Comparação Completa de Frameworks de Cibersegurança

Recurso definitivo em Português: NIS2, ISO 27001:2022 (93 controlos), NIST CSF 2.0 e mapeamentos detalhados

📚 Recurso de Referência Completo

Esta página é o recurso mais completo em Português para compreender as frameworks de cibersegurança NIS2, ISO 27001:2022 e NIST CSF 2.0. Inclui:

Todos os 93 controlos ISO 27001:2022 Anexo A (com novos controlos de 2022 destacados)
Estrutura completa NIST CSF 2.0 (incluindo nova função GOVERN)
Mapeamento detalhado NIS2 → ISO 27001 → NIST CSF
Comparação com GDPR, DORA e CRA

Controlos ISO 27001:2022

Novos Controlos 2022

Funções NIST CSF 2.0

Medidas NIS2 Artigo 21

Comparação de Frameworks

Pesquisar frameworks

🛡️ NIS2 - Network and Information Security Directive Obrigatória

▼

Diretiva europeia sobre cibersegurança para infraestruturas críticas e serviços essenciais. Em vigor desde outubro 2024.

Setores Abrangidos

Energia
Transportes
Saúde
Infraestrutura digital
Água e águas residuais
+ 13 setores adicionais

Requisitos Principais

10 medidas de cibersegurança (Artigo 21)
Notificação de incidentes (24-72h)
Responsabilização dos gestores
Gestão de risco
Segurança da cadeia de fornecimento

Detalhes

Obrigatória: Sim
Certificação: Não
Prazo: Outubro 2024
Penalizações: Até €10M ou 2%
Sobreposição NIS2: 100%

📋 ISO 27001:2022 - Information Security Management Voluntária | Certificável

▼

Norma internacional para sistemas de gestão de segurança da informação (ISMS). Versão 2022 inclui 93 controlos no Anexo A.

Estrutura do Anexo A

Controlos Organizacionais (37)
Controlos de Pessoas (8)
Controlos Físicos (14)
Controlos Tecnológicos (34)
Total: 93 controlos
Novos em 2022: 11 controlos

Processo de Certificação

Implementar ISMS completo
Auditoria de Fase 1 (documentação)
Auditoria de Fase 2 (implementação)
Certificação válida 3 anos
Auditorias de vigilância anuais
Recertificação ao fim de 3 anos

Detalhes

Obrigatória: Não
Certificação: Sim
Validade: 3 anos
Reconhecimento: Global
Sobreposição NIS2: 80%

🇺🇸 NIST Cybersecurity Framework 2.0 Voluntária | Framework de Referência

▼

Framework voluntária desenvolvida pelo NIST (EUA). Versão 2.0 introduz a função GOVERN e atualiza estrutura completa.

6 Funções Principais

GOVERN (GV) - NOVO 2.0
IDENTIFY (ID)
PROTECT (PR)
DETECT (DE)
RESPOND (RS)
RECOVER (RC)

Vantagens

Gratuita e de domínio público
Linguagem de negócio
Flexível e escalável
Reconhecida globalmente
Alinha com outras frameworks
Excelente para começar

Detalhes

Obrigatória: Não
Certificação: Não
Custo: Gratuita
Reconhecimento: Global
Sobreposição NIS2: 70%

🔒 GDPR - Regulamento Geral de Proteção de Dados Obrigatória

▼

Regulamento europeu sobre proteção de dados pessoais. Aplica-se a todas as organizações que processam dados de residentes UE.

Princípios

Legalidade, lealdade e transparência
Limitação das finalidades
Minimização dos dados
Exatidão
Limitação da conservação
Integridade e confidencialidade

Direitos dos Titulares

Direito de acesso
Direito de retificação
Direito ao apagamento
Direito à portabilidade
Direito de oposição
Direito de não ser sujeito a decisões automatizadas

Detalhes

Obrigatória: Sim
Em vigor: Maio 2018
Penalizações: Até €20M ou 4%
Notificação: 72h
Sobreposição NIS2: 45%

🏦 DORA - Digital Operational Resilience Act Obrigatória | Setor Financeiro

▼

Regulamento específico para resiliência operacional digital no setor financeiro europeu. Aplicável desde janeiro 2025.

