Responsabilidade do Conselho no âmbito da NIS2: evidência ISO 27001
A mensagem chegou à caixa de entrada da Maria às 08:15 de uma segunda-feira. Enquanto CISO de um prestador europeu de serviços em nuvem em rápido crescimento, estava habituada a mensagens urgentes, mas esta parecia diferente.
O CFO tinha reencaminhado um questionário de segurança de um cliente para o CEO, o secretário do Conselho e a Maria. O assunto era curto: “Evidência de responsabilização do órgão de gestão NIS2 exigida antes da renovação.”
O cliente não pedia mais um relatório de teste de intrusão. Queria saber se o Conselho tinha aprovado as medidas de gestão de riscos de cibersegurança, como a implementação era supervisionada, se os executivos tinham recebido formação sobre risco cibernético, como os incidentes significativos eram escalonados e como os riscos de fornecedores eram revistos ao nível da gestão. O CEO acrescentou uma linha: “Maria, qual é a nossa exposição e como demonstramos dever de diligência? O Conselho precisa disto na próxima semana.”
É neste momento que a NIS2 se torna real para muitos prestadores SaaS, de serviços em nuvem, MSP, MSSP, centros de dados, fintech e prestadores de infraestrutura digital. A Diretiva (UE) 2022/2555 não trata a cibersegurança como um problema de um departamento técnico. Transforma o risco cibernético numa questão de responsabilização do órgão de gestão.
O Article 20 da NIS2 exige que os órgãos de gestão das entidades essenciais e importantes aprovem medidas de gestão de riscos de cibersegurança, supervisionem a sua implementação e realizem formação. Também permite que os Estados-Membros estabeleçam responsabilidade por infrações. O Article 21 define depois a base prática: análise de riscos, políticas de segurança, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, aquisição e desenvolvimento seguros, avaliação da eficácia, higiene de cibersegurança, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e autenticação.
Para organizações que já utilizam a ISO/IEC 27001:2022, a estrutura é familiar. A diferença está no público e no ónus da evidência. A pergunta já não é apenas: “Temos controlos de segurança?” Passa a ser: “Consegue o Conselho demonstrar que aprovou, compreendeu, financiou, reviu, questionou e melhorou esses controlos?”
É aqui que a ISO/IEC 27001:2022 se torna um sistema de governação defensável. A abordagem da Clarysec é utilizar a ISO/IEC 27001:2022 como base de evidência, o Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint como roteiro de implementação, as políticas da Clarysec como artefactos prontos para o Conselho e o Zenith Controls: The Cross-Compliance Guide Zenith Controls como guia de mapeamento entre referenciais para NIS2, DORA, RGPD da UE, NIST CSF 2.0, COBIT 2019 e expectativas de auditoria.
Porque a responsabilidade do Conselho no âmbito da NIS2 muda a conversa sobre cibersegurança
A NIS2 não pede aos administradores que se tornem engenheiros de firewalls. Pede-lhes que exerçam governação. A distinção é importante.
Um CISO pode apresentar relatórios de vulnerabilidades, cobertura de MFA, painéis de proteção de endpoint e pontuações de postura em nuvem. São sinais operacionais úteis, mas não demonstram automaticamente a supervisão do órgão de gestão. Um regulador, cliente empresarial, auditor de certificação ou avaliador do setor financeiro procurará uma cadeia de evidência de governação:
- A organização avaliou se a NIS2 se aplica e documentou a fundamentação.
- O Conselho ou a alta direção aprovou o quadro de gestão de riscos de cibersegurança.
- Foram definidos limiares de apetite ao risco e de tolerância ao risco.
- Riscos cibernéticos elevados foram escalonados e revistos.
- As decisões de tratamento de riscos foram aprovadas, incluindo o risco residual aceite.
- Os procedimentos de notificação de incidentes refletem obrigações de 24 horas, 72 horas e relatório final, quando aplicável.
- As dependências de fornecedores e de serviços em nuvem estão mapeadas e sujeitas a governação.
- A revisão pela gestão inclui constatações de auditoria, tendências de incidentes, métricas e ações de melhoria.
- Os executivos receberam formação adequada à sua responsabilização.
- Decisões, exceções e escalonamentos são rastreáveis.
É aqui que muitos manuais operacionais de segurança antigos falham. Comprar uma ferramenta “conforme com a NIS2” não demonstra supervisão do Conselho. Assinar uma política e arquivá-la não demonstra implementação. Delegar integralmente a cibersegurança no CISO não satisfaz o dever de supervisão de um órgão de gestão.
