Mapeamento de fluxos de dados do RoPA para o RGPD da UE, NIS2 e DORA
São 09:10 de uma terça-feira e o CISO, o encarregado da proteção de dados, o responsável de compras e o diretor de operações estão na mesma videochamada, mas não estão a analisar a mesma evidência.
O encarregado da proteção de dados tem um Registo das Atividades de Tratamento, ou RoPA, que lista a integração de clientes, o processamento salarial dos trabalhadores, os pedidos de suporte e as análises de marketing. O CISO tem um inventário de ativos na cloud. A equipa de compras tem contratos com fornecedores. As operações têm uma folha de cálculo de continuidade de negócio. A área financeira tem o Registo de Informações da DORA. Ninguém consegue responder à pergunta integrada mais básica do regulador:
Se este serviço de integração de pagamentos falhar, que sistemas, fornecedores, categorias de dados, subcontratantes ulteriores, transferências transfronteiriças e funções críticas de negócio são afetados?
Esta pergunta é o verdadeiro teste de conformidade de 2026.
O RGPD da UE continua a exigir registos responsáveis nos termos do Article 30. A NIS2 transformou a cibersegurança numa matéria de responsabilização do órgão de gestão para entidades essenciais e importantes. A DORA exige que as entidades financeiras evidenciem dependências de TIC, funções críticas ou importantes, acordos com terceiros prestadores de serviços de TIC, classificação de incidentes e testes de resiliência. A ISO/IEC 27001:2022 fornece a estrutura do sistema de gestão para manter tudo isto coeso, mas apenas se o RoPA e o mapeamento de fluxos de dados forem tratados como evidência viva de governação, e não como folhas de cálculo da equipa de privacidade.
Na Clarysec, vemos o mesmo padrão em empresas SaaS, fintech, cloud, MSP e tecnologia B2B em rápido crescimento. Têm documentação suficiente para responder a um questionário, mas não evidência conectada suficiente para resistir a uma revisão por autoridade de controlo, a um incidente cibernético, a uma falha de fornecedor ou a uma auditoria interna. O problema raramente é falta de informação. É falta de ligação.
A solução é tornar o RoPA e o mapeamento de fluxos de dados na camada comum de evidência para privacidade, resiliência cibernética, gestão de fornecedores, governação cloud e continuidade de negócio.
Porque é que o RoPA e o mapeamento de fluxos de dados se tornaram uma questão de governação em 2026
O RoPA costumava ser visto como um artefacto de privacidade. Os mapas de fluxos de dados eram muitas vezes criados durante uma AIPD, uma migração para a cloud ou uma revisão da arquitetura de segurança, e depois ficavam desatualizados. Essa abordagem já não funciona.
O RGPD da UE aplica-se amplamente ao tratamento de dados pessoais no contexto de um estabelecimento na UE, e também a muitos responsáveis pelo tratamento ou subcontratantes fora da UE que oferecem bens ou serviços a pessoas na UE, ou que monitorizam o seu comportamento. Os dados pessoais abrangem informação relativa a uma pessoa identificada ou identificável. O tratamento inclui recolha, armazenamento, utilização, divulgação, restrição, apagamento e destruição. Um responsável pelo tratamento determina as finalidades e os meios, enquanto um subcontratante atua por conta de um responsável pelo tratamento.
Um RoPA não é, por isso, apenas uma lista de bases de dados. É um registo de finalidades de negócio, categorias de dados, papéis, destinatários, prazos de retenção, salvaguardas e dependências internacionais.
A NIS2 acrescenta uma perspetiva de resiliência do serviço. Coloca no âmbito muitas organizações de média e grande dimensão em setores de elevada criticidade e outros setores críticos, incluindo infraestruturas digitais, prestadores de serviços de computação em cloud, prestadores de serviços de centros de dados, redes de distribuição de conteúdos, prestadores de serviços de confiança, prestadores de redes públicas de comunicações eletrónicas, prestadores de serviços geridos e prestadores de serviços de segurança geridos. O Anexo I inclui também infraestruturas bancárias e dos mercados financeiros. Algumas entidades podem estar abrangidas independentemente da dimensão, incluindo determinados prestadores de DNS, TLD, serviços de confiança e comunicações públicas, bem como entidades cuja perturbação possa afetar significativamente a segurança pública, a saúde pública, o risco sistémico ou atividades societais e económicas críticas.
O NIS2 Article 21 exige medidas técnicas, operacionais e organizacionais proporcionadas para os sistemas de redes e informação utilizados nas operações ou na prestação de serviços. As áreas mínimas incluem análise de riscos, políticas de segurança, tratamento de incidentes, continuidade de negócio, segurança da cadeia de fornecimento, desenvolvimento seguro, avaliação da eficácia, higiene cibernética, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e autenticação.
Para uma entidade NIS2, um RoPA sem uma visão das dependências de serviço está incompleto. Um incidente significativo deve ser compreendido em termos de impacto no serviço, perturbação operacional, destinatários afetados, fornecedores e implicações transfronteiriças.