Entidades Abrangidas

Instituições de crédito
Empresas de investimento
Seguradoras
Infraestruturas de mercado
Prestadores de serviços de pagamento
Prestadores cripto-ativos

Pilares DORA

Gestão de riscos TIC
Gestão de incidentes TIC
Testes de resiliência operacional
Gestão de terceiros TIC
Partilha de informação

Detalhes

Obrigatória: Sim (setor financeiro)
Em vigor: Janeiro 2025
Supervisão: BdP, ASF, CMVM
TLPT: Obrigatório (entidades críticas)
Sobreposição NIS2: 60%

⚙️ CRA - Cyber Resilience Act Obrigatória | Produtos Digitais

▼

Legislação europeia sobre segurança de produtos com elementos digitais. Aplicável a partir de 2027.

Produtos Abrangidos

Hardware com componentes digitais
Software comercial
Dispositivos IoT
Sistemas embebidos
Produtos inteligentes (smart devices)

Classes de Produtos

Classe I (Críticos): Certificação obrigatória
Classe II (Importantes): Certificação obrigatória
Default: Auto-avaliação

Detalhes

Obrigatória: Sim (fabricantes)
Aplicável: Dezembro 2027
Penalizações: Até €15M ou 2.5%
SBOM: Obrigatório
Sobreposição NIS2: 35%

ISO 27001:2022 - Anexo A Completo (93 Controlos)

ℹ️ Estrutura do Anexo A 2022

A versão 2022 da ISO 27001 reorganizou os controlos em 4 categorias temáticas (antes eram 14 domínios). Foram adicionados 11 novos controlos focados em tecnologias emergentes e ameaças modernas.

