NIS2 Portugal

📋 Política de Auditoria e Compliance

Conformidade NIS2 | ISO 27001 Clause 9.1 | GDPR Article 30 | Framework de Auditoria Interna

Progresso: 0%

1. Âmbito e Objetivos da Política

NIS2 Article 23 | ISO 27001 Clause 9.1 | GDPR Article 30

Esta Política de Auditoria e Compliance estabelece os requisitos e procedimentos para a realização de auditorias internas e externas na [NOME DA ORGANIZAÇÃO], visando assegurar conformidade com os requisitos legais, regulamentares e normativos aplicáveis, incluindo a Diretiva NIS2, ISO/IEC 27001:2022, e o RGPD.

O âmbito desta política abrange todas as áreas, sistemas, processos e atividades da organização relacionadas com [ÂMBITO ESPECÍFICO, ex: segurança da informação, proteção de dados, infraestruturas críticas], aplicando-se a todos os colaboradores, fornecedores e terceiros que operam em nome de [NOME DA ORGANIZAÇÃO].

Esta política foi aprovada em [DATA DE APROVAÇÃO] pela [ÓRGÃO DE APROVAÇÃO, ex: Administração, Comité de Auditoria] e será revista [FREQUÊNCIA, ex: anualmente, bienalmente] ou sempre que ocorram alterações significativas nos requisitos regulamentares ou no contexto organizacional.

Objetivos Principais

  • Verificação de Conformidade: Assegurar que a organização cumpre os requisitos da NIS2, ISO 27001, RGPD e outras normas aplicáveis
  • Avaliação de Eficácia: Avaliar a eficácia dos controlos de segurança, processos e medidas implementadas
  • Identificação de Gaps: Detetar não-conformidades, vulnerabilidades e oportunidades de melhoria
  • Gestão de Riscos: Verificar se os riscos identificados estão adequadamente geridos e mitigados
  • Melhoria Contínua: Promover a cultura de melhoria contínua através de ações corretivas e preventivas
  • Transparência: Fornecer evidências objetivas de conformidade às autoridades reguladoras e partes interessadas
  • Proteção de Ativos: Garantir a proteção adequada dos ativos críticos e infraestruturas essenciais
  • Responsabilização: Estabelecer responsabilidades claras na gestão de compliance e segurança

As auditorias abrangem os seguintes frameworks de compliance: [FRAMEWORKS, ex: NIS2, ISO 27001, ISO 22301, GDPR, ISO 27701, NIST CSF].

2. Definições e Terminologia

ISO 19011:2018 | ISO 27001 Clause 3

Auditoria Interna
Processo sistemático, independente e documentado para obter evidências de auditoria e avaliá-las objetivamente para determinar o grau em que os critérios de auditoria são cumpridos. Realizada pela própria organização ou por terceiros em seu nome.
Auditoria Externa
Auditoria realizada por uma entidade externa independente, como organismos de certificação, autoridades reguladoras ou consultores especializados, para verificar conformidade com normas e requisitos legais.
Não-Conformidade (NC)
Não cumprimento de um requisito especificado. Pode ser classificada como Maior (impacto crítico na conformidade) ou Menor (desvio pontual sem impacto crítico). Requer ação corretiva dentro de prazos definidos.
Ação Corretiva
Ação para eliminar a causa de uma não-conformidade detetada e prevenir a sua recorrência. Deve incluir análise de causa raiz, implementação de medidas e verificação de eficácia.
Gap Analysis
Análise sistemática que compara o estado atual da organização com os requisitos de uma norma, regulamento ou best practice, identificando lacunas (gaps) que precisam ser endereçadas.
Compliance Officer
Responsável por assegurar que a organização cumpre todos os requisitos legais, regulamentares e normativos aplicáveis. Coordena atividades de compliance e reporta ao órgão de gestão.
DPO (Data Protection Officer)
Encarregado de Proteção de Dados, responsável por monitorizar o cumprimento do RGPD, aconselhar sobre obrigações de proteção de dados e servir como ponto de contacto com a autoridade de controlo.
CISO (Chief Information Security Officer)
Responsável máximo pela segurança da informação da organização. Gere o ISMS (Information Security Management System), coordena a implementação de controlos e reporta riscos ao órgão de gestão.
Evidência de Auditoria
Registos, declarações de factos ou outras informações relevantes e verificáveis para os critérios de auditoria. Podem incluir documentos, registos, entrevistas, observações diretas ou resultados de testes.
Programa de Auditorias
Conjunto de uma ou mais auditorias planeadas para um período específico e direcionadas para um objetivo particular. Inclui calendário, âmbito, metodologia e recursos necessários para todas as auditorias do período.