A ISO/IEC 27001:2022 resolve este problema porque enquadra a segurança da informação como um sistema de gestão estratégico, baseado no risco e integrado nos processos da organização. As suas cláusulas sobre contexto, partes interessadas, obrigações legais, âmbito, liderança, avaliação de riscos, tratamento de riscos, controlo operacional, avaliação do desempenho, auditoria interna, revisão pela gestão e melhoria contínua criam a estrutura de que um Conselho precisa para demonstrar dever de diligência.
O Zenith Blueprint torna isto prático na fase de Fundamentos e Liderança do SGSI, Etapa 3:
“A Cláusula 5.1 trata de Liderança e compromisso. A ISO 27001 exige que a alta direção demonstre liderança ao endossar o SGSI, fornecer recursos, promover sensibilização, assegurar que as funções são atribuídas, integrar o SGSI nos processos de negócio e apoiar a melhoria contínua.”
Este é o modelo operacional por trás do Article 20 da NIS2. O Conselho não precisa de aprovar cada pedido técnico, mas deve aprovar o modelo de governação, compreender os riscos materiais, assegurar recursos e supervisionar a implementação.
O pacote de evidência para o Conselho que a NIS2 realmente exige
Um erro comum é tratar a evidência NIS2 como um memorando jurídico acompanhado de uma pasta de políticas. Isso raramente satisfaz um avaliador rigoroso. A responsabilização do Conselho exige prova de governação ativa, não documentação passiva.
Um pacote robusto de evidência NIS2 para o Conselho deve ligar obrigações legais a decisões do Conselho, controlos e ciclos de revisão.
| Artefacto de evidência | Pergunta de responsabilização do Conselho respondida | Âncora ISO/IEC 27001:2022 | Fonte Clarysec |
|---|---|---|---|
| Avaliação de aplicabilidade da NIS2 | Somos essenciais, importantes, indiretamente expostos ou fora de âmbito? | Cláusulas 4.1 a 4.4 | Zenith Blueprint, Etapa 1 e Etapa 2 |
| Âmbito do SGSI e mapa de dependências | Que serviços, localizações, fornecedores, interfaces e processos estão sujeitos a governação? | Cláusulas 4.1 a 4.4 | Zenith Blueprint, fase de Fundamentos do SGSI |
| Registo de riscos cibernéticos | Quais são os nossos riscos cibernéticos mais elevados e quem é o seu proprietário? | Cláusulas 6.1.1 e 6.1.2 | Política de Gestão de Riscos |
| Plano de tratamento de riscos e SoA | Que controlos são selecionados, porquê, e quem aprovou o risco residual? | Cláusula 6.1.3 | Zenith Blueprint, Etapa 13 |
| Atas do Conselho e registo de decisões | A gestão aprovou, questionou e supervisionou as medidas? | Cláusulas 5.1, 5.3, 9.3 | Política de Papéis e Responsabilidades de Governação |
| Procedimento de escalonamento e notificação de incidentes | Conseguimos cumprir os prazos faseados de notificação da NIS2? | Cláusulas 8.1, 9.1, controlos de incidentes do Anexo A | Kit de resposta a incidentes e revisão pela gestão |
| Painel de risco de fornecedores | Os fornecedores críticos e as dependências de serviços em nuvem estão sujeitos a governação? | Cláusula 8.1 e controlos de fornecedores do Anexo A | Mapeamento transversal do Zenith Controls |
| Registo de formação de executivos | Os membros do órgão de gestão realizaram formação adequada? | Cláusula 7.2 e controlos de sensibilização | Política de Sensibilização e Formação em Segurança da Informação |
| Resultados de auditoria interna e revisão pela gestão | A implementação é verificada de forma independente e melhorada? | Cláusulas 9.2, 9.3, 10.1 | Política de Auditoria e Monitorização da Conformidade - PME |
A força deste pacote está na rastreabilidade. Cada artefacto responde a uma pergunta de governação e aponta para um mecanismo da ISO/IEC 27001:2022. Isto dá ao CISO, ao CEO e ao Conselho uma narrativa defensável: a cibersegurança não é uma coleção de ferramentas, é um sistema sujeito a governação.
Transformar políticas em responsabilização ao nível do Conselho
No cenário inicial, o CEO da Maria pode sentir-se tentado a responder ao cliente com um certificado ISO e algumas políticas. Isso não é suficiente para a responsabilização do órgão de gestão no âmbito da NIS2. A organização precisa de evidência de que a responsabilidade está atribuída, as decisões são registadas e os riscos são escalonados de forma objetiva.
