Evidência da higiene de cibersegurança da NIS2 mapeada para a ISO 27001
São 08:40 de uma segunda-feira. Sarah, CISO de um fornecedor B2B SaaS em rápido crescimento, entra na chamada da liderança à espera de uma revisão de rotina das ações de risco em aberto. Em vez disso, o diretor jurídico começa com uma pergunta mais direta:
“Se a autoridade nacional competente nos pedir amanhã para comprovar a higiene de cibersegurança e a formação em cibersegurança do Article 21 da NIS2, o que enviamos exatamente?”
A diretora de Recursos Humanos diz que todos os colaboradores concluíram a formação anual de sensibilização. O gestor do SOC diz que as simulações de phishing estão a melhorar. O responsável de Operações de TI diz que a MFA está aplicada, as cópias de segurança são testadas e a aplicação de patches é acompanhada. O gestor de conformidade diz que o dossiê de auditoria ISO/IEC 27001:2022 contém registos de formação, mas a equipa do projeto DORA tem a sua própria evidência de formação em resiliência, enquanto a pasta do RGPD da UE contém registos separados de sensibilização para a privacidade.
Todos fizeram trabalho. Ninguém tem a certeza de que a evidência conte uma história coerente.
Esse é o verdadeiro problema do Article 21 da NIS2 para entidades essenciais e importantes. O requisito não é simplesmente “formar utilizadores”. O Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionais para gerir o risco cibernético. O seu conjunto mínimo de controlos inclui higiene de cibersegurança e formação em cibersegurança, mas também tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, tratamento de vulnerabilidades, criptografia, segurança de Recursos Humanos, controlo de acesso, gestão de ativos, MFA ou autenticação contínua, comunicações seguras e procedimentos para avaliar a eficácia.
A higiene de cibersegurança não é uma campanha de sensibilização. É a disciplina operacional diária que liga pessoas, controlos, evidência e responsabilização da gestão.
Para CISO, gestores de conformidade, MSPs, fornecedores SaaS, operadores de serviços em nuvem e prestadores de serviços digitais, a resposta prática não é criar um “projeto de formação NIS2” separado. A abordagem mais robusta é construir uma única cadeia de evidência pronta para auditoria dentro de um SGSI ISO/IEC 27001:2022, suportada por práticas de controlo ISO/IEC 27002:2022, gerida com base no risco através da ISO/IEC 27005:2022 e referenciada de forma cruzada com NIS2, DORA, RGPD da UE, garantia ao estilo NIST e expectativas de governação COBIT 2019.
Porque é que o Article 21 da NIS2 transforma a formação em evidência para o conselho de administração
A NIS2 aplica-se a muitas entidades médias e grandes dos setores do Anexo I e do Anexo II que prestam serviços ou exercem atividades na União. Para empresas tecnológicas, o âmbito pode ser mais amplo do que muitas equipas de liderança esperam. O Anexo I abrange infraestruturas digitais, incluindo prestadores de serviços de computação em nuvem, prestadores de serviços de centros de dados, prestadores de redes de distribuição de conteúdos, prestadores de serviços de confiança, prestadores de serviços DNS e registos de TLD. O Anexo I também abrange a gestão de serviços TIC B2B, incluindo prestadores de serviços geridos e prestadores de serviços de segurança geridos. O Anexo II inclui prestadores digitais, como mercados em linha, motores de pesquisa em linha e plataformas de serviços de redes sociais.
Algumas entidades podem estar no âmbito independentemente da sua dimensão, incluindo determinados prestadores de serviços DNS e registos de TLD. As decisões nacionais de criticidade também podem trazer fornecedores mais pequenos para o âmbito quando uma interrupção possa afetar a segurança pública, gerar risco sistémico ou comprometer serviços essenciais.
O Article 21(1) exige que as entidades essenciais e importantes implementem medidas técnicas, operacionais e organizacionais adequadas e proporcionais para gerir os riscos dos sistemas de rede e informação utilizados nas operações ou na prestação de serviços, bem como para prevenir ou minimizar o impacto de incidentes. O Article 21(2) enumera as medidas mínimas, incluindo políticas de análise de riscos e segurança dos sistemas de informação, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, aquisição e manutenção seguras, avaliação da eficácia, práticas básicas de higiene de cibersegurança e formação em cibersegurança, criptografia, segurança de Recursos Humanos, controlo de acesso, gestão de ativos e MFA ou autenticação contínua quando adequado.
O Article 20 eleva o nível de exigência. Os órgãos de gestão devem aprovar as medidas de gestão de riscos de cibersegurança, supervisionar a sua implementação e podem ser responsabilizados por infrações. Os membros dos órgãos de gestão devem receber formação, e as entidades são incentivadas a proporcionar formação regular semelhante aos colaboradores para que possam identificar riscos e avaliar as práticas de gestão de riscos de cibersegurança e o seu impacto nos serviços.
O Article 34 acrescenta pressão financeira. Infrações ao Article 21 ou ao Article 23 podem desencadear coimas administrativas de pelo menos EUR 10,000,000 ou 2% do volume de negócios anual mundial para entidades essenciais, e de pelo menos EUR 7,000,000 ou 1.4% para entidades importantes, consoante o montante mais elevado.