3. Governança e Responsabilidades

NIS2 Article 20 | ISO 27001 Clause 5.3

A governança das atividades de auditoria e compliance é assegurada através de uma estrutura clara de responsabilidades, conforme definido na matriz RACI abaixo:

Função / Responsabilidade Planeamento Execução Reporting Ações Corretivas Aprovação
Comité de Auditoria A - I A A
Auditor Interno Lead R A R C C
Auditores Internos C R R C -
CISO C C I R C
DPO C C I R C
Management / Direção I C I A C
Áreas Auditadas I C C R -

Legenda: R = Responsible (Executa), A = Accountable (Aprova), C = Consulted (Consultado), I = Informed (Informado)

Responsabilidades Específicas

  • Comité de Auditoria: Aprova o programa anual de auditorias, analisa relatórios críticos e monitoriza o cumprimento de ações corretivas
  • Auditor Lead: Planeia, coordena e supervisiona todas as auditorias, assegurando independência e objetividade
  • CISO: Implementa ações corretivas relacionadas com segurança da informação e fornece suporte técnico às auditorias
  • DPO: Implementa ações corretivas relacionadas com proteção de dados e assegura compliance com RGPD
  • Gestores de Área: Fornecem evidências, implementam ações corretivas e asseguram disponibilidade de recursos

4. Programa de Auditorias Internas

ISO 19011:2018 | ISO 27001 Clause 9.2

O Programa de Auditorias Internas de [NOME DA ORGANIZAÇÃO] é elaborado anualmente, tipicamente no início do ano fiscal ([MÊS]), e aprovado pelo [ÓRGÃO DE APROVAÇÃO].

O programa é baseado numa abordagem de gestão de riscos, priorizando auditorias de áreas críticas e sistemas essenciais identificados na [REFERÊNCIA À AVALIAÇÃO DE RISCOS]. As auditorias são categorizadas em:

  • Auditorias Planeadas: Incluídas no programa anual, com datas definidas
  • Auditorias Ad-Hoc: Acionadas por incidentes graves, alterações significativas ou requisitos regulamentares
  • Follow-up Audits: Verificação de implementação e eficácia de ações corretivas

Ciclo de Auditoria

O ciclo típico de uma auditoria interna em [NOME DA ORGANIZAÇÃO] compreende [DURAÇÃO, ex: 4-6 semanas] e inclui as seguintes fases:

  1. Planeamento (Semana 1): Definição de âmbito, critérios, equipa e cronograma
  2. Preparação (Semana 2): Revisão documental, preparação de checklists e questões de auditoria
  3. Execução (Semanas 3-4): Entrevistas, observações, testes e recolha de evidências
  4. Reporting (Semana 5): Elaboração de relatório, classificação de NCs e recomendações
  5. Follow-up (Semana 6+): Acompanhamento de ações corretivas e verificação de eficácia

Frequência Mínima por Framework

Framework / Norma Frequência Mínima Requisito Legal Observações
ISO 27001 ISMS Anual ISO 27001 Clause 9.2 Auditoria completa de todos os controlos do Anexo A aplicáveis
RGPD / Proteção de Dados Semestral GDPR Article 30, 32 Foco em registos de tratamento e medidas técnicas
NIS2 Compliance Trimestral NIS2 Article 21, 23 Medidas de cibersegurança e gestão de incidentes
Auditorias Técnicas Trimestral NIS2 Article 21(2) Vulnerability scans, penetration tests, security assessments

5. Tipos de Auditorias

ISO 19011:2018 Clause 5.5

[NOME DA ORGANIZAÇÃO] realiza os seguintes tipos de auditorias, cada uma com objetivos, âmbito e metodologia específicos:

🔐 Auditorias ISO 27001 ISMS

Âmbito: Sistema de Gestão de Segurança da Informação completo, incluindo todos os controlos do Anexo A aplicáveis, políticas, processos, gestão de riscos e tratamento de incidentes
Frequência: Anual (completa) + Auditorias de acompanhamento semestrais
Responsável: Auditor Lead ISO 27001 certificado
Metodologia: ISO 19011, baseada em amostragem de evidências, entrevistas e testes de controlos