A DORA acentua o mesmo ponto para as entidades financeiras. Aplica-se a partir de 17 de janeiro de 2025 e estabelece requisitos uniformes para a gestão do risco das TIC, comunicação de incidentes graves relacionados com TIC, testes de resiliência operacional digital, partilha de informações sobre ciberameaças e vulnerabilidades, risco de terceiros prestadores de serviços de TIC e acordos contratuais com terceiros prestadores de serviços de TIC. A DORA define serviços de TIC de forma ampla como serviços digitais e de dados prestados através de sistemas de TIC de forma contínua. Define uma função crítica ou importante como aquela cuja perturbação prejudicaria materialmente o desempenho financeiro, a continuidade do serviço ou as obrigações de conformidade.
Para entidades financeiras também identificadas ao abrigo da transposição nacional da NIS2, a DORA é tratada como o ato jurídico setorial da União para requisitos equivalentes de risco de TIC, comunicação de incidentes, testes, partilha de informações e risco de terceiros. Na prática, uma fintech não pode criar um conjunto de evidência para privacidade, outro para DORA e outro para NIS2. Precisa de uma única camada de governação de dados sensível a dependências.
Essa camada é o RoPA combinado com o mapeamento de fluxos de dados.
A ISO/IEC 27001:2022 é a espinha dorsal
A ISO/IEC 27001:2022 foi concebida para este tipo de integração. Estabelece um Sistema de Gestão de Segurança da Informação escalável, ou SGSI, concebido para preservar confidencialidade, integridade e disponibilidade através da gestão de riscos. A norma destina-se a ser integrada nos processos organizacionais e ajustada às necessidades, dimensão e estrutura da organização.
O ponto de partida não é a ferramenta de diagramação. É o âmbito.
As cláusulas 4.1 a 4.4 da ISO/IEC 27001:2022 exigem que a organização defina o contexto, as partes interessadas, o âmbito do SGSI e os processos que interagem. O âmbito deve considerar obrigações legais, regulamentares e contratuais, bem como interfaces e dependências entre atividades internas e atividades executadas por outras organizações. Para o RoPA e o mapeamento de fluxos de dados, isto significa que o âmbito do SGSI deve capturar explicitamente plataformas cloud externalizadas, processadores de pagamentos, fornecedores de identidade, ferramentas de suporte, prestadores de segurança geridos e integrações SaaS críticas para o negócio.
As cláusulas 5.1 a 5.3 responsabilizam a liderança por política, recursos, atribuição de funções e reporte. Isto reflete a orientação do NIS2 Article 20, que exige que os órgãos de gestão aprovem medidas de gestão de riscos de cibersegurança, supervisionem a sua implementação e recebam formação. Também se alinha com o DORA Article 5, que atribui ao órgão de gestão a responsabilidade última pelo risco de TIC e pela supervisão de políticas, estratégia de resiliência, planos de continuidade, planos de auditoria, serviços de TIC de terceiros e canais de reporte de incidentes graves.
As cláusulas 6.1.1 a 6.1.3 fornecem o motor de planeamento: identificar riscos para a confidencialidade, integridade e disponibilidade, atribuir proprietários do risco, analisar consequências e probabilidade, selecionar opções de tratamento, comparar controlos com o Anexo A, produzir a Declaração de Aplicabilidade e obter aprovação do proprietário do risco.
É aqui que o RoPA se torna operacional. Cada atividade de tratamento e fluxo de dados deve ligar-se a riscos, controlos, fornecedores, ativos e serviços críticos. Caso contrário, continuará a ser um inventário de privacidade que não suporta resposta a incidentes, testes de resiliência ou decisões de risco de fornecedor.
O Zenith Blueprint: roteiro de 30 passos para auditores da Clarysec torna isto prático na fase de gestão de riscos, Passo 9, Identificação de ativos, ameaças e vulnerabilidades:
Para cada ativo, registe os principais detalhes: Nome/Descrição, Proprietário, Localização, e Classificação (sensibilidade). Por exemplo, um ativo pode ser “Base de dados de clientes – propriedade do Departamento de TI – alojada na AWS – contém dados pessoais e financeiros (sensibilidade elevada).”
O mesmo Passo 9 acrescenta a principal perceção de conformidade: os ativos de dados pessoais devem ser assinalados pela sua relevância para o RGPD da UE, e os ativos de serviços críticos devem ser assinalados para potencial aplicabilidade da NIS2 caso a organização esteja num setor regulado. Esta é a ponte entre RoPA, inventário de ativos e mapeamento de dependências de serviços críticos.
O que um RoPA preparado para auditoria deve conter
Um RoPA robusto não tem de ser complicado, mas tem de estar conectado.
O GDPR Article 5 exige que os dados pessoais sejam tratados de forma lícita, leal e transparente, recolhidos para finalidades específicas e legítimas, limitados ao que é necessário, mantidos exatos, conservados apenas pelo tempo necessário e protegidos através de medidas técnicas e organizacionais adequadas. O Article 5(2) exige que o responsável pelo tratamento seja responsável pelo cumprimento e capaz de o demonstrar.