Pesquisar controlos ISO 27001

🏢 Controlos Organizacionais (5.1 - 5.37) 37 controlos

▼

5.1

Policies for Information Security

5.2

Information Security Roles and Responsibilities

5.3

Segregation of Duties

5.4

Management Responsibilities

5.5

Contact with Authorities

5.6

Contact with Special Interest Groups

5.7

Threat Intelligence NOVO 2022

5.8

Information Security in Project Management

5.9

Inventory of Information and Other Associated Assets

5.10

Acceptable Use of Information and Other Associated Assets

5.11

Return of Assets

5.12

Classification of Information

5.13

Labelling of Information

5.14

Information Transfer

5.15

Access Control

5.16

Identity Management

5.17

Authentication Information

5.18

Access Rights

5.19

Information Security in Supplier Relationships

5.20

Addressing Information Security Within Supplier Agreements

5.21

Managing Information Security in the ICT Supply Chain

5.22

Monitoring, Review and Change Management of Supplier Services

5.23

Information Security for Use of Cloud Services NOVO 2022

5.24

Information Security Incident Management Planning and Preparation

5.25

Assessment and Decision on Information Security Events

5.26

Response to Information Security Incidents

5.27

Learning from Information Security Incidents

5.28

Collection of Evidence

5.29

Information Security During Disruption

5.30

ICT Readiness for Business Continuity NOVO 2022

5.31

Legal, Statutory, Regulatory and Contractual Requirements

5.32

Intellectual Property Rights

5.33

Protection of Records

5.34

Privacy and Protection of PII

5.35

Independent Review of Information Security

5.36

Compliance with Policies, Rules and Standards for Information Security

5.37

Documented Operating Procedures

👥 Controlos de Pessoas (6.1 - 6.8) 8 controlos

▼

6.1

Screening

6.2

Terms and Conditions of Employment

6.3

Information Security Awareness, Education and Training

6.4

Disciplinary Process

6.5

Responsibilities After Termination or Change of Employment

6.6

Confidentiality or Non-Disclosure Agreements

6.7

Remote Working

6.8

Information Security Event Reporting

🏗️ Controlos Físicos (7.1 - 7.14) 14 controlos

▼

7.1

Physical Security Perimeters

7.2

Physical Entry

7.3

Securing Offices, Rooms and Facilities

7.4

Physical Security Monitoring NOVO 2022

7.5

Protecting Against Physical and Environmental Threats

7.6

Working in Secure Areas

7.7

Clear Desk and Clear Screen

7.8

Equipment Siting and Protection

7.9

Security of Assets Off-Premises

7.10

Storage Media

7.11

Supporting Utilities

7.12

Cabling Security

7.13

Equipment Maintenance

7.14

Secure Disposal or Re-Use of Equipment

💻 Controlos Tecnológicos (8.1 - 8.34) 34 controlos | 7 NOVOS 2022

▼

8.1

User Endpoint Devices

8.2

Privileged Access Rights

8.3

Information Access Restriction

8.4

Access to Source Code

8.5

Secure Authentication

8.6

Capacity Management

8.7

Protection Against Malware

8.8

Management of Technical Vulnerabilities

8.9

Configuration Management NOVO 2022

8.10

Information Deletion NOVO 2022

8.11

Data Masking NOVO 2022

8.12

Data Leakage Prevention NOVO 2022

8.13

Information Backup

8.14

Redundancy of Information Processing Facilities

8.15

Logging

8.16

Monitoring Activities NOVO 2022

8.17

Clock Synchronization

8.18

Use of Privileged Utility Programs

8.19

Installation of Software on Operational Systems

8.20

Networks Security

8.21

Security of Network Services

8.22

Segregation of Networks

8.23

Web Filtering NOVO 2022

8.24

Use of Cryptography

8.25

Secure Development Life Cycle

8.26

Application Security Requirements

8.27

Secure System Architecture and Engineering Principles

8.28

Secure Coding NOVO 2022

8.29

Security Testing in Development and Acceptance

8.30

Outsourced Development

8.31

Separation of Development, Test and Production Environments

8.32

Change Management

8.33

Test Information

8.34

Protection of Information Systems During Audit Testing

NIST Cybersecurity Framework 2.0

🆕 Novidades na Versão 2.0 (2024)

A versão 2.0 do NIST CSF introduz a nova função GOVERN, enfatizando a governança como fundação da cibersegurança. Também atualiza todas as categorias existentes para refletir ameaças modernas e melhores práticas.

GOVERN (GV) - Governança

NOVA FUNÇÃO 2.0 - Estabelece e monitoriza estratégia, expectativas e políticas de cibersegurança

GV.OC

Organizational Context - Contexto organizacional é compreendido e informa gestão de risco

GV.RM

Risk Management Strategy - Estratégia de gestão de risco é estabelecida, comunicada e monitorizada

GV.RR

Roles, Responsibilities, and Authorities - Papéis, responsabilidades e autoridades em cibersegurança são estabelecidos

GV.PO

Policy - Políticas organizacionais de cibersegurança são estabelecidas, comunicadas e aplicadas

GV.OV

Oversight - Resultados de atividades de cibersegurança são usados para informar, melhorar e ajustar estratégia

GV.SC

Cybersecurity Supply Chain Risk Management - Risco de cadeia de fornecimento é identificado, avaliado e gerido

IDENTIFY (ID) - Identificar

Desenvolver compreensão de ativos, riscos e ameaças para priorizar esforços

ID.AM

Asset Management - Ativos são identificados e geridos de acordo com importância relativa

ID.RA

Risk Assessment - Riscos de cibersegurança são identificados, avaliados e documentados