As políticas da Clarysec foram concebidas para criar essa rastreabilidade.
Para organizações mais pequenas, a Information Security Policy-sme Política de Segurança da Informação - PME, cláusula 4.1.1, estabelece que a alta direção:
“Mantém a responsabilidade global pela segurança da informação.”
Esta frase é importante. Evita um antipadrão comum em que fundadores, CEO ou equipas executivas delegam informalmente toda a responsabilização pela segurança em TI, sem manterem uma supervisão significativa.
Para organizações maiores, a Risk Management Policy Política de Gestão de Riscos, cláusula 4.1.1, estabelece que a liderança:
“Aprova o quadro de gestão de riscos e define limiares aceitáveis de apetite ao risco e tolerância ao risco.”
Isto é evidência pronta para o Conselho relativamente ao Article 20 da NIS2. Uma declaração de apetite ao risco, limiares de tolerância e um modelo formal de autoridade de risco demonstram como funcionam, na prática, a aprovação e o escalonamento.
A cláusula 5.6 da mesma política acrescenta:
“A Matriz de Autoridade de Risco deve definir claramente limiares de escalonamento para a alta direção ou para o Conselho.”
Este é um dos artefactos mais importantes para a governação NIS2. Sem limiares de escalonamento, o Conselho vê apenas aquilo que alguém decide escalar. Com limiares, risco residual elevado, vulnerabilidades críticas por resolver, concentração significativa de fornecedores, incidentes relevantes, constatações de auditoria e exceções acima da tolerância passam automaticamente para a supervisão executiva.
A Governance Roles and Responsibilities Policy Política de Papéis e Responsabilidades de Governação reforça a cadeia de evidência:
“A governação deve apoiar a integração com outras disciplinas (por exemplo, risco, jurídico, TI, RH), e as decisões do SGSI devem ser rastreáveis até à sua origem (por exemplo, registos de auditoria, registos de revisão, atas de reunião).”
Para PME, a Governance Roles and Responsibilities Policy-sme Política de Papéis e Responsabilidades de Governação - PME estabelece:
“Todas as decisões, exceções e escalonamentos de segurança significativos devem ser registados e rastreáveis.”
Essas cláusulas convertem a supervisão do Conselho de uma conversa num trilho de auditoria.
A cadeia de evidência ISO/IEC 27001:2022 para o Article 20 da NIS2
Um Conselho pode operacionalizar o Article 20 da NIS2 através de uma cadeia clara de evidência ISO/IEC 27001:2022.
Primeiro, estabelecer contexto e âmbito. A ISO/IEC 27001:2022 exige que a organização determine questões internas e externas, partes interessadas, requisitos legais, regulamentares e contratuais, limites do SGSI, interfaces, dependências e processos em interação. Para um prestador SaaS ou de serviços em nuvem, o âmbito do SGSI deve identificar explicitamente serviços da UE, ambientes de nuvem, operações de suporte, fornecedores críticos, segmentos de clientes regulados e exposição à NIS2.
Segundo, demonstrar liderança. A ISO/IEC 27001:2022 exige que a alta direção alinhe os objetivos de segurança com a orientação estratégica, integre os requisitos do SGSI nos processos de negócio, forneça recursos, comunique a importância, atribua responsabilidades e promova a melhoria contínua. Para a NIS2, isto torna-se evidência de que o órgão de gestão aprovou e supervisionou as medidas de gestão de riscos de cibersegurança.
Terceiro, executar avaliação e tratamento de riscos de forma repetível. A ISO/IEC 27001:2022 exige critérios de risco, identificação de riscos, proprietários dos riscos, análise de probabilidade e consequência, opções de tratamento, seleção de controlos, comparação com o Anexo A, uma Declaração de Aplicabilidade, um plano de tratamento de riscos e aprovação do risco residual.
O Zenith Blueprint, fase de Gestão de Riscos, Etapa 13, explicita o ponto de aprovação:
“Aprovação pela gestão: as decisões de tratamento de riscos e a SoA devem ser revistas e aprovadas pela alta direção. A gestão deve ser informada sobre os principais riscos e tratamentos propostos, riscos propostos para aceitação e os controlos planeados para implementação.”