O Article 6 exige um fundamento de licitude, como consentimento, necessidade contratual, obrigação legal, interesses vitais, missão de interesse público ou interesses legítimos. Se o tratamento for realizado para uma nova finalidade, a compatibilidade deve ser avaliada considerando as finalidades original e nova, o contexto da recolha, a sensibilidade, as consequências para as pessoas e salvaguardas como cifragem ou pseudonimização. O Article 9 acrescenta regras mais rigorosas para categorias especiais de dados pessoais, incluindo dados de saúde, dados biométricos usados para identificação única e outras categorias sensíveis.
O conjunto de políticas PME da Clarysec transforma isto num requisito operacional. A Política de proteção de dados e privacidade - PME estabelece:
O Coordenador de Privacidade deve manter um registo de todas as atividades de tratamento de dados pessoais, incluindo categorias de dados, finalidade, fundamento de licitude e prazos de retenção
Isto vem da secção Requisitos de governação, cláusula 5.2.1. Para organizações de maior dimensão, a Política de proteção de dados e privacidade da Clarysec atribui a responsabilidade diretamente:
Mantém o Record of Processing Activities (RoPA) em conformidade com o GDPR Article 30.
Esta redação vem de Papéis e responsabilidades, cláusula 4.2.2. A mensagem prática é simples: a propriedade do RoPA deve ser atribuída. Não pode ser uma folha de cálculo de conformidade órfã.
Um RoPA preparado para 2026 deve incluir os seguintes campos.
| Campo do RoPA | Porque é relevante | Ligação à evidência |
|---|---|---|
| Nome da atividade de tratamento | Cria um registo compreensível para o negócio | Liga ao proprietário do processo e ao âmbito do SGSI |
| Finalidade e fundamento de licitude | Suporta a responsabilização ao abrigo do RGPD da UE | Liga ao aviso de privacidade, contrato ou análise jurídica |
| Titulares dos dados e categorias de dados | Identifica exposição e sensibilidade | Liga a regras de classificação e mascaramento |
| Indicador de categoria especial ou dados de alto risco | Aciona salvaguardas reforçadas | Liga à AIPD, pseudonimização e controlos de acesso |
| Sistemas e aplicações | Liga privacidade a ativos de TIC | Liga ao inventário de ativos e à gestão de vulnerabilidades |
| Fornecedores e subcontratantes ulteriores | Mostra a cadeia externa de tratamento | Liga ao registo centralizado de fornecedores e a contratos |
| Localizações e transferências de dados | Suporta residência dos dados e revisão de transferências | Liga ao registo cloud e a salvaguardas de transferência |
| Regras de retenção e apagamento | Suporta a limitação da conservação | Liga ao calendário de retenção e à eliminação segura |
| Dependência de serviço crítico | Suporta a análise de impacto NIS2 e DORA | Liga à BIA, continuidade e classificação de incidentes |
| Controlos e evidência | Torna o RoPA auditável | Liga à SoA, ao Registo de Riscos e à evidência de testes |
As últimas linhas são o que transforma o RoPA de documentação de privacidade em evidência de ciber-resiliência. Sem sistemas, fornecedores, localizações, criticidade e controlos, um RoPA pode satisfazer uma checklist estreita do Article 30, mas falhar assim que um incidente, uma indisponibilidade ou uma revisão por autoridade de controlo exigir análise de impacto.
O mapeamento de fluxos de dados liga privacidade, cloud e serviços críticos
Se o RoPA responde a “que tratamento existe e porquê”, um mapa de fluxos de dados responde a “por onde os dados circulam, quem lhes toca, o que os protege e o que falha se o fluxo parar”.
A Política de mascaramento de dados e pseudonimização - PME da Clarysec torna o requisito inequívoco:
Deve ser criado um mapa de fluxos de dados.
Isto vem de Requisitos de governação, cláusula 5.1.1.1. A versão empresarial, Política de mascaramento de dados e pseudonimização, alarga a expectativa na cláusula 5.2.1:
Manter um inventário atualizado de sistemas e fluxos de dados que envolvem dados sensíveis.
A cláusula 5.2.2 acrescenta:
Mapear onde e como os dados são transformados, partilhados ou acedidos entre ambientes.
Auditores e reguladores não procuram diagramas artísticos. Querem compreender transformações, vias de acesso, partilha, ambientes e salvaguardas.
No Zenith Blueprint, fase Controlos em ação, Passo 22, Controlos organizacionais 5.1 a 5.18, a orientação sobre transferência de informação explica que as organizações devem definir métodos de transferência permitidos, alinhá-los com a classificação e assegurar que as partes compreendem os seus papéis e obrigações. Dá exemplos como correio eletrónico cifrado, portais seguros, SFTP, interfaces de programação de aplicações (APIs) e entrega física com cifragem. Também assinala que os dados pessoais transferidos através de fronteiras devem cumprir obrigações de privacidade e legais, e não apenas preferências internas.
O mesmo passo liga a transferência de informação à classificação e rotulagem, prevenção de perda de dados, relações com fornecedores e criptografia. Isto cria um modelo prático para o mapeamento de fluxos de dados:
- Identificar o sistema de origem, como CRM, plataforma de pagamentos, HRIS ou helpdesk de suporte.