🛡️ Auditorias RGPD / Proteção de Dados

Âmbito: Registos de atividades de tratamento (Art. 30), medidas técnicas e organizacionais (Art. 32), direitos dos titulares, DPIAs, gestão de violações de dados, contratos com subcontratantes
Frequência: Semestral
Responsável: DPO ou auditor GDPR certificado
Metodologia: Verificação de registos, análise de contratos, revisão de DPIAs, testes de resposta a pedidos de titulares

⚡ Auditorias NIS2 Compliance

Âmbito: Medidas de cibersegurança (Art. 21), gestão de riscos, notificação de incidentes (Art. 23), gestão de vulnerabilidades, cadeia de fornecimento, controlos de acesso, continuidade de negócio
Frequência: Trimestral para áreas críticas, semestral para áreas de menor risco
Responsável: CISO ou auditor com especialização em NIS2
Metodologia: Assessment baseado nos requisitos da Diretiva, verificação de evidências de implementação, testes de eficácia de controlos

🔍 Auditorias Técnicas de Segurança

Âmbito: Vulnerability assessments, penetration testing (interno e externo), revisão de configurações de segurança, análise de logs, testes de segurança de aplicações (SAST/DAST), review de código
Frequência: Trimestral (vulnerability scans), Semestral (pentest externo), Anual (pentest interno completo)
Responsável: Equipa de Segurança Técnica ou empresa especializada externa (OSCP, CEH, CISSP)
Metodologia: OWASP Testing Guide, PTES, NIST SP 800-115, uso de ferramentas automatizadas e testes manuais

📋 Auditorias Administrativas e de Processo

Âmbito: Políticas e procedimentos, conformidade documental, gestão de acessos, onboarding/offboarding, formação e awareness, gestão de ativos, controlo de mudanças, backups
Frequência: Semestral ou baseada em risk assessment
Responsável: Auditor Interno ou Compliance Officer
Metodologia: Revisão documental, entrevistas com process owners, amostragem de registos, verificação de aderência a procedimentos

6. Planeamento e Frequência das Auditorias

ISO 19011:2018 Clause 5.3

O planeamento das auditorias em [NOME DA ORGANIZAÇÃO] segue uma metodologia baseada em risco, onde a frequência e profundidade das auditorias são determinadas por:

  • Criticidade dos sistemas/processos: Infraestruturas críticas, sistemas essenciais e processos core têm maior frequência
  • Resultados de auditorias anteriores: Áreas com NCs graves são auditadas com maior frequência
  • Alterações significativas: Novos sistemas, processos ou fornecedores acionam auditorias específicas
  • Requisitos regulamentares: Cumprimento das frequências mínimas exigidas por lei e normas
  • Incidentes de segurança: Áreas afetadas por incidentes graves são re-auditadas

Calendário Anual de Auditorias

O programa anual típico para [ANO] inclui:

Framework / Área Frequência Mínima Mês(es) Planeado(s) Auditor Responsável Áreas Críticas a Focar
ISO 27001 ISMS Anual [ex: Outubro-Novembro] [NOME DO AUDITOR] [ex: Gestão de acessos, Gestão de incidentes, Controlo de mudanças]
RGPD - Q1 Semestral [ex: Março] [NOME DO DPO] [ex: Registos Art. 30, DPIAs, Contratos subcontratantes]
RGPD - Q3 Semestral [ex: Setembro] [NOME DO DPO] [ex: Direitos dos titulares, Violações de dados, Medidas técnicas]
NIS2 - Q1 Trimestral [ex: Fevereiro] [NOME DO CISO] [ex: Gestão de vulnerabilidades, Notificação de incidentes]
NIS2 - Q2 Trimestral [ex: Maio] [NOME DO CISO] [ex: Cadeia de fornecimento, Controlos de acesso]
NIS2 - Q3 Trimestral [ex: Agosto] [NOME DO CISO] [ex: Continuidade de negócio, Disaster recovery]
NIS2 - Q4 Trimestral [ex: Novembro] [NOME DO CISO] [ex: Segurança de redes, Criptografia]
Pentest Externo Semestral [ex: Abril, Outubro] [EMPRESA EXTERNA] [ex: Perímetro externo, Aplicações web expostas]
Pentest Interno Anual [ex: Junho] [EMPRESA EXTERNA] [ex: Rede interna, Active Directory, Privilege escalation]
Vulnerability Scans Trimestral [ex: Jan, Abr, Jul, Out] [EQUIPA INTERNA] [ex: Todos os sistemas críticos e expostos]