É por isso que “realizámos formação anual de sensibilização” não é suficiente. Um regulador, auditor ISO, avaliador de segurança de clientes ou seguradora cibernética esperará evidência de que a formação é baseada em funções, baseada no risco, atual, medida, ligada a incidentes e compreendida pela gestão.
A Política de sensibilização e formação em segurança da informação empresarial da Clarysec, cláusula 5.1.1.3, exige que a formação:
Cubra temas como phishing, higiene das palavras-passe, notificação e gestão de incidentes, segurança física e proteção e minimização de dados
A mesma política, cláusula 8.3.1.1, identifica a linha de evidência que os auditores normalmente pedem primeiro:
Registos de atribuição, confirmação e conclusão de formação
Para PME, a Política de sensibilização e formação em segurança da informação - PME da Clarysec, cláusula 8.4.1, é ainda mais direta quanto à auditabilidade:
Os registos de formação estão sujeitos a auditoria interna e revisão externa. Os registos devem ser exatos, completos e demonstráveis mediante pedido (por exemplo, para certificação ISO, auditoria do RGPD da UE ou validação de seguro).
Essa frase capta a diferença entre sensibilização como atividade de Recursos Humanos e sensibilização como controlo de conformidade. Se os registos estiverem incompletos, não forem verificáveis ou não estiverem ligados ao risco da função, o controlo pode existir operacionalmente, mas falhar em auditoria.
Use a ISO/IEC 27001:2022 como espinha dorsal da evidência
A ISO/IEC 27001:2022 é a base natural para o Article 21 da NIS2 porque obriga a organização a definir âmbito, partes interessadas, riscos, controlos, objetivos, evidência, auditoria interna, revisão pela gestão e melhoria contínua.
As cláusulas 4.1 a 4.4 exigem que a organização compreenda questões internas e externas, determine as partes interessadas e os seus requisitos, defina o âmbito do SGSI, considere interfaces e dependências com atividades executadas por outras organizações e mantenha o SGSI como um conjunto de processos interativos. Para um fornecedor SaaS ou MSP, o âmbito do SGSI deve incluir explicitamente obrigações NIS2, obrigações contratuais de clientes, dependências de prestadores de serviços em nuvem, cobertura de SOC externalizado, funções de tratamento de dados e compromissos de disponibilidade do serviço.
As cláusulas 5.1 a 5.3 introduzem a responsabilização de governação. A alta direção deve alinhar a política e os objetivos de segurança da informação com a direção estratégica, integrar os requisitos do SGSI nos processos de negócio, fornecer recursos, atribuir responsabilidades e assegurar o reporte de desempenho. Isto alinha-se diretamente com o Article 20 da NIS2, em que os órgãos de gestão aprovam e supervisionam as medidas de gestão de riscos de cibersegurança.
As cláusulas 6.1.1 a 6.1.3 e 6.2 convertem expectativas legais em tratamento de riscos. A organização deve planear ações para riscos e oportunidades, operar um processo repetível de avaliação de riscos de segurança da informação, determinar proprietários do risco, selecionar opções de tratamento, comparar controlos com o Anexo A, criar uma Declaração de Aplicabilidade, formular um plano de tratamento, obter aprovação dos proprietários do risco e definir objetivos de segurança mensuráveis.
É aqui que o Article 21 da NIS2 se torna gerível. Não precisa de um programa de sensibilização NIS2 desligado. Precisa de uma narrativa mapeada de risco e controlos.
| Área de requisito NIS2 | Mecanismo de evidência ISO/IEC 27001:2022 | Evidência prática |
|---|---|---|
| Aprovação e supervisão pela gestão | Cláusulas 5.1, 5.3, 9.3 | Atas do conselho de administração, pacote de revisão pela gestão, atribuições de funções, aprovações orçamentais |
| Higiene de cibersegurança e formação | Cláusula 7.2, Cláusula 7.3, controlos de pessoas e tecnologia do Anexo A | Plano de formação, exportações do LMS, matriz de funções, resultados de phishing, confirmações da política |
| Análise de riscos e política de segurança | Cláusulas 6.1.2, 6.1.3, 6.2 | Avaliação de riscos, plano de tratamento de riscos, Declaração de Aplicabilidade, objetivos de segurança |
| Avaliação da eficácia | Cláusulas 9.1, 9.2, 10.2 | KPIs, resultados de auditoria interna, ações corretivas, resultados de testes de controlo |
| Tratamento de incidentes e preparação para reporte | Controlos de gestão de incidentes do Anexo A | Procedimentos operacionais de incidentes, registos de escalonamento, relatórios de exercícios tabletop, registos de preservação de evidência |
| Cadeia de fornecimento e dependência de serviços em nuvem | Controlos de fornecedores e serviços em nuvem do Anexo A | Registo de fornecedores, diligência prévia, contratos, planos de saída, revisões de serviço |
| Acesso, gestão de ativos e MFA | Controlos de acesso, ativos e identidade do Anexo A | Inventário de ativos, revisão de acessos, relatórios de MFA, evidência de acesso privilegiado |
As cláusulas 8.1 a 8.3, 9.1 a 9.3 e 10.1 a 10.2 completam o ciclo operacional. Exigem controlo operacional planeado, reavaliação de riscos, implementação de planos de tratamento, monitorização e medição, auditoria interna, revisão pela gestão, melhoria contínua e ação corretiva. A ISO/IEC 27001:2022 torna-se o motor de evidência do Article 21 da NIS2, não apenas um selo de certificação.