- Identificar a categoria de dados, incluindo dados pessoais, dados financeiros, dados de trabalhadores, dados de categoria especial ou credenciais.
- Identificar o método de transferência, como API, SFTP, correio eletrónico, portal seguro, exportação manual ou replicação de cópias de segurança.
- Identificar o destino, incluindo sistema interno, serviço na nuvem, fornecedor, subcontratante ulterior, armazém de dados ou arquivo.
- Identificar a proteção, como cifragem, pseudonimização, controlo de acesso, registo, DLP ou restrição contratual.
- Identificar a dependência, incluindo se o fluxo suporta uma função crítica de negócio, função crítica ou importante, serviço essencial ou obrigação de notificação de incidentes.
Três controlos do Anexo A da ISO/IEC 27001:2022 são especialmente importantes aqui. A ISO/IEC 27002:2022 fornece a orientação de implementação para estes controlos:
| Controlo do Anexo A da ISO/IEC 27001:2022 | Nome do controlo | Relevância para RoPA e fluxos de dados |
|---|---|---|
| 5.9 | Inventário de informação e outros ativos associados | Identifica sistemas, repositórios de dados, proprietários, localizações e classificações |
| 5.14 | Transferência de informação | Define como os dados são movimentados, protegidos, autorizados e monitorizados |
| 5.34 | Privacidade e proteção de PII | Liga o tratamento de dados pessoais a obrigações de privacidade e salvaguardas |
O Zenith Controls: guia de conformidade cruzada da Clarysec identifica 5.9, 5.14 e 5.34 como controlos relacionados com este tema para esta camada de governação. Trate-os como controlos âncora e depois ligue-os a controlos de fornecedores, cloud, incidentes, continuidade, registo, acesso e criptografia através da sua Declaração de Aplicabilidade.
Porque é que NIS2 e DORA precisam de mais do que um registo de privacidade
Um erro comum é construir um RoPA tecnicamente correto ao abrigo do RGPD da UE, mas inútil para NIS2 ou DORA. A diferença é a criticidade do serviço.
O NIS2 Article 23 exige que entidades essenciais e importantes notifiquem incidentes significativos sem demora indevida. O seu modelo de reporte inclui um alerta precoce no prazo de 24 horas, uma notificação de incidente no prazo de 72 horas e um relatório final no prazo de um mês. Os incidentes significativos são avaliados por perturbação operacional grave, perda financeira ou dano material ou imaterial causado a outras pessoas singulares ou coletivas. Essa avaliação depende de saber que serviços, destinatários, países, sistemas e fornecedores são afetados.
O DORA Article 17 exige que as entidades financeiras definam e implementem um processo de gestão de incidentes relacionados com TIC que detete, gira e notifique incidentes, registe incidentes e ciberameaças significativas, identifique causas raiz, defina indicadores de alerta precoce, classifique incidentes por severidade e criticidade dos serviços afetados, atribua papéis e crie procedimentos de comunicação e escalonamento. O Article 18 exige classificação com base em clientes ou contrapartes e transações afetados, duração e indisponibilidade, dispersão geográfica, perda de dados que afete disponibilidade, autenticidade, integridade ou confidencialidade, criticidade dos serviços afetados e impacto económico.
Não é possível classificar rapidamente um incidente se não se conhecer o fluxo de dados e a cadeia de dependências.
A Política de continuidade de negócio e recuperação de desastre - PME da Clarysec aponta para o campo de evidência de que as organizações precisam:
serviços e sistemas priorizados (funções críticas de negócio)
Isto vem de Requisitos de governação, cláusula 5.2.1.2. A Política de continuidade de negócio e recuperação de desastre empresarial acrescenta a dimensão de dependência na cláusula 5.2.4:
Dependências críticas (sistemas, fornecedores, pessoal)
Para organizações reguladas pela DORA, isto deve alinhar-se com funções críticas ou importantes, serviços de TIC, acordos contratuais e estratégias de saída. O DORA Article 28 exige que o risco de terceiros prestadores de serviços de TIC seja gerido como parte do quadro de risco de TIC. Impõe um registo dos acordos contratuais de serviços de TIC, exige diligência prévia pré-contratual e avaliação de criticidade, risco de concentração, adequação e conflitos de interesse, e exige estratégias de saída para serviços de TIC que suportam funções críticas ou importantes.
O DORA Article 30 especifica termos mínimos para contratos de TIC, incluindo descrições de serviços, condições de subcontratação, localizações de tratamento e armazenamento de dados, proteção de dados, acesso, recuperação e devolução de dados, níveis de serviço, assistência em incidentes, cooperação com autoridades, direitos de cessação, direitos de auditoria e acordos de transição ou saída.
Um RoPA que não identifique fornecedores, localizações, métodos de transferência, criticidade e dependências de saída não suportará evidência DORA.