Princípios de Planeamento

  • Independência: Auditores não podem auditar áreas pelas quais são diretamente responsáveis
  • Competência: Auditores devem ter formação adequada e certificações relevantes (ISO 27001 Lead Auditor, CISA, etc.)
  • Documentação: Todo o planeamento deve ser documentado e aprovado formalmente
  • Flexibilidade: O programa permite ajustes para auditorias ad-hoc motivadas por incidentes ou mudanças
  • Comunicação: As áreas a auditar são notificadas com [PRAZO, ex: 2 semanas] de antecedência

7. Execução de Auditorias (Metodologia)

ISO 19011:2018 Clause 6 | ISO 27001 Clause 9.2

A execução de auditorias em [NOME DA ORGANIZAÇÃO] segue uma metodologia estruturada baseada na norma ISO 19011:2018, garantindo consistência, objetividade e qualidade nos resultados.

Fases de Execução da Auditoria

Fase 1: Planeamento Detalhado
Duração: [ex: 1 semana]
Atividades:
  • Definição de objetivos, âmbito e critérios de auditoria
  • Identificação de riscos e áreas críticas a focar
  • Seleção da equipa de auditoria e atribuição de responsabilidades
  • Preparação do plano de auditoria detalhado
  • Comunicação formal às áreas auditadas com [PRAZO, ex: 10 dias úteis] de antecedência
  • Solicitação de documentação e evidências preliminares
Responsável: [AUDITOR LEAD]
Documentos Produzidos: [ex: Plano de Auditoria, Checklist preliminar, Solicitação de documentos]
Fase 2: Trabalho de Campo (Fieldwork)
Duração: [ex: 1-2 semanas]
Atividades:
  • Reunião de abertura com a área auditada
  • Revisão documental aprofundada (políticas, procedimentos, registos)
  • Entrevistas com process owners, utilizadores e gestores
  • Observação direta de processos e controlos em funcionamento
  • Testes de eficácia de controlos (amostras, simulações, revisão de logs)
  • Recolha e validação de evidências objetivas
  • Documentação de constatações preliminares
Responsável: [EQUIPA DE AUDITORIA]
Documentos Produzidos: [ex: Working papers, Registos de entrevistas, Screenshots, Listas de evidências]
Fase 3: Reporting e Apresentação de Resultados
Duração: [ex: 1 semana]
Atividades:
  • Análise e consolidação de todas as evidências recolhidas
  • Classificação de não-conformidades e observações
  • Redação do relatório de auditoria
  • Reunião de fecho com a área auditada para apresentação de constatações
  • Discussão e validação de NCs com os responsáveis
  • Aprovação formal do relatório pelo Auditor Lead
  • Distribuição do relatório às partes interessadas
Responsável: [AUDITOR LEAD]
Documentos Produzidos: [ex: Relatório de Auditoria, NC Reports, Apresentação executiva]
Fase 4: Follow-up e Verificação
Duração: [ex: Contínua até fecho de todas as NCs]
Atividades:
  • Acompanhamento da elaboração de planos de ação corretiva pelas áreas auditadas
  • Monitorização da implementação de ações nos prazos definidos
  • Verificação de evidências de implementação e eficácia das ações
  • Realização de auditorias de follow-up quando necessário
  • Atualização do status das NCs no sistema de gestão
  • Reporte de status ao Comité de Auditoria
Responsável: [AUDITOR LEAD + ÁREAS AUDITADAS]
Documentos Produzidos: [ex: Planos de Ação, Evidências de Implementação, Follow-up Reports]