Traduza a higiene de cibersegurança em âncoras de controlo ISO
“Higiene de cibersegurança” é intencionalmente ampla. Para auditores, tem de ser traduzida em controlos específicos e testáveis. A Clarysec normalmente inicia a evidência de higiene de cibersegurança do Article 21 da NIS2 com três âncoras de controlo práticas da ISO/IEC 27002:2022, interpretadas através do Zenith Controls: guia de conformidade cruzada.
A primeira âncora é o controlo 6.3 da ISO/IEC 27002:2022, sensibilização, educação e formação em segurança da informação. No Zenith Controls, o 6.3 é tratado como um controlo preventivo que suporta confidencialidade, integridade e disponibilidade. A sua capacidade operacional é a segurança de recursos humanos, e o seu conceito de cibersegurança é proteger. Isto enquadra a sensibilização como um controlo de proteção, não como um exercício de comunicação.
O Zenith Controls também mostra como o 6.3 depende de outros controlos e os reforça. Liga-se ao 5.2, papéis e responsabilidades de segurança da informação, porque a formação deve refletir responsabilidades atribuídas. Liga-se ao 6.8, reporte de eventos de segurança da informação, porque o pessoal não consegue reportar o que não reconhece. Liga-se ao 8.16, atividades de monitorização, porque os analistas SOC e o pessoal de operações precisam de formação para reconhecer anomalias e seguir protocolos de resposta. Liga-se ao 5.36, conformidade com políticas, regras e normas de segurança da informação, porque as políticas só funcionam quando as pessoas as compreendem.
Como o Zenith Controls afirma para o controlo 6.3 da ISO/IEC 27002:2022:
A conformidade depende da sensibilização. O 6.3 garante que os colaboradores conhecem as políticas de segurança e compreendem a sua responsabilidade pessoal no cumprimento das mesmas. A educação e a formação regulares mitigam o risco de violações não intencionais de políticas por desconhecimento.
A segunda âncora é o controlo 5.10 da ISO/IEC 27002:2022, utilização aceitável da informação e de outros ativos associados. A higiene de cibersegurança depende de as pessoas compreenderem o que podem fazer com endpoints, unidades de armazenamento em nuvem, ferramentas SaaS, plataformas de colaboração, suportes amovíveis, dados de produção, dados de teste e ferramentas com IA. O Zenith Controls mapeia o 5.10 como um controlo preventivo transversal à gestão de ativos e à proteção da informação. Na prática, a evidência de utilização aceitável não é apenas uma política assinada. Inclui prova de que a política cobre o parque real de ativos, de que a integração inclui confirmação, de que a monitorização suporta a aplicação e de que as exceções são tratadas.
A terceira âncora é o controlo 5.36 da ISO/IEC 27002:2022, conformidade com políticas, regras e normas de segurança da informação. Esta é a ponte de auditoria. O Zenith Controls mapeia o 5.36 como um controlo preventivo de governação e garantia. Liga-se ao 5.1, políticas de segurança da informação, ao 6.4, processo disciplinar, ao 5.35, revisão independente da segurança da informação, ao 5.2, papéis e responsabilidades, ao 5.25, avaliação e decisão sobre eventos de segurança da informação, ao 8.15, registo, ao 8.16, atividades de monitorização, e ao 5.33, proteção de registos.
Para o Article 21 da NIS2, isto é crucial. Reguladores e auditores não perguntam apenas se existe uma política. Perguntam se o cumprimento é monitorizado, se as violações são detetadas, se a evidência é protegida, se há ação corretiva e se a gestão vê os resultados.
Construa um pacote de evidência de higiene de cibersegurança e formação NIS2
Considere um fornecedor SaaS de média dimensão a preparar-se tanto para a prontidão NIS2 como para uma auditoria de acompanhamento ISO/IEC 27001:2022. A organização tem 310 colaboradores, incluindo developers, SREs, agentes de suporte, equipa comercial, contratados e executivos. Presta serviços de fluxos de trabalho em nuvem a clientes da UE e depende de um prestador de serviços em nuvem de hiperescala, duas plataformas de identidade, um prestador MDR externalizado e várias ferramentas de suporte subcontratadas.