O mapeamento de fornecedores, cloud e subcontratantes ulteriores é onde a evidência costuma falhar
Em auditorias reais, as falhas do RoPA surgem frequentemente como falhas de fornecedores. A atividade de tratamento diz “suporte ao cliente”. O mapa de fluxos de dados diz “plataforma de suporte”. Mas ninguém consegue identificar a região de alojamento, o complemento de transcrição por IA, o subcontratante ulterior de analytics, a retenção de anexos de tickets, o modelo de acesso administrativo ou o procedimento de saída.
A política de fornecedores PME da Clarysec cria a evidência operacional mínima. A Política de segurança de terceiros e fornecedores - PME estabelece:
Deve ser mantido e atualizado um registo centralizado de fornecedores pelo contacto administrativo ou de compras. Deve incluir:
Isto vem de Requisitos de governação, cláusula 5.4. A política cloud acrescenta um requisito de inventário separado. A Política de utilização da cloud - PME estabelece:
Deve ser mantido um Registo de Serviços Cloud pelo prestador de TI ou pelo Diretor-Geral. Deve registar:
Isto vem de Requisitos de governação, cláusula 5.3. Para risco de dependência empresarial, a Política de gestão do risco de dependência de fornecedores da Clarysec é mais explícita:
Registo de dependências de fornecedores: o VMO deve manter um registo atualizado de todos os fornecedores críticos, incluindo detalhes como serviços/produtos fornecidos; se o fornecedor é de fonte única; fornecedores alternativos disponíveis ou grau de substituibilidade; termos contratuais atuais; e uma avaliação do impacto caso o fornecedor falhe ou seja comprometido. O registo deve identificar claramente fornecedores com elevada dependência (por exemplo, aqueles para os quais não existe alternativa rápida).
Esse requisito, da cláusula 6.1 de Requisitos de implementação, é exatamente o que liga o RoPA à segurança da cadeia de fornecimento NIS2 e ao risco de terceiros prestadores de serviços de TIC DORA.
O Zenith Blueprint, fase Controlos em ação, Passo 23, Controlos organizacionais 5.19 a 5.37, recomenda compilar uma lista completa de fornecedores, classificar fornecedores com base no acesso a sistemas, dados ou controlo operacional, incorporar expectativas de segurança em contratos, rever subcontratantes, estabelecer gatilhos de alteração de fornecedor e criar um processo de avaliação de serviços cloud que cubra localização dos dados, modelo de acesso, registo e cifragem.
É isto que permite a um CISO responder, durante um incidente: “Que serviço crítico utiliza este fornecedor, que dados foram expostos, que clientes devem ser notificados, que regulador pode precisar de um reporte e que fornecedor alternativo ou via de saída existe?”
Um exemplo prático: integração de clientes numa fintech
Considere uma fintech que presta integração de carteiras digitais. Os clientes carregam documentos de identificação, verificações biométricas de liveness são executadas por um fornecedor, os resultados são armazenados numa base de dados cloud e o suporte ao cliente pode ver o estado de verificação numa ferramenta de tickets.
O serviço de integração pode ser uma função crítica ou importante ao abrigo da DORA, porque a sua perturbação afeta materialmente a continuidade do serviço e as obrigações regulamentares. Se a empresa estiver num setor NIS2 ou prestar serviços de TIC relevantes, também pode fazer parte da evidência de serviços críticos.
Um mapa útil começa com um registo integrado.
| Objeto de evidência | Exemplo de entrada | Fonte Clarysec |
|---|---|---|
| Atividade RoPA | Verificação de identidade de clientes para integração de carteira digital | Política de proteção de dados e privacidade |
| Finalidade | Verificar identidade e prevenir fraude | Registo de responsabilização do RGPD da UE e fundamento de licitude |
| Categorias de dados | Documento de identificação, selfie, resultado biométrico de liveness, dados de contacto | Política de proteção de dados e privacidade |
| Indicador de dados sensíveis | Dados biométricos utilizados para verificação de identidade | Política de mascaramento de dados e pseudonimização |
| Sistemas | Aplicação móvel, API do fornecedor de identidade, base de dados cloud, plataforma de suporte | Inventário de ativos do Passo 9 do Zenith Blueprint |
| Fluxo de dados | Aplicação para API de identidade, API para base de dados cloud, base de dados para plataforma de suporte | Política de mascaramento de dados e pseudonimização |
| Fornecedor | Prestador de verificação de identidade, prestador cloud, SaaS de suporte | Política de segurança de terceiros e fornecedores |
| Registo cloud | Região, cifragem, modelo de acesso, logs, retenção | Política de utilização da cloud |
| Função crítica | Integração de carteira digital | Política de continuidade de negócio e recuperação de desastre |
| Risco de dependência | O fornecedor de identidade apresenta elevada dependência com substituto rápido limitado | Política de gestão do risco de dependência de fornecedores |
| Controlos | inventário de ativos, transferência de informação, privacidade e proteção de PII, segurança de fornecedores, utilização cloud, registo, controlo de acesso, criptografia | Zenith Controls e SoA |
| Utilização em incidentes | Classificar clientes afetados, indisponibilidade, perda de dados e criticidade do serviço | Evidência de incidentes DORA e NIS2 |
Agora acrescente rastreabilidade de tratamento de riscos ISO/IEC 27001:2022.