Técnicas de Auditoria

Técnica Descrição Quando Usar Vantagens
Entrevistas Conversas estruturadas ou semi-estruturadas com process owners, utilizadores e gestores para compreender processos e controlos Para obter informações qualitativas, compreender contexto, esclarecer dúvidas Rica em detalhes, permite esclarecimentos imediatos, identifica questões não documentadas
Revisão Documental Análise de políticas, procedimentos, registos, relatórios, contratos e outra documentação relevante Para verificar conformidade documental, existência de políticas, completude de registos Evidência objetiva, permite análise detalhada, pode ser revista posteriormente
Observação Direta Visualização in loco de processos, controlos físicos, comportamentos e práticas em funcionamento Para validar se práticas reais correspondem aos procedimentos documentados Evidência concreta, identifica gaps entre documentado e praticado
Testes de Controlos Execução de testes técnicos ou administrativos para verificar eficácia de controlos (amostras, simulações, testes de penetração) Para avaliar eficácia de controlos técnicos e processos automatizados Evidência objetiva de eficácia, identifica vulnerabilidades reais
Análise de Logs Revisão de logs de sistemas, acessos, mudanças e eventos de segurança para identificar padrões e anomalias Para auditorias técnicas, verificação de acessos, deteção de incidentes Evidência técnica objetiva, trilha de auditoria completa, deteção de anomalias
Amostragem Seleção de amostras representativas de transações, registos ou processos para análise detalhada Quando o volume de dados é muito grande para análise completa Eficiente em termos de tempo e recursos, permite inferências estatísticas

Tipos de Evidências de Auditoria

Tipo de Evidência Exemplos Força Probatória Observações
Documentos Políticas, procedimentos, manuais, planos, relatórios, contratos, certificados Alta Prova existência de processos documentados, mas não prova implementação eficaz
Registos Logs de sistemas, registos de formação, listas de presença, tickets de incidentes, registos de mudanças Muito Alta Evidência de atividades realizadas, forte valor probatório se autênticos
Entrevistas Notas de entrevistas, declarações verbais, respostas a questionários Média Deve ser corroborada com outras evidências, sujeita a vieses
Observações Notas de observação in loco, fotografias, vídeos de processos Alta Prova práticas reais, mas representa momento específico no tempo
Resultados de Testes Relatórios de vulnerability scans, pentests, testes de disaster recovery, simulações Muito Alta Evidência objetiva de eficácia ou falhas de controlos
Screenshots e Capturas Capturas de ecrã de sistemas, configurações, dashboards, relatórios Alta Prova visual de estado de sistemas em momento específico, fácil de documentar

Checklist de Auditoria - Exemplo (ISO 27001 A.9 Access Control)

  • A.9.1.1 - Política de Controlo de Acessos: Verificar se existe política documentada e aprovada? Data: [DATA]
  • A.9.1.2 - Acesso a Redes e Serviços: Verificar se acessos são concedidos apenas após autorização formal? Amostra testada: [QUANTIDADE]
  • A.9.2.1 - Registo e Remoção de Utilizadores: Processo de onboarding/offboarding implementado? Verificar [QUANTIDADE] casos recentes
  • A.9.2.2 - Provisão de Acessos: Princípio de menor privilégio aplicado? Testar [QUANTIDADE] contas de utilizador
  • A.9.2.3 - Gestão de Privilégios: Contas privilegiadas controladas? Verificar lista de administradores e justificativas
  • A.9.2.4 - Informação Secreta de Autenticação: Política de passwords implementada? Testar complexidade em [QUANTIDADE] contas
  • A.9.2.5 - Revisão de Direitos de Acesso: Revisões periódicas realizadas? Verificar última revisão em [DATA]
  • A.9.2.6 - Remoção de Direitos: Acessos removidos em caso de mudança/saída? Testar [QUANTIDADE] colaboradores que saíram
  • A.9.3.1 - Uso de Informação Secreta: MFA implementado para acessos críticos? Testar em [SISTEMAS]
  • A.9.4.1 - Restrição de Acesso: Controlos de acesso físico e lógico implementados? Observar datacenters e sistemas críticos

Todas as constatações de auditoria devem ser documentadas em [FERRAMENTA, ex: sistema de gestão, Excel, Jira] e classificadas de acordo com o sistema de classificação de NCs definido na Secção 8.

8. Gestão de Não-Conformidades e Ações Corretivas

ISO 27001 Clause 10.1 | ISO 19011:2018 Clause 6.5

As não-conformidades (NCs) identificadas durante as auditorias são geridas através de um processo estruturado de classificação, análise de causa raiz, planeamento de ações corretivas e verificação de eficácia.

