identidade de fornecedores, segregação de funções, escalonamento de pedidos suspeitosConclusão de módulo direcionado, resultados de simulação de phishingRedução do risco de fraude, preparação para incidentes NIS2 e DORA
Apoio ao clienteVerificação de identidade, tratamento seguro de tickets, proteção de dados pessoais, vias de escalonamentoConclusão de módulo por função, amostra de revisão de tickets, confirmação de privacidadeResponsabilização do subcontratante no GDPR, garantia para clientes
Responsáveis pela resposta a incidentesClassificação, escalonamento, preservação de evidência, prazos de notificação regulamentar, lições aprendidasRegisto de exercício, relatório de cenário, atribuição de funções, rastreador de açõesArtigo 23 da NIS2, Artigos 17 a 19 da DORA, controlos de incidentes ISO/IEC 27002:2022
Contratados com acesso a sistemasUtilização aceitável, canal de reporte, tratamento de dados, condições de acessoConfirmação do contratado, registo de integração, ligação à aprovação de acessoGarantia de fornecedores, governação de acessos, conformidade contratual

Esta matriz não é apenas um calendário de formação. É um mapa de conformidade que mostra porque diferentes populações recebem formação diferente.

Ligue a formação à cadeia de controlos

No Zenith Controls, o controlo 6.3 da ISO/IEC 27002:2022, Sensibilização, Educação e Formação em Segurança da Informação, é categorizado como um controlo preventivo que suporta a confidencialidade, a integridade e a disponibilidade. O seu conceito de cibersegurança é Proteger, a sua capacidade operacional é Segurança de Recursos Humanos, e os seus domínios de segurança são Governação e Ecossistema.

A interpretação de conformidade cruzada do Zenith Controls é direta:

“O controlo 6.3 responde ao mandato da NIS2 para formação e sensibilização em segurança ao implementar um programa estruturado de sensibilização que cobre higiene cibernética, ameaças emergentes e responsabilidades do pessoal.”

O mesmo mapeamento liga o controlo 6.3 da ISO/IEC 27002:2022 às expectativas do GDPR para colaboradores que tratam dados pessoais, à formação em segurança das TIC da DORA adaptada às funções, e ao NIST SP 800-53 Rev.5 AT-2, AT-3 e AT-4 para formação de literacia e sensibilização, formação por função e registos de formação.

O ponto essencial é que o controlo 6.3 não existe isoladamente. O Zenith Controls liga-o ao controlo 5.2 da ISO/IEC 27002:2022, Papéis e Responsabilidades de Segurança da Informação, porque as funções definem quem precisa de que formação. Liga-o ao controlo 6.8, Reporte de Eventos de Segurança da Informação, porque os colaboradores não podem reportar aquilo que não reconhecem. Liga-o também ao controlo 5.36, Conformidade com Políticas, Regras e Normas de Segurança da Informação, porque o cumprimento depende de as pessoas conhecerem as regras.

Isto cria uma cadeia prática de controlos:

  1. Definir responsabilidades.
  2. Atribuir formação de base e formação por função.
  3. Provar a conclusão.
  4. Testar a compreensão.
  5. Monitorizar o cumprimento.
  6. Corrigir lacunas.
  7. Integrar as lições no tratamento de riscos e na revisão pela gestão.

Isto é importante para a NIS2 porque o Artigo 21 exige análise de riscos, políticas, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, aquisição e manutenção seguras, avaliação da eficácia dos controlos, higiene cibernética e formação, criptografia, segurança de RH, controlo de acesso, gestão de ativos e MFA ou autenticação segura quando apropriado.

É importante para a DORA porque a governação, a gestão de incidentes, a resposta e recuperação, o risco de terceiros e os testes de resiliência só funcionam se as pessoas souberem o que fazer antes de o incidente acontecer.

Construa o pacote de evidência preparado para auditoria

Um pacote de evidência maduro contém mais do que registos de presença. Mostra governação, conceção, entrega, conclusão, eficácia e melhoria. A Clarysec recomenda uma estrutura de seis pastas.