Para a NIS2, esse briefing não deve ser pontual. O pacote do Conselho deve mostrar os principais riscos atuais, a tendência, o progresso do tratamento, o risco residual aceite, ações em atraso, exposição a fornecedores críticos, temas de incidentes e métricas-chave de eficácia.
Quarto, operar e reter evidência. A cláusula 8.1 da ISO/IEC 27001:2022 exige planeamento e controlo operacional. Os controlos do Anexo A apoiam segurança de fornecedores, governação de serviços em nuvem, resposta a incidentes, continuidade de negócio, gestão de vulnerabilidades, cópias de segurança, registo de eventos, monitorização, desenvolvimento seguro, segurança das aplicações, arquitetura, testes, externalização, segregação e gestão de alterações.
Quinto, avaliar e melhorar. Auditoria interna, medição, revisão pela gestão, ação corretiva e melhoria contínua transformam um catálogo de controlos num sistema sujeito a governação.
A Information Security Policy empresarial Política de Segurança da Informação incorpora esta expectativa de revisão pela gestão:
“As atividades de revisão pela gestão (nos termos da Cláusula 9.3 da ISO/IEC 27001) devem ser realizadas pelo menos anualmente e devem incluir:”
O valor não está apenas na realização de uma reunião. O valor está na evidência criada pela revisão: entradas, decisões, ações, proprietários, prazos e seguimento.
A Audit and Compliance Monitoring Policy-sme Política de Auditoria e Monitorização da Conformidade - PME, cláusula 5.4.3, fecha o ciclo:
“As constatações de auditoria e atualizações de estado devem ser incluídas no processo de revisão pela gestão do SGSI.”
Esta é a diferença entre “tivemos uma auditoria” e “a gestão reviu os resultados da auditoria e determinou a remediação”.
Mapeamento de conformidade transversal: NIS2, DORA, RGPD da UE, NIST CSF 2.0 e COBIT 2019
A NIS2 raramente surge isolada. Um prestador de serviços em nuvem pode tratar dados pessoais ao abrigo do RGPD da UE. Um cliente fintech pode impor requisitos de fornecedores motivados pela DORA. Um cliente empresarial dos EUA pode solicitar alinhamento com o NIST CSF 2.0. Um comité de auditoria do Conselho pode falar a linguagem do COBIT 2019.
A resposta não é criar pastas de conformidade separadas. A resposta é utilizar a ISO/IEC 27001:2022 como sistema central de evidência.
O Zenith Controls ajuda as equipas a consolidar, mapeando o controlo 5.4 da ISO/IEC 27002:2022, Responsabilidades da gestão, entre normas, regulamentos e métodos de auditoria.
No Zenith Controls, a entrada para o controlo 5.4 “Responsabilidades da gestão” da ISO/IEC 27002:2022 classifica o tipo de controlo como “Preventivo”, liga-o à confidencialidade, integridade e disponibilidade, e enquadra-o numa capacidade operacional focada em governação.
Isto é relevante porque o Article 20 da NIS2 é governação preventiva. A aprovação e supervisão pela liderança reduzem a probabilidade de o risco cibernético se tornar invisível, subfinanciado ou não gerido.
O Zenith Controls também liga as responsabilidades da gestão a controlos relacionados da ISO/IEC 27002:2022: 5.1 Políticas de segurança da informação, 5.2 Papéis e responsabilidades de segurança da informação, 5.35 Revisão independente da segurança da informação, 5.36 Cumprimento das políticas, regras e normas de segurança da informação, e 5.8 Segurança na gestão de projetos. A responsabilização do Conselho não pode existir isoladamente. Precisa de políticas, papéis, garantia, monitorização da conformidade e integração ao nível dos projetos.
A matriz transversal mais ampla é especialmente útil para reporte executivo.