O gestor de conformidade tem exportações de formação do LMS, mas não estão mapeadas para o Article 21 da NIS2, controlos ISO, funções de negócio ou cenários de risco. Um sprint prático de remediação produz um pacote de evidência de higiene de cibersegurança e formação com seis componentes.
| Componente de evidência | O que comprova | Proprietário | Teste de auditoria |
|---|---|---|---|
| Matriz de formação baseada em funções | A formação corresponde às responsabilidades e à exposição ao risco | Gestor do SGSI e Recursos Humanos | Amostrar funções e verificar se os módulos exigidos foram atribuídos |
| Plano anual de formação | Competência e sensibilização são planeadas, não ad hoc | Gestor do SGSI | Verificar datas, temas, público-alvo, aprovação e metas de conclusão |
| Exportação de conclusão do LMS | O pessoal concluiu a formação atribuída | Recursos Humanos ou Operações de Pessoas | Reconciliar a lista de colaboradores com o relatório de conclusão, admissões e saídas |
| Relatório de simulação de phishing | A eficácia da sensibilização é medida | Operações de Segurança | Rever resultados de campanhas, utilizadores com cliques recorrentes e formação corretiva |
| Registo de confirmação da política | O pessoal aceitou regras e responsabilidades | Recursos Humanos e Conformidade | Confirmar a aceitação das políticas de segurança, utilização aceitável e notificação de incidentes |
| Resumo de revisão pela gestão | A liderança supervisiona tendências e ações corretivas | CISO e patrocinador executivo | Verificar se as atas incluem métricas, exceções, riscos e decisões |
A chave é a rastreabilidade.
Comece pelo Article 21(2)(g) da NIS2, práticas básicas de higiene de cibersegurança e formação em cibersegurança. Ligue-o às cláusulas 7.2 e 7.3 da ISO/IEC 27001:2022 para competência e sensibilização, às cláusulas 9.1 e 9.2 para monitorização e auditoria, e aos controlos do Anexo A, incluindo sensibilização, utilização aceitável, gestão de vulnerabilidades, gestão da configuração, cópias de segurança, registo, monitorização, criptografia, controlo de acesso e gestão de incidentes. Depois ligue a evidência ao Registo de Riscos.
| Grupo de funções | Risco de higiene de cibersegurança NIS2 | Formação exigida | Evidência |
|---|---|---|---|
| Todos os colaboradores | Phishing, palavras-passe fracas, notificação deficiente de incidentes, tratamento incorreto de dados | Formação básica em segurança da informação, higiene das palavras-passe, MFA, proteção de dados, notificação de incidentes | Conclusão no LMS, pontuação no questionário, confirmação da política |
| Executivos | Aceitação do risco, responsabilidade legal, decisões de crise, supervisão de reporte | Deveres de governação, responsabilidades da gestão NIS2, escalonamento de incidentes, apetite ao risco | Presença em workshop executivo, pacote para o conselho de administração, registo de decisões |
| Developers | Vulnerabilidades, código inseguro, exposição de segredos, dados de teste inseguros | Desenvolvimento seguro, gestão de dependências, divulgação de vulnerabilidades, minimização de dados | Registo de formação, lista de verificação de SDLC seguro, amostras de revisão de código |
| SRE e Operações de TI | Configuração incorreta, atraso na aplicação de patches, falha de cópia de segurança, lacunas de registo | Gestão de patches, configuração segura, restauro de cópias de segurança, monitorização, resposta a incidentes | Relatório de patches, teste de cópia de segurança, evidência de alertas SIEM, relatório tabletop |
| Suporte ao cliente | Engenharia social, divulgação não autorizada, violação de privacidade | Verificação de identidade, tratamento de dados, escalonamento, reporte de violações | Revisão de acessos ao CRM, registo de formação, amostra de QA de suporte |
| Contratados com acesso | Obrigações pouco claras, acesso não gerido, fuga de dados | Integração de segurança condensada, utilização aceitável, via de reporte | Confirmação do contratado, aprovação de acesso, evidência de offboarding |
A Política de sensibilização e formação em segurança da informação empresarial suporta esta estrutura. A cláusula 5.1.2.4 inclui explicitamente temas de formação para executivos:
Executivos (por exemplo, governação, aceitação do risco, obrigações legais)
Essa linha é relevante ao abrigo do Article 20 da NIS2 porque a formação da gestão não é opcional. Se o conselho de administração aprovar medidas de gestão de riscos, mas não conseguir explicar aceitação do risco, limiares de incidentes ou rotinas de supervisão, a cadeia de evidência quebra-se.
A Política de Segurança da Informação - PME da Clarysec, cláusula 6.4.1, mostra como a higiene de cibersegurança se transforma em comportamento de controlo diário:
Os controlos de segurança obrigatórios devem ser aplicados de forma consistente, incluindo cópias de segurança regulares, atualizações de antivírus, palavras-passe robustas e eliminação segura de documentos sensíveis.
Esta é uma formulação concisa para PME da higiene de cibersegurança prática. O auditor continuará a querer evidência, como relatórios de tarefas de cópia de segurança, cobertura EDR, configuração de palavras-passe ou MFA e registos de eliminação segura, mas a política estabelece o comportamento esperado.