Pasta de evidênciaO que contémPorque importa
01 GovernaçãoPolítica aprovada, objetivos de formação, aprovação da gestão, orçamento, plano anualDemonstra compromisso e supervisão da liderança
02 Mapeamento de funçõesInventário de funções, matriz de competências, regras de atribuição de formação, âmbito de contratadosProva uma conceção baseada no risco e nas funções
03 Conteúdo da formaçãoApresentações de cursos, módulos LMS, modelos de phishing, boletins de segurança, histórico de versõesMostra o que foi efetivamente ensinado
04 Registos de conclusãoExportações LMS, registos HRIS, registos de presença, resultados de questionários, confirmaçõesDemonstra participação e informação documentada retida
05 Evidência de eficáciaMétricas de simulação de phishing, resultados de entrevistas, tendências de notificação de incidentes, resultados de exercícios de mesaMostra se a formação alterou comportamentos
06 MelhoriaAções corretivas, módulos atualizados, lições aprendidas, contributos para revisão pela gestãoDemonstra melhoria contínua

A política empresarial da Clarysec exige integração, formação anual de reciclagem e módulos por função. A Política de sensibilização e formação em segurança da informação, Requisitos de governação, cláusula 5.1.1.2, declara:

“Incluir integração, formação anual de reciclagem e módulos de formação baseados em funções”

A mesma política atribui a titularidade da evidência. Requisitos de governação, cláusulas 5.3.1 e 5.3.1.1, declaram:

“O CISO ou delegado deve manter:”

“Registos de conclusão para cada utilizador”

Para PME, a política para PME acrescenta uma cadência pragmática. A Política de sensibilização e formação em segurança da informação - PME, Requisitos de implementação da política, cláusula 6.1.1, declara:

“Os materiais devem ser práticos, adequados à função e atualizados anualmente.”

Também cobre formação desencadeada por alterações. A cláusula 6.5.1 declara:

“Quando as funções profissionais mudam ou são introduzidos sistemas, pode ser necessária formação de sensibilização direcionada (por exemplo, partilha segura de ficheiros, novos requisitos de proteção de dados e minimização de dados).”

Essa cláusula é especialmente importante em 2026 porque migrações para a nuvem, ferramentas de IA, novas integrações de pagamentos, novos subcontratantes, e alterações no reporte regulamentar podem alterar o risco mais depressa do que um ciclo anual.

Um plano de recuperação de uma semana antes da auditoria

Considere um prestador SaaS ou FinTech com 180 pessoas a preparar-se para uma auditoria de acompanhamento ISO/IEC 27001:2022, diligência prévia de clientes DORA, revisão de responsabilização GDPR e perguntas de clientes impulsionadas pela NIS2. O CISO tem uma semana para transformar registos genéricos de conclusão num pacote de evidência defensável.

Dia 1: Confirmar âmbito e obrigações

Use as Cláusulas 4.1 a 4.4 da ISO/IEC 27001:2022 para confirmar o contexto, as partes interessadas e o âmbito do SGSI. Recolha compromissos contratuais de clientes, obrigações GDPR enquanto responsável pelo tratamento ou subcontratante, expectativas NIS2 de clientes críticos e pedidos de diligência prévia de fornecedores TIC relacionados com a DORA.

Depois traduza essas obrigações em necessidades de formação. O GDPR exige que o pessoal que trata dados pessoais compreenda confidencialidade, minimização, retenção e escalonamento de violações de dados pessoais. A NIS2 exige higiene cibernética, formação de colaboradores e supervisão pela gestão. Os clientes orientados pela DORA esperarão evidência de que as equipas que suportam serviços críticos compreendem escalonamento de incidentes, resiliência, controlo de acesso, cópia de segurança e recuperação, e coordenação com terceiros.

Dia 2: Construir a matriz por função

Use a orientação do Zenith Blueprint e os mapeamentos do Zenith Controls para os controlos 5.2 e 6.3 da ISO/IEC 27002:2022. Inclua colaboradores, contratados, utilizadores privilegiados, programadores, equipas de suporte, RH, finanças, executivos e responsáveis pela resposta a incidentes.