No Zenith Blueprint, fase de gestão de riscos, Passo 13, Planeamento do tratamento de riscos e Declaração de Aplicabilidade, a Clarysec descreve a SoA como um documento de ligação que conecta avaliação de riscos e tratamento a controlos reais. Recomenda mapear controlos a riscos e fazer referências cruzadas a regulamentos como RGPD da UE, NIS2 ou DORA no Registo de Riscos ou nas notas da SoA, quando relevante.
Para o exemplo de integração, o cenário de risco poderia ser: “Indisponibilidade ou comprometimento do fornecedor de verificação de identidade perturba a integração e expõe dados biométricos de identidade.” Os controlos de tratamento poderiam incluir devida diligência de fornecedores, notificação contratual de incidentes, cifragem, controlo de acesso, registo, cópia de segurança e recuperação, minimização de dados, pseudonimização, monitorização, planeamento de saída e playbooks de resposta a incidentes.
A nota da SoA pode declarar que o conjunto de controlos suporta a responsabilização ao abrigo do RGPD da UE, a cadeia de fornecimento e a preparação para incidentes no âmbito do NIS2 Article 21, e o risco de terceiros prestadores de serviços de TIC e a resiliência de funções críticas no âmbito da DORA.
É isto que os auditores querem: rastreabilidade.
Mapeamento de conformidade cruzada: uma camada de evidência, múltiplas perguntas
O RoPA e o mapeamento de fluxos de dados não são silos de conformidade separados. Suportam um conjunto comum de perguntas no âmbito do RGPD da UE, NIS2, DORA, ISO/IEC 27001:2022, NIST CSF 2.0 e COBIT 2019.
| Referencial | Pergunta de supervisão ou auditoria | Evidência de RoPA e fluxos de dados |
|---|---|---|
| RGPD da UE | Consegue demonstrar que dados pessoais são tratados, porquê, onde, por quem e durante quanto tempo? | RoPA com finalidade, fundamento de licitude, categorias, destinatários, retenção, salvaguardas e transferências |
| NIS2 | Que serviços, sistemas, fornecedores e fluxos de dados suportam a prestação de serviços essenciais ou importantes? | Mapa de serviços críticos ligado a sistemas, fornecedores, fluxos, incidentes e planos de continuidade |
| DORA | Que serviços de TIC e acordos com terceiros suportam funções críticas ou importantes? | Mapa de dependências de TIC ligado a fornecedores, contratos, localizações de dados, classificação de incidentes e planos de saída |
| ISO/IEC 27001:2022 | Os riscos, controlos, informação documentada e responsabilidades são geridos através do SGSI? | Âmbito do SGSI, Registo de Riscos, inventário de ativos, SoA, políticas, auditorias internas e revisão pela gestão |
| NIST CSF 2.0 | Os resultados de governação, risco de fornecedor, gestão de ativos, proteção, deteção, resposta e recuperação são compreendidos? | Perfis atual e alvo usando RoPA, registos de ativos, inventários de fornecedores e evidência de resiliência |
| COBIT 2019 | Os objetivos de governação, fluxos de informação, propriedade, decisões de risco e atividades de garantia estão definidos? | Propriedade de processos, objetivos de controlo, qualidade da informação, mapeamento de dependências e trilhos de auditoria |
O NIST CSF 2.0 é útil como camada organizadora. Os seus Perfis CSF suportam análise do estado atual e do estado-alvo usando entradas como políticas, prioridades de risco, registos de impacto no negócio, requisitos, normas, práticas, ferramentas e papéis de trabalho. A sua função GOVERN inclui obrigações legais, regulamentares, contratuais, de privacidade e de liberdades civis, objetivos de risco, responsabilização da liderança, papéis, política, supervisão e revisão de desempenho. Os seus resultados de cadeia de fornecimento exigem que os fornecedores sejam conhecidos e priorizados por criticidade, que os requisitos contratuais de cibersegurança sejam integrados, que a diligência prévia ocorra antes das relações, que os riscos de fornecedores sejam registados e monitorizados, e que os fornecedores sejam incluídos no planeamento de resposta a incidentes e recuperação.
Isto mapeia de forma clara para um modelo operacional de RoPA da Clarysec. O RoPA dá o contexto de privacidade. O inventário de ativos dá o contexto técnico. Os registos de fornecedores e cloud dão o contexto de terceiros. A BIA dá o contexto de criticidade. A SoA dá o contexto de controlo.