Mapeie o Article 21 da NIS2 para evidência de auditoria
Os auditores testam a operação dos controlos, não slogans. Seguirão o fio condutor desde o requisito legal até ao âmbito do SGSI, avaliação de riscos, Declaração de Aplicabilidade, política, procedimento, evidência e revisão pela gestão.
| Área do Article 21 da NIS2 | Mapeamento ISO/IEC 27001:2022 ou ISO/IEC 27002:2022 | Referência Clarysec | Evidência principal de auditoria |
|---|---|---|---|
| Formação em cibersegurança | Cláusula 7.2, Cláusula 7.3, A.6.3 sensibilização, educação e formação em segurança da informação | Política de sensibilização e formação em segurança da informação | Política de formação, plano anual, registos LMS, resultados de phishing, lista de verificação de integração, atas de formação do conselho de administração |
| Comportamento aceitável de higiene de cibersegurança | A.5.10 utilização aceitável da informação e de outros ativos associados | Política de Segurança da Informação - PME | Confirmação de utilização aceitável, registos de integração, registos de exceções, evidência de monitorização |
| Higiene de vulnerabilidades e patches | A.8.8 gestão de vulnerabilidades técnicas | Zenith Blueprint Passo 19 | Análises de vulnerabilidades, relatórios de patches, tickets de remediação, registos de aceitação do risco |
| Configuração segura | A.8.9 gestão da configuração | Zenith Blueprint Passo 19 | Referenciais seguros, revisões de configuração, aprovações de alterações, relatórios de desvios |
| Resiliência e recuperação | A.8.13 cópias de segurança da informação | Política de Segurança da Informação - PME | Registos de cópias de segurança, testes de restauro, revisões de falhas de cópia de segurança, evidência de recuperação |
| Deteção e resposta | A.8.15 registo, A.8.16 atividades de monitorização, A.6.8 reporte de eventos de segurança da informação | Zenith Controls | Alertas SIEM, procedimentos de monitorização, formação de notificação de incidentes, resultados de exercícios tabletop |
| Proteção criptográfica | A.8.24 utilização de criptografia | Anexo A da ISO/IEC 27001:2022 | Normas de cifragem, evidência de gestão de chaves, configuração TLS, relatórios de cifragem de armazenamento |
| Integridade da evidência | A.5.33 proteção de registos | Zenith Controls | Pastas de auditoria controladas, carimbos temporais de exportação, regras de retenção, registos de acesso |
Um regulador pode não usar terminologia ISO, mas o caminho da evidência mantém-se igual. Mostre que o requisito é identificado, sujeito a avaliação de risco, tratado, implementado, monitorizado, reportado à gestão e melhorado.
Use o Zenith Blueprint para passar do plano à evidência
O Zenith Blueprint: roteiro de 30 passos para auditores dá às equipas um caminho prático da intenção à evidência. Na fase ISMS Foundation & Leadership, Passo 5, Comunicação, Sensibilização e Competência, o Blueprint instrui as organizações a identificar as competências exigidas, avaliar as competências atuais, fornecer formação para colmatar lacunas, manter registos de competência e tratar a competência como contínua.
O item de ação do Blueprint é intencionalmente operacional:
Realize uma análise rápida das necessidades de formação. Liste os seus principais papéis no SGSI (do Passo 4) e, para cada um, registe qualquer formação ou certificação conhecida que tenham, bem como que formação adicional poderá ser útil. Liste também temas gerais de sensibilização para segurança necessários para todos os colaboradores. Com base nisto, elabore um Plano de Formação simples para o próximo ano — por exemplo, “T1: sensibilização para segurança para todo o pessoal; T2: formação avançada em resposta a incidentes para TI; T3: formação de auditor interno ISO 27001 para dois membros da equipa; …”.
Na fase Controls in Action, Passo 15, Controlos de pessoas I, o Zenith Blueprint recomenda formação anual obrigatória para todos os colaboradores, módulos específicos por função, integração de segurança de novas admissões na primeira semana, campanhas de phishing simuladas, boletins informativos, briefings de equipa, evidência de participação, boletins de segurança direcionados após ameaças emergentes e formação para contratados ou terceiros com acesso.
O Passo 16, Controlos de pessoas II, alerta que os auditores testarão a implementação, não apenas a documentação. Para trabalho remoto, os auditores podem pedir a Política de trabalho remoto, evidência de VPN ou cifragem de endpoint, implementação de MDM, restrições BYOD e registos de formação que demonstrem precauções de trabalho remoto. Se o trabalho híbrido fizer parte do modelo operacional, a evidência de formação NIS2 deve incluir utilização segura de Wi‑Fi, bloqueio de dispositivos, armazenamento aprovado, MFA e reporte de atividade suspeita a partir de ambientes domésticos.
O Passo 19, Controlos tecnológicos I, liga a higiene de cibersegurança à camada de controlos técnicos. O Zenith Blueprint recomenda rever relatórios de patches, análises de vulnerabilidades, referenciais seguros, cobertura EDR, registos de malware, alertas DLP, restauros de cópias de segurança, evidência de redundância, melhorias de registo e sincronização horária. O Article 21(2)(g) não pode ser avaliado isoladamente. Uma força de trabalho formada continua a precisar de endpoints com patches aplicados, registos monitorizados, cópias de segurança testadas e configurações seguras.
Torne o plano de formação baseado no risco com a ISO/IEC 27005:2022
Uma fraqueza comum em auditoria é um plano de formação genérico que parece igual para developers, finanças, suporte, executivos e contratados. A ISO/IEC 27005:2022 ajuda a evitar essa fraqueza ao tornar a formação parte do tratamento de riscos.
A cláusula 6.2 recomenda identificar os requisitos básicos das partes interessadas relevantes e o estado de conformidade, incluindo o Anexo A da ISO/IEC 27001:2022, outras normas de SGSI, requisitos setoriais, regulamentos nacionais e internacionais, regras internas de segurança, controlos de segurança contratuais e controlos já implementados através de tratamento de riscos anterior. Isto suporta um único registo de requisitos em vez de folhas de cálculo separadas para NIS2, ISO, DORA, RGPD da UE, clientes e seguros.