Ligue cada função a sistemas e riscos. Os programadores recebem programação segura e tratamento de vulnerabilidades. As equipas de suporte recebem verificação de identidade e tratamento seguro de tickets. A área financeira recebe fraude em pagamentos e verificação de alterações de fornecedores. Os executivos recebem governação, responsabilização legal, apetite ao risco e tomada de decisão em crise.

Dia 3: Alinhar a política e as atribuições

Adote ou atualize a política Clarysec adequada. Use a política para PME para um modelo operacional leve, ou a política empresarial para uma governação e titularidade da evidência mais robustas. Confirme que a política inclui integração, formação anual de reciclagem, módulos por função, retenção de evidência, cobertura de contratados e formação desencadeada por alterações.

Publique a política, recolha confirmações e ligue os módulos de formação às famílias de funções no HRIS ou LMS.

Dia 4: Ministrar formação direcionada

Não forme toda a gente em tudo. Forme toda a gente nos controlos de base e depois atribua módulos específicos por função.

O módulo de base deve cobrir phishing e engenharia social, higiene das palavras-passe e MFA, utilização aceitável, tratamento seguro da informação, canais de notificação de incidentes, reporte de dispositivos perdidos e fundamentos de proteção de dados.

Os módulos específicos por função devem cobrir ciclo de vida de desenvolvimento seguro para programadores, acesso privilegiado e reposição de cópias de segurança para TI, dados dos colaboradores para RH, fraude em pagamentos para finanças, classificação de incidentes para responsáveis pela resposta, e governação NIS2 e DORA para executivos.

Dia 5: Exportar e validar evidências

Crie o pacote de evidência de seis pastas. Exporte relatórios de conclusão, pontuações de questionários, números de versão de cursos, confirmações de política e calendários de formação. Identifique formações não concluídas e abra ações corretivas.

Depois teste a compreensão através de entrevistas. Pergunte a colaboradores de diferentes departamentos:

  • Que formação de segurança concluiu?
  • Como reporta uma mensagem de correio eletrónico suspeita?
  • O que faria se perdesse um computador portátil?
  • Onde pode encontrar a política de segurança da informação?
  • Que dados pessoais trata na sua função?

Registe os resultados como uma amostra de auditoria interna. Os auditores usam frequentemente entrevistas para verificar se a sensibilização foi assimilada, e não apenas ministrada.

Dia 6: Ligar a formação à resposta a incidentes

Use a formação de notificação de incidentes como ponte para o controlo 6.8 da ISO/IEC 27002:2022, o Artigo 23 da NIS2 e os Artigos 17 a 19 da DORA.

O Artigo 23 da NIS2 exige reporte faseado de incidentes significativos, incluindo alerta precoce no prazo de 24 horas após tomada de conhecimento, notificação no prazo de 72 horas e relatório final no prazo de um mês. A DORA exige que os incidentes graves relacionados com TIC sejam classificados, escalados, comunicados e reportados através do ciclo de reporte obrigatório.

Os colaboradores não precisam de memorizar prazos legais, mas devem reportar suspeitas de incidentes suficientemente depressa para que a organização consiga cumpri-los.

No Zenith Blueprint, Controls in Action, Step 16: People Controls II, a Clarysec declara:

“Um sistema eficaz de resposta a incidentes não começa nas ferramentas, mas nas pessoas.”

Isto não é orientação vaga. É resiliência operacional.

Dia 7: Preparar a narrativa de auditoria

A narrativa final de auditoria deve ser curta e suportada por evidência:

“Identificámos necessidades de formação com base nas funções do SGSI, obrigações legais e contratuais, resultados da avaliação de riscos e acesso a sistemas. Atribuímos módulos de base e módulos por função através do LMS. Retivemos registos de conclusão, pontuações de questionários, versões de conteúdos e confirmações. Testámos a eficácia através de simulações de phishing, entrevistas e métricas de notificação de incidentes. A não conclusão é acompanhada como ação corretiva. A gestão revê o programa anualmente e após alterações significativas.”

Suportada por evidência, essa narrativa resiste a perguntas de auditoria ISO/IEC 27001:2022, escrutínio de governação NIS2, diligência prévia de clientes DORA, revisão de responsabilização GDPR e avaliação de controlos ao estilo NIST.