ID.IM

Improvement - Melhorias para processos e tecnologias são identificadas

PROTECT (PR) - Proteger

Implementar salvaguardas para garantir entrega de serviços críticos

PR.AA

Identity Management, Authentication and Access Control - Acesso a ativos é limitado a utilizadores, processos e dispositivos autorizados

PR.AT

Awareness and Training - Utilizadores compreendem responsabilidades e ameaças de cibersegurança

PR.DS

Data Security - Dados são geridos de forma consistente com estratégia de risco da organização

PR.PS

Platform Security - Plataformas de tecnologia são geridas de forma consistente com estratégia de risco

PR.IR

Technology Infrastructure Resilience - Infraestrutura tecnológica é resiliente e consistente com estratégia de risco

DETECT (DE) - Detetar

Encontrar e analisar possíveis eventos adversos de cibersegurança

DE.CM

Continuous Monitoring - Ativos são monitorizados para identificar eventos e verificar eficácia de medidas de proteção

DE.AE

Adverse Event Analysis - Anomalias e eventos adversos são analisados para compreender objetivos e métodos de ataque

RESPOND (RS) - Responder

Tomar ação face a incidente detetado de cibersegurança

RS.MA

Incident Management - Respostas a incidentes são geridas e coordenadas

RS.AN

Incident Analysis - Incidentes são analisados para compreender alcance, impacto e causa raiz

RS.CO

Incident Response Reporting and Communication - Atividades de resposta são coordenadas com stakeholders internos e externos

RS.MI

Incident Mitigation - Atividades são realizadas para prevenir expansão de evento e mitigar efeitos

RECOVER (RC) - Recuperar

Restaurar ativos e operações afetados por incidente de cibersegurança

RC.RP

Incident Recovery Plan Execution - Planos de recuperação são executados durante e após evento de cibersegurança

RC.CO

Incident Recovery Communication - Atividades de restauro são coordenadas com stakeholders internos e externos

Mapeamento NIS2 para ISO 27001 e NIST CSF 2.0

🔗 Como Usar Este Mapeamento

Esta tabela mostra como as 10 medidas de cibersegurança do Artigo 21 da NIS2 correspondem a controlos específicos da ISO 27001:2022 e categorias do NIST CSF 2.0. Use este mapeamento para:

Aproveitar implementações existentes de ISO 27001 ou NIST CSF para cumprir NIS2
Identificar gaps entre sua framework atual e requisitos NIS2
Priorizar implementação de controlos que servem múltiplos requisitos
Documentar compliance de forma eficiente