As cláusulas 6.4.1 a 6.4.3 explicam que os critérios de aceitação e avaliação do risco devem considerar aspetos legais e regulamentares, atividades operacionais, relações com fornecedores, restrições tecnológicas e financeiras, privacidade, dano reputacional, incumprimentos contratuais, incumprimentos de níveis de serviço e impactos em terceiros. Um incidente de phishing que afeta um sistema interno de newsletter é diferente de um comprometimento de credenciais que afeta um serviço de segurança gerido, uma plataforma de suporte ao cliente, uma integração de pagamentos ou uma operação DNS.
As cláusulas 7.1 a 7.2.2 exigem avaliação de riscos consistente e reproduzível, incluindo riscos de confidencialidade, integridade e disponibilidade, e proprietários do risco nomeados. As cláusulas 8.2 a 8.6 orientam depois a seleção de tratamento, a determinação de controlos, a comparação com o Anexo A, a documentação da Declaração de Aplicabilidade e o detalhe do plano de tratamento.
A formação é um tratamento, mas não o único. Se simulações de phishing repetidas mostrarem que utilizadores da área financeira são vulneráveis a fraude de faturas, o plano de tratamento pode incluir formação de reciclagem, um fluxo de aprovação de pagamentos mais robusto, acesso condicional, monitorização de regras de caixa de correio e exercícios executivos com cenários de fraude.
As cláusulas 9.1, 9.2, 10.4.2, 10.5.1 e 10.5.2 enfatizam a reavaliação planeada, métodos documentados, monitorização da eficácia e atualizações quando mudam novas vulnerabilidades, ativos, utilização de tecnologia, leis, incidentes ou apetite ao risco. Isto comprova que a organização não congela o seu plano de formação uma vez por ano.
Reutilize a mesma evidência para NIS2, DORA, RGPD da UE, NIST e COBIT
O pacote de evidência NIS2 mais forte deve suportar várias conversas de garantia.
O Article 4 da NIS2 reconhece que atos jurídicos setoriais da União podem substituir as obrigações correspondentes de gestão de riscos e reporte da NIS2 quando sejam pelo menos equivalentes em efeito. O considerando 28 identifica o DORA como o regime setorial específico para entidades financeiras no âmbito. Para entidades financeiras abrangidas, as regras do DORA sobre gestão do risco das TIC, gestão de incidentes, testes de resiliência, partilha de informações e risco de terceiros TIC aplicam-se em vez das disposições correspondentes da NIS2. A NIS2 continua altamente relevante para entidades fora do DORA e para prestadores terceiros de TIC, como prestadores de serviços em nuvem, MSPs e MSSPs.
O DORA reforça a mesma lógica de sistema de gestão. Os Articles 4 a 6 exigem gestão do risco das TIC proporcional, responsabilidade do órgão de gestão, papéis TIC claros, estratégia de resiliência operacional digital, planos de auditoria TIC, orçamentos e recursos de sensibilização ou formação. Os Articles 8 a 13 exigem identificação de ativos e dependências, proteção e prevenção, controlos de acesso, autenticação forte, cópias de segurança, continuidade, resposta e recuperação, aprendizagem pós-incidente, reporte TIC sénior e formação obrigatória de sensibilização em segurança TIC e resiliência operacional digital. Os Articles 17 a 23 exigem gestão estruturada de incidentes, classificação, escalonamento e comunicações com clientes. Os Articles 24 a 30 ligam testes à governação de fornecedores, diligência prévia, contratos, direitos de auditoria e estratégias de saída.
O RGPD da UE acrescenta a camada de responsabilização de privacidade. O Article 5 exige integridade e confidencialidade através de medidas técnicas e organizativas adequadas, e o Article 5(2) exige que os responsáveis pelo tratamento demonstrem conformidade. O Article 6 exige fundamento de licitude para o tratamento, enquanto os Articles 9 e 10 impõem salvaguardas mais rigorosas para categorias especiais de dados e dados relacionados com condenações penais e infrações. Para um fornecedor SaaS, a evidência de formação deve incluir privacidade, minimização de dados, divulgação segura, escalonamento de violações e tratamento de dados de clientes específico por função.
As lentes de auditoria ao estilo NIST e COBIT 2019 aparecem frequentemente na garantia para clientes, auditoria interna e reporte ao conselho de administração. Um avaliador ao estilo NIST normalmente perguntará se a sensibilização e a formação são baseadas no risco, baseadas em funções, medidas e ligadas à resposta a incidentes, identidade, gestão de ativos e monitorização contínua. Um auditor COBIT 2019 ou ao estilo ISACA focará governação, responsabilização, métricas de desempenho, supervisão pela gestão, propriedade de processos e alinhamento com objetivos empresariais.