Mapeamento de conformidade cruzada para sensibilização e formação em segurança

A sensibilização para a segurança é frequentemente classificada de forma incorreta como uma tarefa de RH. Na prática, é um controlo de conformidade cruzada que toca governação, gestão de riscos, privacidade, resposta a incidentes, garantia de fornecedores e resiliência.

Referencial ou regulamentoRelevância da formaçãoPonto de implementação da Clarysec
ISO/IEC 27001:2022Competência, sensibilização, liderança, atribuição de funções, informação documentada, monitorização, auditoria interna e melhoriaZenith Blueprint Step 5 e Step 15, cláusulas da política sobre integração, formação anual de reciclagem, formação por função e evidência
ISO/IEC 27002:2022Controlo 6.3 sensibilização, educação e formação, ligado a 5.2 funções, 6.8 reporte de eventos e 5.36 monitorização da conformidadeZenith Controls mapeia atributos, controlos relacionados, expectativas de auditoria e alinhamento entre referenciais
NIS2Formação da gestão, formação dos colaboradores em cibersegurança, higiene cibernética, preparação para incidentes e responsabilização de governaçãoMódulo para o conselho de administração, linha de base para colaboradores, módulo de notificação de incidentes, evidência de aprovação pela gestão
DORAGovernação das TIC, supervisão pela gestão, aprendizagem e evolução, escalonamento de incidentes, testes de resiliência e expectativas relativas a terceirosFormação executiva, módulos por função TIC, formação de responsáveis pela resposta a incidentes, pacote de evidência orientado para fornecedores
GDPRResponsabilização, tratamento seguro, sensibilização para funções de privacidade, reconhecimento de violações e tratamento de dados pessoaisFormação em privacidade para RH, suporte, vendas, engenharia e equipas de incidentes
NIST CSF 2.0Função Governar, funções, políticas, obrigações legais, supervisão, perfis e planeamento de melhoriaPerfil de formação atual e alvo, registo de lacunas e plano de ação priorizado
NIST SP 800-53 Rev.5Formação de sensibilização, formação por função e registos de formaçãoMapeamento para AT-2, AT-3 e AT-4 através do Zenith Controls
Garantia informada por COBIT 2019Objetivos de governação, responsabilização, capacidade, métricas de desempenho e reporte à gestãoKPIs de formação, titularidade por função, revisão pela gestão e encerramento de ações corretivas

O NIST CSF 2.0 é especialmente útil para organizações que precisam de explicar maturidade a partes interessadas não ISO. O seu método de Perfis Organizacionais suporta o planeamento do estado atual e do estado-alvo. Por exemplo, um Perfil Atual pode declarar que existe sensibilização de base, mas que a formação de programação segura para programadores está incompleta. Um Perfil Alvo pode exigir que todos os programadores concluam formação em programação segura, divulgação de vulnerabilidades e gestão de segredos até ao terceiro trimestre.

Como auditores e reguladores testam as evidências de formação

Diferentes revisores colocam perguntas diferentes, mas todos testam a mesma verdade: a organização sabe o que as pessoas devem fazer e consegue provar que estão preparadas para o fazer?

Um auditor ISO/IEC 27001:2022 ligará a evidência de formação às Cláusulas 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 e 10.2, além dos controlos do Anexo A. Espere perguntas sobre como foram determinados os requisitos de competência, como os colaboradores conhecem a política de segurança da informação, como novas admissões e contratados são formados, como a não conclusão é tratada, como a formação por função se liga à avaliação de riscos e à Declaração de Aplicabilidade, e como a eficácia é avaliada.

O Zenith Controls observa que auditores que utilizam a ISO/IEC 19011:2018 irão analisar currículo, calendários, materiais, registos de presença, certificados de conclusão e competência dos formadores. Também observa que auditores ISO/IEC 27007:2020 podem usar entrevistas para determinar se os colaboradores sabem como reportar incidentes e recordar mensagens-chave da formação.