Sistema de Classificação de Não-Conform idades

Severidade Critérios de Classificação Prazo de Resolução Escalação Exemplos
Crítica Risco imediato à segurança, conformidade legal ou continuidade do negócio. Violação grave de requisitos legais obrigatórios (NIS2, GDPR). Ausência completa de controlos críticos. 7 dias Board de Administração + CNCS/CNPD (se aplicável) Ausência de notificação de incidente grave à CNCS, violação massiva de dados não reportada, falta de backups de sistemas críticos, ausência de MFA em sistemas essenciais
Major Violação significativa de políticas ou requisitos normativos. Controlo implementado mas ineficaz. Risco elevado se não corrigido. Impacto potencial em certificações. 30 dias Management Team + CISO/DPO Política de controlo de acessos desatualizada, ausência de revisões periódicas de acessos, logs de auditoria não monitorizados, falta de DPIAs obrigatórias
Minor Desvio menor de procedimento ou política. Controlo implementado mas com oportunidades de melhoria. Baixo risco imediato. Não compromete conformidade geral. 90 dias Área responsável + Compliance Officer Documentação incompleta, registos de formação desatualizados, procedimentos não revistos no prazo, falhas pontuais em registos
Observação Oportunidade de melhoria identificada. Não é uma NC formal. Recomendação para aperfeiçoamento de processos ou controlos. Sem prazo obrigatório (recomendado: próxima revisão de processo) Informação à área responsável Processos que podem ser otimizados, adoção de best practices, melhorias em documentação

Processo de Gestão de Não-Conformidades

Etapa 1: Identificação e Registo
Responsável: [AUDITOR]
Atividades:
  • Documentação detalhada da NC (descrição, evidências, requisito não cumprido)
  • Classificação de severidade (Crítica/Major/Minor)
  • Registo no sistema de gestão com ID único: [FORMATO, ex: NC-2024-001]
  • Notificação imediata à área auditada e ao seu gestor
Prazo: [Durante a fase de reporting da auditoria]
Etapa 2: Análise de Causa Raiz (Root Cause Analysis)
Responsável: [ÁREA AUDITADA]
Atividades:
  • Aplicação de técnica de RCA (5 Whys, Fishbone Diagram, etc.)
  • Identificação da causa raiz (não apenas dos sintomas)
  • Documentação da análise em [TEMPLATE RCA]
  • Validação da causa raiz com o auditor e CISO/DPO
Prazo: [5 dias úteis após notificação]
Etapa 3: Plano de Ação Corretiva
Responsável: [ÁREA AUDITADA + GESTOR]
Atividades:
  • Definição de ações corretivas específicas e mensuráveis
  • Identificação de responsáveis e prazos para cada ação
  • Alocação de recursos necessários (orçamento, pessoas, ferramentas)
  • Definição de KPIs para medir eficácia das ações
  • Submissão do plano para aprovação do [APROVADOR]
Prazo: [10 dias úteis após análise de causa raiz]
Etapa 4: Implementação de Ações
Responsável: [ÁREA AUDITADA]
Atividades:
  • Execução das ações conforme plano aprovado
  • Documentação de evidências de implementação (documentos, screenshots, registos)
  • Atualização regular de status no sistema de gestão
  • Comunicação proativa de desvios ou atrasos ao Auditor Lead
Prazo: [Conforme classificação: 7/30/90 dias]
Etapa 5: Verificação de Eficácia
Responsável: [AUDITOR LEAD]
Atividades:
  • Revisão das evidências de implementação submetidas
  • Verificação in loco quando necessário (para NCs Críticas/Major)
  • Testes de eficácia do controlo implementado
  • Decisão: Fechar NC ou solicitar ações adicionais
  • Atualização final de status no sistema
Prazo: [15 dias após conclusão de implementação]

Boas Práticas na Gestão de NCs

  • Foco na Causa Raiz: Não tratar apenas sintomas - identificar e eliminar a causa subjacente para prevenir recorrência
  • Ações Mensuráveis: Definir ações corretivas específicas, mensuráveis e com resultados verificáveis
  • Ownership Claro: Atribuir responsável específico para cada ação (não equipas genéricas)
  • Tracking Rigoroso: Monitorizar status semanalmente para NCs Críticas, quinzenalmente para Major, mensalmente para Minor
  • Escalação Proativa: Escalar imediatamente NCs que não serão fechadas no prazo, não esperar pelo deadline
  • Lições Aprendidas: Documentar lições aprendidas de NCs recorrentes e partilhar com toda a organização
  • Tendências: Analisar tendências de NCs para identificar áreas sistemáticas de melhoria
  • Transparência: Reportar status de NCs em reuniões de management e comités de auditoria

O status de todas as NCs abertas é reportado mensalmente ao [ÓRGÃO, ex: Comité de Auditoria, Management Team], incluindo métricas como: total de NCs abertas, taxa de fecho, NCs em atraso, e tendências por área/framework.