Um único controlo do Anexo A da ISO/IEC 27001:2022 também pode suportar vários referenciais. O Control 5.14, Transferência de informação, é um bom exemplo.
| Referencial ou norma | Requisito | Como o 5.14 fornece evidência |
|---|---|---|
| RGPD da UE | Article 30 RoPA e Article 32 segurança do tratamento | Os mapas de fluxos de dados formam a base do RoPA e documentam salvaguardas como cifragem em trânsito |
| DORA | Article 8 proteção e prevenção, Article 28 risco de terceiros prestadores de serviços de TIC | Os mapas de transferência identificam dependências de serviços de TIC que suportam funções críticas ou importantes |
| NIS2 | Article 21 medidas de gestão de riscos de cibersegurança, incluindo segurança da cadeia de fornecimento | O rastreio de transferências para fornecedores suporta a análise de risco da cadeia de fornecimento para serviços essenciais e importantes |
| NIST CSF 2.0 | PR.DS-02 Os dados em trânsito estão protegidos | As regras de transferência de informação fornecem evidência de que os dados estão protegidos enquanto circulam entre sistemas |
| ISO/IEC 27001:2022 | Anexo A 5.14 Transferência de informação | Métodos de transferência, responsabilidades e proteções são definidos e implementados |
Este é o valor do Zenith Controls como bússola de conformidade cruzada. Ajuda as organizações a explicar porque uma prática de controlo suporta múltiplas expectativas regulamentares e de auditoria.
Como diferentes auditores testarão o mesmo mapa
Um RoPA maduro e um mapa de fluxos de dados maduro podem satisfazer múltiplos auditores, mas cada um abordá-los-á de forma diferente.
Um auditor ISO/IEC 27001:2022 começará pelo âmbito, partes interessadas, riscos, informação documentada e seleção de controlos. Perguntará se os requisitos legais e contratuais foram identificados, se os dados pessoais e os serviços críticos estão dentro do âmbito do SGSI, se os ativos têm proprietários e classificações, se a avaliação de riscos considerou confidencialidade, integridade e disponibilidade, e se a SoA justifica os controlos aplicáveis.
Um auditor do RGPD da UE ou regulador de privacidade começará pela responsabilização. Testará se o RoPA reflete o tratamento real, se finalidades e fundamentos de licitude estão documentados, se dados de categoria especial estão identificados, se os prazos de retenção são aplicados, se destinatários e subcontratantes estão corretos, e se existem salvaguardas adequadas para transferências e segurança.
Um auditor focado em NIS2 analisará o impacto no serviço. Perguntará como a organização determina serviços críticos ou importantes, como a gestão aprovou e supervisiona as medidas de risco, como são consideradas vulnerabilidades de fornecedores e riscos de prestadores de serviços, como continuidade e tratamento de incidentes estão ligados, e se a organização consegue suportar prazos de 24 horas, 72 horas e relatório final com evidência fiável.
Um auditor DORA analisará a governação do risco de TIC e as funções críticas ou importantes. Testará se o órgão de gestão aprovou o quadro de risco de TIC e a estratégia de resiliência, se os acordos com terceiros prestadores de serviços de TIC estão registados, se a criticidade e o risco de concentração são avaliados, se os contratos incluem os termos exigidos, se os testes cobrem sistemas que suportam funções críticas ou importantes, e se os incidentes são classificados usando clientes afetados, transações, indisponibilidade, geografia, perda de dados, criticidade do serviço e impacto económico.
Um avaliador NIST CSF 2.0 usará frequentemente perfis. Comparará resultados atuais e alvo em GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER. O RoPA e os mapas de fluxos de dados tornam-se entradas para gestão de obrigações legais, inventários de ativos, risco de fornecedores, proteção de dados, monitorização, comunicações de incidentes e planeamento de recuperação.
Um auditor COBIT 2019 ou com abordagem ISACA focará governação, propriedade e capacidade de processo. Testará se os fluxos de informação têm proprietário, se os direitos de decisão são claros, se o apetite ao risco é aplicado, se os controlos são monitorizados, se as exceções são escaladas e se a evidência é suficientemente fiável para a garantia da gestão.
| Perspetiva de auditoria | Amostra provável | Evidência esperada |
|---|---|---|
| ISO/IEC 27001:2022 | Uma atividade de tratamento crítica | Âmbito, risco, proprietário do ativo, classificação, mapeamento na SoA, políticas e registos operacionais |
| RGPD da UE | Um processo de dados pessoais | Entrada RoPA, fundamento de licitude, retenção, destinatários, salvaguardas e registos de subcontratantes |
| NIS2 | Um serviço crítico | Sistemas, fornecedores, dependências, limiares de incidente, continuidade e supervisão pela gestão |
| DORA | Uma função crítica ou importante | Registo de serviços de TIC, contratos, mapa de dependências, testes, classificação de incidentes e plano de saída |
| NIST CSF 2.0 | Fluxo de dados suportado por fornecedor | Perfil atual e alvo, criticidade do fornecedor, monitorização, resposta e evidência de recuperação |
| COBIT 2019 | Processo de governação | Propriedade, direitos de decisão, métricas, trilho de garantia e reporte à gestão |
Padrões comuns de falha
As falhas mais frequentes no RoPA e no mapeamento de fluxos de dados são previsíveis.
Primeiro, o RoPA lista atividades de tratamento, mas não sistemas. Isto torna impossível ligar a responsabilização do RGPD da UE à gestão de vulnerabilidades, revisão de acessos, cópia de segurança, registo ou resposta a incidentes.