Uma revisão focada na NIS2 irá além das taxas de conclusão. Perguntará se o órgão de gestão aprovou e supervisionou medidas de gestão de riscos de cibersegurança, se a gestão recebeu formação, se a formação em higiene cibernética do pessoal é regular e se a notificação de incidentes é compreendida. O Artigo 21 também exige procedimentos para avaliar a eficácia das medidas de gestão de riscos de cibersegurança; por isso, métricas de phishing, tendências de notificação de incidentes e constatações de auditoria tornam-se evidência de eficácia dos controlos.

Uma revisão DORA, especialmente por parte de um cliente financeiro que avalia um prestador de TIC, focar-se-á na resiliência operacional. Espere perguntas sobre pessoal que suporta serviços financeiros críticos, registos de formação de equipas que gerem sistemas de pagamento, formação da gestão sobre risco de terceiros de TIC, classificação de incidentes ao abrigo do Artigo 18 da DORA e formação de contratados para acesso a ambientes de clientes.

Uma revisão GDPR focar-se-á na responsabilização. A organização deve mostrar que o pessoal que trata dados pessoais compreende tratamento lícito, confidencialidade, minimização, retenção, tratamento seguro e escalonamento de violações. Para prestadores SaaS, FinTech e de serviços geridos, a evidência de formação faz parte da prova de que os requisitos de privacidade estão incorporados no comportamento operacional.

Métricas que provam a eficácia dos controlos

A conclusão é necessária, mas não é suficiente. Um painel de gestão mais forte em 2026 mostra se a formação melhorou o comportamento.

MétricaO que mostraInterpretação em auditoria
Conclusão por funçãoSe as populações atribuídas concluíram os módulos obrigatóriosCumprimento e cobertura básicos
Conclusão de novas admissões dentro do prazo-alvoSe os controlos de integração funcionamMaturidade de RH e governação de acessos
Conclusão da formação por utilizadores privilegiadosSe os utilizadores de alto risco estão preparadosPriorização baseada no risco
Taxa de cliques e de reporte em simulações de phishingSe o comportamento está a melhorarEficácia da sensibilização
Relatórios de incidentes enviados por colaboradoresSe as pessoas reconhecem e reportam eventosLigação à preparação para incidentes
Tempo desde mensagem suspeita até ao reporteSe o reporte suporta prazos regulamentaresPreparação NIS2 e DORA
Não conclusão repetidaSe a aplicação e o escalonamento funcionamMonitorização da conformidade
Atualizações de formação após incidentes ou alteraçõesSe as lições aprendidas geram melhoriaMelhoria contínua

Estas métricas suportam a Cláusula 9.1 da ISO/IEC 27001:2022 para monitorização e medição, a Cláusula 9.2 para auditoria interna, a Cláusula 10.1 para melhoria contínua e a Cláusula 10.2 para não conformidade e ação corretiva. O controlo 5.36 da ISO/IEC 27002:2022 reforça que a conformidade com políticas, regras e normas deve ser monitorizada, avaliada e remediada.

Constatações comuns que a Clarysec observa em auditorias

As mesmas fragilidades surgem repetidamente.

As organizações formam colaboradores, mas esquecem executivos. Ao abrigo da NIS2 e da DORA, a formação da gestão faz parte da governação, não é um extra de maturidade.

As organizações ministram formação anual, mas ignoram alterações de função. Um engenheiro de suporte que passa para DevOps precisa de formação em acesso privilegiado, registos de atividade, cópias de segurança e escalonamento de incidentes.

As organizações incluem colaboradores, mas esquecem contratados. O Zenith Blueprint Step 15 recomenda estender a formação a contratados ou terceiros que tenham acesso a sistemas ou dados.

As organizações ensinam a notificação de incidentes, mas criam medo. Se o pessoal acredita que será punido por clicar numa ligação de phishing, pode permanecer em silêncio. O Zenith Blueprint Step 16 enfatiza canais de reporte simples, reporte suportado por sensibilização e uma cultura sem culpa.

As organizações não conseguem provar o controlo de versões dos conteúdos. Se um auditor perguntar o que os colaboradores concluíram em março, a apresentação atual no SharePoint não é suficiente. Retenha a versão entregue.