| Lente de framework | O que interessa ao auditor | Evidência a preparar |
|---|---|---|
| Article 21 da NIS2 | Medidas proporcionais de risco cibernético, higiene de cibersegurança, formação, supervisão pela gestão | Mapeamento do Article 21, aprovação pelo conselho de administração, plano de formação, KPIs de higiene de cibersegurança, evidência de preparação para incidentes |
| ISO/IEC 27001:2022 | Âmbito do SGSI, tratamento de riscos, competência, sensibilização, monitorização, auditoria interna, melhoria | Âmbito, Registo de Riscos, SoA, matriz de competências, registos de formação, relatório de auditoria, ações corretivas |
| DORA | Ciclo de vida do risco TIC, formação em resiliência, testes, classificação de incidentes, risco de terceiros TIC | Quadro de risco TIC, formação em resiliência, resultados de testes, procedimento de incidentes, registo de fornecedores |
| RGPD da UE | Responsabilização, proteção de dados, sensibilização para violações de privacidade, confidencialidade, minimização | Formação em privacidade, mapa de funções de tratamento, evidência de escalonamento de violações, procedimentos de tratamento de dados |
| Revisão ao estilo NIST | Sensibilização baseada em funções, operação mensurável dos controlos, monitorização, resposta | Matriz de funções, métricas de simulação, evidência de acesso, evidência de registo, resultados de tabletop |
| Revisão COBIT 2019 ou ISACA | Governação, propriedade de processos, desempenho, garantia de controlos, reporte à gestão | RACI, painel KPI, atas de revisão pela gestão, programa de auditoria interna, acompanhamento de remediação |
O benefício prático é simples: um pacote de evidência, várias narrativas de auditoria.
Como os auditores testarão o mesmo controlo
Um auditor ISO/IEC 27001:2022 começará pelo SGSI. Perguntará se os requisitos de competência e sensibilização estão determinados, se o pessoal compreende as suas responsabilidades, se os registos são retidos, se as auditorias internas testam o processo e se a revisão pela gestão considera desempenho e melhoria. Pode amostrar colaboradores e perguntar-lhes como reportar um incidente, como é usada a MFA, quais são as regras de utilização aceitável ou o que fazer após receber uma mensagem de correio eletrónico suspeita.
Uma revisão de supervisão NIS2 será mais focada em resultados e no risco para o serviço. O revisor pode perguntar como a higiene de cibersegurança reduz o risco para a prestação do serviço, como a gestão aprovou as medidas, como a formação é adaptada a serviços essenciais, como o pessoal de terceiros é abrangido, como a eficácia é avaliada e como a organização comunicaria ameaças cibernéticas ou incidentes significativos ao abrigo do Article 23. Uma vez que o Article 23 inclui um alerta precoce no prazo de 24 horas e notificação de incidente no prazo de 72 horas para incidentes significativos, a formação deve incluir reconhecimento e rapidez de escalonamento.
Um auditor DORA de uma entidade financeira ligará a sensibilização à resiliência operacional digital. Pode perguntar se a sensibilização em segurança TIC e a formação em resiliência são obrigatórias, se o reporte TIC sénior chega ao órgão de gestão, se os critérios de classificação de incidentes são compreendidos, se as comunicações de crise foram exercitadas e se os prestadores terceiros participam em formação quando contratualmente relevante.
Um auditor do RGPD da UE ou avaliador de privacidade focará se o pessoal compreende dados pessoais, funções de tratamento, confidencialidade, identificação de violações, escalonamento de violações, minimização de dados e divulgação segura. Esperará que a formação varie para suporte, Recursos Humanos, developers e administradores, porque essas funções criam riscos de privacidade diferentes.
Um auditor interno COBIT 2019 ou ISACA perguntará quem é o proprietário do processo, que objetivos suporta, como o desempenho é medido, que exceções existem, se as ações corretivas são acompanhadas e se a gestão recebe reporte significativo, não métricas de vaidade.
Constatações comuns de preparação da formação NIS2
A constatação mais comum é a cobertura incompleta da população. O relatório LMS mostra 94% de conclusão, mas os 6% em falta incluem administradores privilegiados, contratados ou novas admissões. Os auditores não aceitarão uma percentagem sem compreender quem está em falta e porquê.
A segunda constatação é a falta de diferenciação por função. Todos recebem o mesmo módulo anual, mas os developers não têm formação em desenvolvimento seguro, os agentes de suporte não têm formação em verificação de identidade e os executivos não têm formação sobre deveres de governação ou decisões de crise. O Article 20 e o Article 21 da NIS2 tornam isso difícil de defender.
A terceira constatação é evidência fraca de eficácia. Conclusão não é o mesmo que compreensão ou alteração de comportamento. Os auditores esperam cada vez mais pontuações de questionários, tendências de phishing, tendências de notificação de incidentes, lições de tabletop, redução de falhas recorrentes e ações corretivas.
A quarta constatação é higiene técnica desligada. A formação diz “reporte atividade suspeita”, mas não há canal de reporte testado. A formação diz “use MFA”, mas contas de serviço contornam MFA. A formação diz “proteja os dados”, mas dados de produção aparecem em ambientes de teste. O Article 21 espera um sistema de controlo, não slogans.
A quinta constatação é fraca integridade dos registos. A evidência é armazenada numa folha de cálculo editável sem proprietário, carimbo temporal de exportação, controlo de acesso ou reconciliação com registos de Recursos Humanos. As relações de controlo da ISO/IEC 27002:2022 no Zenith Controls apontam para a proteção de registos por uma razão. A evidência deve ser fiável.