Medida NIS2 (Artigo 21)	Controlos ISO 27001:2022	Categorias NIST CSF 2.0
1. Políticas de Análise de Riscos e Segurança Avaliação regular de riscos e medidas de segurança	5.1 - Policies for Information Security 5.7 - Threat Intelligence (NOVO 2022) 8.8 - Management of Technical Vulnerabilities 5.35 - Independent Review of Information Security	GV.RM - Risk Management Strategy GV.PO - Policy ID.RA - Risk Assessment GV.OV - Oversight
2. Tratamento de Incidentes Gestão e notificação de incidentes (24h/72h/30d)	5.24 - Incident Management Planning and Preparation 5.25 - Assessment and Decision on Information Security Events 5.26 - Response to Information Security Incidents 5.27 - Learning from Information Security Incidents 5.28 - Collection of Evidence 6.8 - Information Security Event Reporting	DE.CM - Continuous Monitoring DE.AE - Adverse Event Analysis RS.MA - Incident Management RS.AN - Incident Analysis RS.CO - Incident Response Reporting RS.MI - Incident Mitigation
3. Continuidade de Negócio e Gestão de Crises Planos de continuidade, backup e recuperação	5.29 - Information Security During Disruption 5.30 - ICT Readiness for Business Continuity (NOVO 2022) 8.13 - Information Backup 8.14 - Redundancy of Information Processing Facilities	PR.IR - Technology Infrastructure Resilience RC.RP - Incident Recovery Plan Execution RC.CO - Incident Recovery Communication
4. Segurança da Cadeia de Abastecimento Avaliação de segurança de fornecedores e supply chain	5.19 - Information Security in Supplier Relationships 5.20 - Addressing Information Security Within Supplier Agreements 5.21 - Managing Information Security in the ICT Supply Chain 5.22 - Monitoring, Review and Change Management of Supplier Services 5.23 - Information Security for Use of Cloud Services (NOVO 2022)	GV.SC - Cybersecurity Supply Chain Risk Management ID.AM - Asset Management ID.RA - Risk Assessment
5. Segurança na Aquisição e Desenvolvimento Secure by design, SDLC seguro	8.25 - Secure Development Life Cycle 8.26 - Application Security Requirements 8.27 - Secure System Architecture and Engineering Principles 8.28 - Secure Coding (NOVO 2022) 8.29 - Security Testing in Development and Acceptance 8.30 - Outsourced Development 8.31 - Separation of Development, Test and Production	PR.PS - Platform Security GV.SC - Supply Chain Risk Management ID.IM - Improvement
6. Gestão de Vulnerabilidades Identificação, avaliação e correção de vulnerabilidades	8.8 - Management of Technical Vulnerabilities 8.19 - Installation of Software on Operational Systems 8.32 - Change Management 5.7 - Threat Intelligence (NOVO 2022)	ID.RA - Risk Assessment DE.CM - Continuous Monitoring RS.MI - Incident Mitigation ID.IM - Improvement
7. Políticas e Procedimentos (Higiene Cibernética) Boas práticas básicas de segurança	5.36 - Compliance with Policies, Rules and Standards 5.37 - Documented Operating Procedures 6.3 - Information Security Awareness, Education and Training 7.7 - Clear Desk and Clear Screen 8.1 - User Endpoint Devices 8.7 - Protection Against Malware	GV.PO - Policy PR.AT - Awareness and Training PR.PS - Platform Security PR.DS - Data Security
8. Criptografia Proteção de dados em trânsito e em repouso	8.24 - Use of Cryptography 5.14 - Information Transfer 8.11 - Data Masking (NOVO 2022)	PR.DS - Data Security PR.PS - Platform Security
9. Segurança de Recursos Humanos Controlo de acesso e formação de colaboradores	6.1 - Screening 6.2 - Terms and Conditions of Employment 6.3 - Information Security Awareness, Education and Training 6.4 - Disciplinary Process 6.5 - Responsibilities After Termination 6.6 - Confidentiality or Non-Disclosure Agreements 6.7 - Remote Working	GV.RR - Roles, Responsibilities, and Authorities PR.AT - Awareness and Training PR.AA - Identity Management and Access Control
10. Controlo de Acesso e Gestão de Ativos MFA, gestão de identidades, inventário de ativos	5.9 - Inventory of Information and Other Associated Assets 5.15 - Access Control 5.16 - Identity Management 5.17 - Authentication Information 5.18 - Access Rights 8.2 - Privileged Access Rights 8.3 - Information Access Restriction 8.5 - Secure Authentication 8.10 - Information Deletion (NOVO 2022) 8.12 - Data Leakage Prevention (NOVO 2022)	ID.AM - Asset Management PR.AA - Identity Management, Authentication and Access Control PR.DS - Data Security

💡 Dica de Implementação

Começe pelos controlos comuns: Os controlos ISO 27001 e categorias NIST CSF listados neste mapeamento servem múltiplos requisitos NIS2. Priorize implementá-los primeiro para maximizar retorno sobre investimento.

Documentação integrada: Ao documentar políticas e procedimentos, referencie simultaneamente NIS2, ISO 27001 e NIST CSF. Exemplo: "Política de Gestão de Incidentes (NIS2 Art. 21.2 | ISO 27001 5.24-5.27 | NIST CSF RS.MA)"