A auditoria de cibersegurança vive na interseção de três grandes referenciais: o quadro regulatório europeu e português (NIS2 e RJSC), a norma de gestão certificável (ISO/IEC 27001) e o quadro de maturidade técnico (NIST CSF). Damos-lhes peso equivalente.
Nenhum referencial isolado responde a todas as perguntas que uma auditoria de cibersegurança coloca. A lei estabelece obrigações e responsabilidades, mas remete a forma para as boas práticas; a norma certificável estrutura um sistema de gestão, mas não esgota o detalhe técnico; o quadro de maturidade organiza as funções de segurança, mas não tem força legal. A auditoria competente articula os três.
O eixo jurídico define quem está obrigado, a quê e perante quem responde.
Eleva o nível comum de cibersegurança na União, alarga o universo de entidades abrangidas, distingue entidades essenciais e importantes, e impõe medidas de gestão de risco, obrigações de notificação de incidentes e a responsabilização direta dos órgãos de administração.
O quadro nacional de transposição e desenvolvimento da diretiva, articulado com o Centro Nacional de Cibersegurança (CNCS) enquanto autoridade competente, e com o Quadro Nacional de Referência para a Cibersegurança.
O regime jurídico anterior da segurança do ciberespaço e os diplomas de execução, base sobre a qual assenta a evolução para o novo regime decorrente da NIS2.
O Regulamento Geral sobre a Proteção de Dados impõe segurança do tratamento (artigo 32.º) e notificação de violações, intersetando frequentemente o âmbito da auditoria de cibersegurança.
O eixo do sistema de gestão da segurança da informação, auditável e certificável por terceira parte.
Requisitos do Sistema de Gestão da Segurança da Informação (SGSI): contexto, liderança, planeamento, suporte, operação, avaliação de desempenho e melhoria.
Catálogo de controlos de segurança da informação e respetiva orientação de implementação, base para a declaração de aplicabilidade.
Gestão do risco de segurança da informação e gestão de incidentes — duas disciplinas centrais para a auditoria.
O eixo que organiza as funções de segurança e permite medir e comunicar a maturidade.
Governação, estratégia, papéis e gestão do risco da cadeia.
Inventário de ativos, contexto e avaliação de risco.
Controlos de proteção, acessos, formação e dados.
Monitorização contínua e deteção de eventos.
Resposta a incidentes, mitigação e comunicação.
Recuperação, continuidade e aprendizagem.
A transposição concreta da NIS2 e o detalhe das obrigações setoriais são acompanhados de forma dedicada em dnis2.pt, e o conhecimento técnico do domínio em ciberseguranca.net. Esta página foca-se no modo como esses referenciais se traduzem em critérios de auditoria.
Quer avaliar a maturidade da sua cibersegurança, preparar-se para a NIS2, obter uma auditoria de conformidade ou externalizar a função? Diga-nos em que momento está. Respondemos com uma proposta de abordagem adequada ao seu perfil de risco, à sua dimensão e ao seu enquadramento regulatório.