| Tema do requisito | NIS2 | DORA | RGPD da UE | NIST CSF 2.0 | COBIT 2019 | Foco de evidência Clarysec |
|---|---|---|---|---|---|---|
| Responsabilização da gestão | Aprovação, supervisão, formação e responsabilidade no Article 20 | Responsabilidade do órgão de gestão e quadro de gestão do risco das TIC nos Articles 5 e 6 | Responsabilização no Article 5(2) e responsabilidade no Article 24 | GOVERN, especialmente GV.RR, GV.RM e GV.OV | EDM03 otimização do risco | Atas do Conselho, cartas de funções, registos de formação |
| Medidas de gestão de riscos | Medidas técnicas, operacionais e organizacionais no Article 21 | Quadro de gestão do risco das TIC | Segurança do tratamento no Article 32 | GOVERN, IDENTIFY, PROTECT | APO13 segurança gerida | Registo de riscos, plano de tratamento, SoA |
| Notificação de incidentes | Alerta precoce, notificação de incidente e relatório final no Article 23 | Notificação de incidentes graves relacionados com TIC nos Articles 17 a 20 | Notificação de violação de dados pessoais nos Articles 33 e 34, quando aplicável | RESPOND e RECOVER | DSS02 pedidos de serviço e incidentes geridos | Matriz de escalonamento, manuais operacionais, simulações |
| Governação de fornecedores | Segurança da cadeia de fornecimento no Article 21(2)(d) | Risco de terceiros TIC nos Articles 28 a 30 | Obrigações do subcontratante e de segurança | GV.SC gestão do risco de cibersegurança na cadeia de fornecimento | APO10 fornecedores geridos | Registo de fornecedores, diligência prévia, controlos contratuais |
| Eficácia e garantia | Políticas e procedimentos para avaliar a eficácia no Article 21(2)(f) | Revisão do quadro de gestão do risco das TIC e expectativas de auditoria no Article 6 | Testes e avaliação regulares no Article 32(1)(d) | Supervisão GV.OV, avaliação de riscos ID.RA, monitorização contínua DE.CM | Monitorização e conformidade MEA01 e MEA03 | Auditoria interna, revisão pela gestão, ações corretivas |
A DORA merece atenção especial. O Article 4 da NIS2 reconhece que atos jurídicos setoriais da UE podem afastar disposições sobrepostas da NIS2 quando se apliquem medidas equivalentes de gestão de riscos de cibersegurança ou de notificação de incidentes. A DORA é o principal exemplo para entidades financeiras. Aplica-se a partir de 17 de janeiro de 2025 e cria um quadro uniforme de gestão do risco das TIC, notificação de incidentes, testes de resiliência, gestão de risco de terceiros e supervisão para os serviços financeiros.
Um prestador SaaS ou de serviços em nuvem pode não ser diretamente regulado como um banco, mas a DORA pode chegar através de contratos de clientes. As entidades financeiras devem gerir o risco de terceiros TIC, manter registos de contratos de serviços TIC, realizar diligência prévia, avaliar risco de concentração, incluir direitos de auditoria e inspeção, definir direitos de cessação e manter estratégias de saída. Isto significa que os prestadores que servem clientes financeiros devem esperar pedidos de evidência muito semelhantes às perguntas de governação do Conselho no âmbito da NIS2.
O RGPD da UE acrescenta responsabilização pelo tratamento de dados pessoais. O Article 5(2) exige que os responsáveis pelo tratamento sejam responsáveis e capazes de demonstrar conformidade. O Article 32 exige segurança do tratamento, incluindo testes, apreciação e avaliação regulares da eficácia das medidas técnicas e organizativas. Quando dados pessoais são afetados, os fluxos de trabalho de incidentes devem integrar a avaliação de violação de dados do RGPD da UE com o escalonamento de incidente significativo da NIS2.
O NIST CSF 2.0 acrescenta uma linguagem acessível aos executivos através da função GOVERN. Realça o contexto organizacional, a estratégia de gestão de riscos, papéis e responsabilidades, política, supervisão e gestão do risco de cibersegurança na cadeia de fornecimento. O COBIT 2019 acrescenta um vocabulário de governação familiar a comités de auditoria, especialmente através do EDM03 para otimização do risco e dos objetivos MEA para monitorização e garantia.
Um sprint de 90 dias para evidência NIS2 do Conselho
Um sprint prático de evidência pode ajudar as organizações a avançar rapidamente sem criar uma burocracia paralela.
Dias 1 a 30: estabelecer responsabilização
Comece com um registo de responsabilização NIS2 que documente:
- Análise de classificação da entidade, incluindo fundamentação para entidade essencial, importante, exposição indireta ou fora de âmbito.
- Serviços no âmbito, como SaaS, serviços em nuvem, serviços geridos, centro de dados, DNS, serviços de confiança ou serviços relacionados com comunicações.
- Estados-Membros da UE onde os serviços são prestados.
- Setores de clientes afetados, especialmente serviços financeiros, saúde, transportes, energia, administração pública e infraestrutura digital.
- Obrigações aplicáveis, incluindo NIS2 Article 20, Article 21 e Article 23.
- Obrigações relacionadas decorrentes da DORA, do RGPD da UE, de contratos com clientes e de seguro cibernético.