As organizações falham ao ligar a formação ao tratamento de riscos. Se ransomware, fraude em pagamentos, configuração incorreta na nuvem ou fuga de dados for um risco principal, o plano de formação deve mostrar tratamento direcionado para as funções relevantes.

Onde a Clarysec se enquadra

A Clarysec ajuda as organizações a construir um programa defensável, em vez de cinco trilhos de conformidade desligados.

A Política de sensibilização e formação em segurança da informação - PME dá às organizações mais pequenas uma linha de base prática: expectativas por função, registos documentados, atualizações anuais, formação desencadeada por alterações e retenção durante, pelo menos, três anos.

A Política de sensibilização e formação em segurança da informação empresarial dá às organizações maiores uma governação mais forte: sensibilização estruturada e baseada no risco, integração, formação anual de reciclagem, módulos por função, titularidade dos registos pelo CISO e preparação para inspeções regulamentares ao abrigo do GDPR, DORA e NIS2.

O Zenith Blueprint indica às equipas de implementação o que fazer em sequência. O Step 5 integra competência e sensibilização na fundação do SGSI. O Step 15 operacionaliza o controlo 6.3 da ISO/IEC 27002:2022 com formação anual, módulos específicos por função, integração, simulações de phishing, evidência de participação, boletins direcionados, formação de contratados e reforço comportamental. O Step 16 liga a sensibilização à notificação de incidentes impulsionada por pessoas.

O Zenith Controls dá às equipas de conformidade a matriz de correspondência. Liga o controlo 6.3 da ISO/IEC 27002:2022 a funções, reporte de eventos, monitorização da conformidade, riscos de fator humano da ISO/IEC 27005:2024, expectativas de formação do GDPR, Artigo 21 da NIS2, formação TIC DORA, controlos de sensibilização NIST e metodologias de auditoria. Também liga o controlo 5.2 às responsabilidades de governação e o controlo 5.36 à monitorização da conformidade e ação corretiva.

Em conjunto, estes recursos permitem a um CISO explicar não apenas que formação ocorreu, mas porque ocorreu, quem a exigiu, que risco tratou, como foi evidenciada e como melhora.

Prepare já as evidências de formação de segurança para auditoria

Se a sua evidência atual é uma folha de cálculo, uma apresentação e a esperança de que os colaboradores se lembrem do endereço de correio eletrónico para reporte, está na hora de a maturar.

Comece com quatro ações esta semana:

  1. Crie uma matriz de formação por função ligada às responsabilidades do SGSI, ao acesso a sistemas e às obrigações regulamentares.
  2. Adote ou atualize a sua política de sensibilização Clarysec usando a Política de sensibilização e formação em segurança da informação - PME ou a Política de sensibilização e formação em segurança da informação.
  3. Construa o pacote de evidência de seis pastas para governação, mapeamento de funções, conteúdo, conclusão, eficácia e melhoria.
  4. Use o Zenith Blueprint e o Zenith Controls para mapear a evidência de formação para as expectativas de auditoria da ISO/IEC 27001:2022, NIS2, DORA, GDPR e NIST.

A sensibilização para a segurança é valiosa quando altera comportamentos. A evidência de conformidade é valiosa quando prova esse comportamento de forma consistente.

A Clarysec ajuda-o a construir ambas.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

CVD para NIS2 e DORA: mapa de evidências ISO 27001

CVD para NIS2 e DORA: mapa de evidências ISO 27001

Um guia prático para CISO sobre divulgação coordenada de vulnerabilidades ao abrigo da NIS2, do DORA, do RGPD da UE e da ISO/IEC 27001:2022, com redação de políticas, fluxo de admissão, escalonamento de fornecedores, evidência de auditoria e mapeamento de controlos.

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001

Um guia prático para CISO sobre como transformar a higiene de cibersegurança e a formação em cibersegurança do Article 21 da NIS2 em evidência ISO/IEC 27001:2022 pronta para auditoria, com cláusulas de política, mapeamento de controlos, alinhamento com DORA e RGPD da UE e um sprint de remediação de 10 dias.