Segundo, os mapas de fluxos de dados param no primeiro fornecedor. Não mostram subcontratantes ulteriores, regiões de cloud, acesso de suporte, ferramentas de analytics, plataformas de monitorização ou localizações de cópia de segurança.
Terceiro, os planos de continuidade do negócio identificam sistemas, mas não dados pessoais. Durante uma indisponibilidade, a organização compreende a prioridade de recuperação, mas não o impacto de privacidade.
Quarto, os registos de fornecedores capturam proprietários contratuais, mas não criticidade, grau de substituibilidade, categorias de dados, obrigações de notificação de incidentes ou opções de saída.
Quinto, a SoA é escrita como um documento de certificação, e não como uma ponte de controlos. Diz que os controlos são aplicáveis, mas não explica que problema de evidência do RGPD da UE, NIS2 ou DORA o controlo ajuda a resolver.
Por fim, a propriedade está fragmentada. O encarregado da proteção de dados é proprietário do RoPA, a TI é proprietária dos ativos, a equipa de compras é proprietária dos fornecedores, as operações são proprietárias da BIA, a área financeira é proprietária dos registos DORA e ninguém é proprietário do mapa integrado de dependências.
A abordagem da Clarysec corrige isto atribuindo objetos de evidência a proprietários de políticas e usando depois os passos do Zenith Blueprint para ligar ativos, riscos, controlos e rastreabilidade da SoA.
Um plano de implementação de 30 dias
Não precisa de ferver o oceano. Comece pelos serviços mais relevantes.
Semana 1: Selecione três atividades de tratamento críticas ou de alto risco. Bons candidatos são integração de clientes, processamento de pagamentos, administração de recursos humanos dos trabalhadores, tickets de suporte ou monitorização de segurança. Para cada uma, valide a entrada RoPA face aos sistemas reais, categorias de dados, finalidades, fundamentos de licitude e regras de retenção.
Semana 2: Construa mapas de fluxos de dados para essas atividades. Identifique origem, destino, método de transferência, ambiente, fornecedor, subcontratante ulterior, localização dos dados, via de acesso, transformação e ponto de retenção. Use o requisito da Política de mascaramento de dados e pseudonimização da Clarysec para manter inventários de sistemas e fluxos de dados que envolvem dados sensíveis.
Semana 3: Ligue cada fluxo a ativos, fornecedores, serviços na cloud e funções críticas de negócio. Use o Passo 9 do Zenith Blueprint para propriedade e classificação de ativos. Use os requisitos das políticas de registo de fornecedores e cloud para capturar evidência de terceiros. Use a política de continuidade de negócio para identificar serviços priorizados e dependências críticas.
Semana 4: Acrescente rastreabilidade de risco e controlo. Para cada fluxo, crie ou atualize cenários de risco. Mapeie controlos na SoA usando o Passo 13 do Zenith Blueprint. Acrescente notas para responsabilização do GDPR Article 30, medidas de risco do NIS2 Article 21 e evidência de dependências de TIC DORA, quando aplicável.
Depois execute um exercício de mesa: “Indisponibilidade de fornecedor mais exposição de dados num serviço crítico.” Teste se a sua evidência suporta classificação de incidentes, decisões de notificação, comunicação com clientes, comunicação com reguladores e priorização da recuperação.
Ao fim de 30 dias, terá um modelo repetível para o resto da organização.
A abordagem Clarysec: transformar o RoPA em evidência viva de resiliência
O RoPA e o mapeamento de fluxos de dados já não são apenas administração de privacidade. São o tecido de ligação entre a responsabilização do RGPD da UE, a governação de serviços críticos NIS2 e a evidência de dependências de TIC DORA.
As organizações com melhor desempenho em 2026 não serão as que têm mais documentos. Serão as que conseguem rastrear um serviço de negócio até às suas atividades de tratamento, fluxos de dados, sistemas, fornecedores, regiões de cloud, contratos, controlos, riscos, limiares de incidente e planos de recuperação.
A Clarysec ajuda equipas a construir essa rastreabilidade sem burocracia desnecessária. O nosso conjunto de políticas atribui propriedade e requisitos de evidência. O Zenith Blueprint fornece o roteiro de implementação, incluindo identificação de ativos, implementação de controlos de fornecedores e cloud, e rastreabilidade da SoA. O Zenith Controls fornece a bússola de conformidade cruzada para mapear controlos do Anexo A da ISO/IEC 27001:2022 para expectativas de privacidade, resiliência, fornecedores, cloud e auditoria.
O seu próximo passo é simples: escolha um serviço crítico, uma entrada RoPA e um fluxo de dados suportado por fornecedor. Mapeie-o de ponta a ponta. Se não conseguir explicar os dados, a dependência, o controlo e o impacto do incidente numa página, a sua camada de evidência não está pronta para 2026.
A Clarysec pode ajudar a prepará-la. Explore o Zenith Blueprint, fortaleça a sua governação com a Política de proteção de dados e privacidade e a Política de gestão do risco de dependência de fornecedores, e use o Zenith Controls para transformar evidência de conformidade fragmentada num único modelo operacional preparado para auditoria.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