- Proprietário de gestão e frequência de reporte ao Conselho.
Associe isto ao contexto da ISO/IEC 27001:2022, partes interessadas, registo de obrigações e âmbito do SGSI. Em seguida, atualize a Matriz de Autoridade de Risco utilizando o requisito da Política de Gestão de Riscos que exige a definição de limiares de escalonamento para a alta direção ou o Conselho.
Desencadeadores úteis de escalonamento incluem risco residual acima do apetite ao risco, vulnerabilidades críticas não aceites após o SLA, risco de concentração de fornecedores, constatações de auditoria elevadas não resolvidas, incidentes que possam acionar reporte NIS2, exceções a requisitos de MFA, cópia de segurança, registo de eventos, cifragem ou resposta a incidentes, e alterações materiais à arquitetura de nuvem.
Dias 31 a 60: aprovar o tratamento de riscos
Utilize o Zenith Blueprint Etapa 13 para preparar um pacote de decisão do Conselho relativo ao plano de tratamento de riscos e à Declaração de Aplicabilidade. O pacote deve incluir:
- Os 10 principais riscos cibernéticos.
- Opção de tratamento proposta para cada risco.
- Grupos de controlos selecionados.
- Risco residual após o tratamento.
- Riscos propostos para aceitação.
- Decisões de orçamento ou recursos necessárias.
- Dependências de fornecedores, jurídico, RH, produto e TI.
- Decisão de gestão solicitada.
O resultado deve ser uma aprovação assinada ou registada em ata. Um conjunto de slides, por si só, não é suficiente.
Mapeie também as medidas do Article 21 da NIS2 para cláusulas da ISO/IEC 27001:2022 e controlos do Anexo A. Isto permite à organização demonstrar que a NIS2 está a ser tratada através do SGSI, e não através de uma lista de verificação desconexa.
Dias 61 a 90: testar a notificação de incidentes e rever a evidência
O Article 23 da NIS2 exige reporte faseado para incidentes significativos: alerta precoce no prazo de 24 horas, notificação de incidente no prazo de 72 horas, atualizações intermédias quando exigidas ou solicitadas, e relatório final no prazo máximo de um mês após a notificação.
Realize um exercício de simulação com o patrocinador do Conselho, CEO, CISO, jurídico, comunicações, sucesso do cliente e operações. Utilize um cenário realista, como uma configuração incorreta na nuvem que exponha metadados de clientes, perturbe a disponibilidade do serviço e afete um cliente regulado.
Teste quem decide se o incidente pode ser significativo, quem contacta a assessoria jurídica, quem notifica as autoridades competentes ou o CSIRT quando exigido, quem aprova as comunicações a clientes, como a evidência é preservada, como as obrigações de violação de dados do RGPD da UE são avaliadas em paralelo e como o Conselho é atualizado durante as primeiras 24 horas.
Depois, realize uma revisão formal pela gestão. O Zenith Blueprint, fase de Auditoria, Revisão e Melhoria, Etapa 28, explica porquê:
“A revisão pela gestão não é apenas uma apresentação; trata-se de tomar decisões.”
Essa revisão deve incluir constatações de auditoria, progresso do tratamento de riscos, preparação para incidentes, riscos de fornecedores, métricas, decisões, ações atribuídas e proprietários de seguimento.
A reunião de revisão pela gestão que realmente funciona
Muitas revisões pela gestão falham porque são estruturadas como atualizações de estado. Uma revisão pela gestão preparada para a NIS2 deve ser uma reunião de decisão.
A agenda deve incluir:
- Alterações em requisitos da NIS2, DORA, RGPD da UE, contratuais e de clientes.
- Alterações no contexto de negócio, serviços, aquisições, fornecedores, arquitetura de nuvem e segmentos de clientes regulados.
- Estado dos principais riscos de segurança da informação e do risco residual face ao apetite ao risco.
- Progresso do plano de tratamento de riscos e ações em atraso.
- Tendências de incidentes, eventos significativos, quase-incidentes e preparação para reporte.
- Riscos de fornecedores e de dependência TIC, incluindo preocupações de concentração e saída.
- Resultados de auditorias internas, auditorias externas, avaliações de clientes e testes de intrusão.
- Sensibilização para a segurança e conclusão da formação de executivos.
- Métricas de controlo de acesso, gestão de vulnerabilidades, cópias de segurança, registo de eventos, monitorização, desenvolvimento seguro e testes de continuidade.