Um sprint de remediação de 10 dias para evidência pronta para auditoria
Se a sua organização está sob pressão, comece com um sprint focado.
| Dia | Ação | Resultado |
|---|---|---|
| Dia 1 | Confirmar a aplicabilidade da NIS2 e o âmbito do serviço | Decisão de entidade essencial ou importante, serviços no âmbito, funções de suporte |
| Dia 2 | Construir o registo de requisitos | Articles 20, 21, 23 da NIS2, cláusulas ISO, controlos do Anexo A, RGPD da UE, DORA, contratos, requisitos de seguros |
| Dia 3 | Criar a matriz de formação baseada em funções | Formação mapeada para famílias profissionais, acesso privilegiado, developers, suporte, contratados, executivos |
| Dia 4 | Mapear a formação para cenários de risco | Phishing, comprometimento de credenciais, fuga de dados, ransomware, configuração incorreta, comprometimento de fornecedor, violação de privacidade |
| Dia 5 | Recolher evidência | Exportações LMS, confirmações, relatórios de phishing, registos de integração, registos de contratados, presença de executivos |
| Dia 6 | Reconciliar evidência | População de formação verificada contra registos de Recursos Humanos, grupos de identidade, contas privilegiadas, listas de contratados |
| Dia 7 | Testar a compreensão dos colaboradores | Notas de entrevista que mostram que o pessoal conhece notificação de incidentes, expectativas de MFA, tratamento de correio eletrónico suspeito, regras de dados |
| Dia 8 | Rever controlos técnicos de higiene | MFA, cópias de segurança, EDR, aplicação de patches, análise de vulnerabilidades, registo, monitorização, evidência de configuração segura |
| Dia 9 | Produzir o pacote de revisão pela gestão | Conclusão, exceções, tendências de phishing, ações abertas, funções de alto risco, incidentes, necessidades orçamentais |
| Dia 10 | Atualizar o plano de tratamento de riscos e a SoA | Risco residual, proprietários, prazos, medidas de eficácia, atualizações da Declaração de Aplicabilidade |
Esse sprint dá-lhe uma linha de base de evidência defensável. Não substitui a operação contínua do SGSI, mas cria a estrutura que reguladores e auditores esperam.
O que significa estar bem implementado
Um programa maduro de higiene de cibersegurança e formação do Article 21 da NIS2 tem cinco características.
Primeiro, é visível para o conselho de administração. A gestão aprova a abordagem, vê métricas significativas, compreende o risco residual e financia a melhoria.
Segundo, é baseado no risco. A formação difere por função, criticidade do serviço, nível de acesso, exposição de dados e responsabilidade por incidentes.
Terceiro, é orientado por evidência. Registos de conclusão, confirmações, simulações, exercícios tabletop, relatórios de higiene técnica e ações corretivas são completos, reconciliados e protegidos.
Quarto, é consciente da conformidade cruzada. A mesma evidência suporta NIS2, ISO/IEC 27001:2022, DORA, RGPD da UE, garantia ao estilo NIST e reporte de governação COBIT 2019.
Quinto, melhora. Incidentes, constatações de auditoria, alterações legais, alterações de fornecedores, novas tecnologias e ameaças emergentes atualizam o plano de formação.
Esse último ponto é a diferença entre teatro de conformidade e resiliência operacional.
Próximos passos com a Clarysec
Se a sua equipa de liderança está a perguntar “Conseguimos comprovar amanhã a higiene de cibersegurança e a formação em cibersegurança do Article 21 da NIS2?”, a Clarysec pode ajudar a passar de evidência dispersa para um pacote de evidência de SGSI pronto para auditoria.
Comece com o Zenith Blueprint para estruturar competência, sensibilização, controlos de pessoas, práticas de trabalho remoto, gestão de vulnerabilidades, cópias de segurança, registo, monitorização e ações de higiene técnica ao longo do roteiro de 30 passos.
Use o Zenith Controls para referenciar de forma cruzada a sensibilização, utilização aceitável, conformidade, monitorização, registos e expectativas de garantia da ISO/IEC 27002:2022 nas conversas de auditoria sobre NIS2, ISO/IEC 27001:2022, DORA, RGPD da UE, NIST e COBIT 2019.
Em seguida, operacionalize os requisitos através da Política de sensibilização e formação em segurança da informação, da Política de sensibilização e formação em segurança da informação - PME e da Política de Segurança da Informação - PME da Clarysec.
A sua ação imediata é simples: construa esta semana um mapa de evidência de formação do Article 21 da NIS2 com uma página. Liste funções no âmbito, formação atribuída, evidência de conclusão, confirmações da política, métricas de phishing, evidência técnica de higiene de cibersegurança, data da revisão pela gestão e ações corretivas. Se alguma célula estiver em branco, encontrou a sua próxima tarefa de remediação de auditoria.
Para um caminho mais rápido, descarregue os modelos de políticas da Clarysec, use o roteiro do Zenith Blueprint e agende uma avaliação de prontidão de evidência NIS2 para transformar os seus atuais registos de formação, controlos de higiene de cibersegurança e SGSI ISO/IEC 27001:2022 num único dossiê de auditoria defensável.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