- Decisões necessárias, incluindo aceitação do risco, orçamento, dotação de pessoal, exceções às políticas, remediação de fornecedores e melhorias de controlos.
A formação de executivos é especialmente importante. O Article 20 da NIS2 exige que os membros do órgão de gestão realizem formação. A Information Security Awareness and Training Policy Política de Sensibilização e Formação em Segurança da Informação, cláusula 5.1.2.4, inclui explicitamente tópicos de formação executiva:
“Executivos (por exemplo, governação, aceitação do risco, obrigações legais)”
A formação cibernética executiva deve focar-se em direitos de decisão, responsabilidade, escalonamento, apetite ao risco, governação de crise, notificação de incidentes e obrigações regulamentares. Não deve limitar-se à sensibilização para phishing.
Como auditores e clientes testarão a supervisão do Conselho
Diferentes avaliadores usarão linguagens diferentes, mas testarão a mesma pergunta subjacente: a cibersegurança está sujeita a governação?
O Zenith Controls é valioso porque inclui mapeamentos de metodologia de auditoria. Para responsabilidades da gestão, referencia os princípios e a condução de auditorias da ISO/IEC 19011:2018, práticas de auditoria de SGSI da ISO/IEC 27007:2020, a cláusula 5.1 da ISO/IEC 27001:2022, COBIT 2019 EDM01 e EDM03, ISACA ITAF Section 1401, e NIST SP 800-53A PM-1 e PM-2. Para revisão independente, mapeia para as cláusulas 9.2 e 9.3 da ISO/IEC 27001:2022, práticas de planeamento de auditoria e evidência da ISO/IEC 27007, ISACA ITAF Section 2400 e métodos de avaliação NIST. Para cumprimento de políticas, mapeia para as cláusulas 9.1, 9.2 e 10.1 da ISO/IEC 27001:2022, recolha de evidência da ISO/IEC 19011, COBIT 2019 MEA01 e avaliação de monitorização contínua NIST.
| Perspetiva do auditor | O que vai perguntar | Evidência esperada | Falha comum |
|---|---|---|---|
| Auditor ISO/IEC 27001:2022 | Como demonstra a alta direção liderança, aprova o tratamento de riscos e revê o desempenho do SGSI? | Aprovações de políticas, registo de riscos, aprovação da SoA, atas de revisão pela gestão, resultados de auditoria interna | A revisão pela gestão existe, mas não inclui decisões nem acompanhamento de ações |
| Avaliador focado na NIS2 | O órgão de gestão aprovou medidas de cibersegurança e supervisionou a sua implementação? | Atas do Conselho, matriz de escalonamento, registos de formação de executivos, mapeamento da base do Article 21 | Medidas de segurança aprovadas apenas pelo CISO, sem rastreabilidade até ao Conselho |
| Avaliador NIST CSF 2.0 | Os resultados de governação, apetite ao risco, papéis, recursos, supervisão e risco da cadeia de fornecimento estão integrados na gestão de riscos empresarial? | Perfis atuais e alvo, plano de lacunas, reporte à liderança, métricas | NIST usado como lista de verificação sem propriedade de governação |
| Auditor COBIT 2019 ou ISACA | A governação avalia, orienta e monitoriza a gestão do risco cibernético? | Cartas de governação, apetite ao risco, reporte de gestão, resultados de garantia | O Conselho recebe métricas técnicas, mas sem contexto de decisão de risco |
| Cliente DORA ou avaliador do setor financeiro | Os riscos TIC, incidentes, resiliência e dependências de terceiros são sujeitos a governação e documentados? | Mapa de dependências TIC, registo de fornecedores, diligência prévia, direitos de auditoria, ciclo de vida de incidentes | O risco de fornecedores baseia-se apenas em questionários, sem análise de concentração ou saída |
| Auditor RGPD da UE ou avaliador de privacidade | A organização consegue demonstrar segurança e responsabilização pelo tratamento de dados pessoais? | Mapas de dados, modelo de fundamento de licitude, processo de avaliação de violação, controlos de segurança | A evidência de privacidade e segurança está separada e inconsistente |
A lição é simples. A responsabilização do Conselho não é evidenciada apenas por presença em reuniões. É evidenciada por decisões informadas, aprovações documentadas, priorização baseada no risco, alocação de recursos e seguimento.
Armadilhas comuns que quebram a cadeia de evidência
As organizações que têm dificuldade com a responsabilização do órgão de gestão no âmbito da NIS2 tendem a cair em padrões previsíveis.
Primeiro, confundem a operação de controlos técnicos com governação. Cobertura de MFA, alertas SIEM, implementação de EDR e taxas de sucesso de cópias de segurança são relevantes, mas o Conselho precisa de contexto de risco, decisões de tratamento e garantia de que os controlos funcionam.
Segundo, aprovam políticas, mas não o tratamento de riscos. Uma política de segurança assinada não demonstra que o Conselho aprovou medidas proporcionadas de cibersegurança. O plano de tratamento de riscos e a SoA são evidência mais forte porque ligam riscos, controlos, risco residual e aprovação da gestão.
Terceiro, não têm limiares de escalonamento. Sem uma Matriz de Autoridade de Risco, o escalonamento depende de pessoas. A governação NIS2 precisa de desencadeadores objetivos.
Quarto, separam a resposta a incidentes do reporte regulamentar. Os fluxos de reporte NIS2, DORA e RGPD da UE devem ser integrados antes de uma crise.
Quinto, ignoram a governação de fornecedores. O Article 21 da NIS2 inclui segurança da cadeia de fornecimento e considerações sobre vulnerabilidades de fornecedores. Clientes motivados pela DORA podem esperar uma governação de terceiros TIC mais aprofundada, incluindo diligência prévia, direitos de auditoria, risco de concentração, direitos de cessação e estratégias de saída.
Sexto, não formam os executivos. A formação cibernética executiva não é um detalhe opcional de imagem no âmbito da NIS2. Faz parte da cadeia de evidência de governação.
Como se apresenta um bom resultado
Após 90 dias, uma pasta credível de evidência NIS2 para o Conselho deve conter:
- Avaliação de aplicabilidade.
- Âmbito do SGSI e registo de obrigações.
- Declaração de compromisso da liderança.
- Limiares de apetite ao risco e tolerância ao risco.
- Matriz de Autoridade de Risco.
- Registo de riscos cibernéticos.
- Plano de tratamento de riscos.
- Declaração de Aplicabilidade.
- Atas de aprovação do Conselho.
- Registos de formação de executivos.
- Relatório de exercício de simulação de incidentes.
- Painel de risco de fornecedores.
- Relatório de auditoria interna.
- Atas de revisão pela gestão e ferramenta de acompanhamento de ações.
Esta pasta responde ao questionário de cliente que a Maria recebeu na manhã de segunda-feira. Mais importante, ajuda o Conselho a governar o risco cibernético antes de um incidente, auditoria ou regulador testar publicamente a organização.
Transformar a responsabilidade do Conselho no âmbito da NIS2 em governação pronta para auditoria
A NIS2 mudou a conversa sobre cibersegurança. Os órgãos de gestão devem aprovar medidas de gestão de riscos de cibersegurança, supervisionar a implementação e realizar formação. O Article 21 exige um conjunto integrado de medidas técnicas, operacionais e organizacionais. O Article 23 comprime a notificação de incidentes numa linha temporal faseada que exige preparação antes da crise.
A ISO/IEC 27001:2022 fornece o sistema de gestão. A Clarysec fornece o roteiro de implementação, a linguagem de políticas, os mapeamentos de conformidade transversal e o modelo de evidência de auditoria.
Se o seu Conselho pergunta: “O que precisamos de aprovar e como demonstramos supervisão?”, comece por três ações:
- Utilize o Zenith Blueprint Etapa 3, Etapa 13 e Etapa 28 para estruturar o compromisso da liderança, a aprovação do tratamento de riscos e a revisão pela gestão.
- Utilize políticas da Clarysec como a Política de Gestão de Riscos, a Política de Papéis e Responsabilidades de Governação, a Política de Segurança da Informação e os equivalentes para PME para formalizar responsabilização e rastreabilidade.
- Utilize o Zenith Controls para mapear a supervisão do Conselho no âmbito da NIS2 para ISO/IEC 27001:2022, ISO/IEC 27002:2022, DORA, RGPD da UE, NIST CSF 2.0, COBIT 2019 e expectativas de metodologia de auditoria.
A Clarysec pode ajudá-lo a criar o pacote para o Conselho, atualizar a cadeia de evidência do SGSI, preparar a revisão pela gestão e transformar a responsabilização NIS2 num processo repetível de governação do risco cibernético que auditores, clientes e executivos conseguem compreender. Descarregue os kits relevantes da Clarysec ou solicite uma avaliação para transformar a responsabilidade do Conselho em evidência pronta para auditoria.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