9. Reporting e Comunicação

NIS2 Article 23 | ISO 27001 Clause 9.3 | GDPR Article 33

O sistema de reporting e comunicação de [NOME DA ORGANIZAÇÃO] garante que os resultados de auditorias e o status de compliance são comunicados de forma clara, tempestiva e adequada às partes interessadas internas e externas.

Estrutura de Reporting Interno

Tipo de Relatório Destinatários Frequência Conteúdo Principal Responsável
Relatório Individual de Auditoria Área auditada, Gestor responsável, CISO/DPO, Comité de Auditoria Após cada auditoria Âmbito, metodologia, constatações, NCs, observações, recomendações [AUDITOR LEAD]
Dashboard de NCs Management Team, Gestores de área Semanal (atualização contínua) NCs abertas por severidade, status, áreas, prazos, tendências [COMPLIANCE OFFICER]
Relatório Mensal de Compliance Management Team, Comité de Auditoria Mensal Auditorias realizadas vs planeadas, NCs abertas/fechadas, KPIs de compliance, riscos identificados [COMPLIANCE OFFICER]
Relatório Trimestral Executivo Board de Administração, Comité de Auditoria Trimestral Overview de compliance, principais constatações, riscos críticos, ações de management [CISO/DPO]
Relatório Anual de Auditoria Board, Management, Stakeholders internos Anual Programa de auditorias executado, principais constatações do ano, maturidade de compliance, roadmap [AUDITOR LEAD]

Obrigações de Reporting Externo

Framework Destinatário Prazo Conteúdo Mínimo Formato
NIS2 Article 23(1)
Early Warning		 CNCS (Centro Nacional de Cibersegurança) 24 horas Notificação inicial de incidente significativo: natureza, indicadores de compromisso, impacto estimado, medidas imediatas tomadas Formulário online CNCS ou email seguro
NIS2 Article 23(4)
Incident Report		 CNCS 72 horas Relatório detalhado: descrição técnica completa, análise de causa raiz, impacto real, medidas de mitigação, cronologia, IoCs, recomendações Template CNCS estruturado
NIS2 Article 23(6)
Final Report		 CNCS 30 dias Relatório final: investigação completa, lições aprendidas, ações corretivas implementadas, melhorias de controlos Relatório formal detalhado
GDPR Article 33
Data Breach Notification		 CNPD (Comissão Nacional de Proteção de Dados) 72 horas Natureza da violação, categorias e número de titulares afetados, categorias de dados comprometidos, consequências prováveis, medidas tomadas e propostas Formulário online CNPD
GDPR Article 34
Notification to Data Subjects		 Titulares de dados afetados Sem atraso indevido Descrição clara da violação, ponto de contacto (DPO), consequências prováveis, medidas de mitigação recomendadas aos titulares Email, carta, website (conforme apropriado)
ISO 27001 Certification
Management Review		 Organismo de Certificação Anual Resultados de auditorias internas, status de NCs de auditoria de certificação, alterações ao ISMS, objetivos de segurança, melhorias Ata de Management Review + evidências

Estrutura de Penalizações NIS2

Tipo de Entidade Penalização Máxima (Valor Absoluto) Penalização Máxima (% Volume de Negócios) Infrações Típicas
Entidade Essencial €10,000,000 2% do volume de negócios anual global Não conformidade com medidas de cibersegurança (Art. 21), falha na notificação de incidentes (Art. 23), não cooperação com autoridades
Entidade Importante €7,000,000 1.4% do volume de negócios anual global Não conformidade com medidas de cibersegurança (Art. 21), falha na notificação de incidentes (Art. 23), não cooperação com autoridades

⚠️ CRÍTICO: A autoridade nacional competente aplicará o valor mais elevado entre o montante absoluto (€10M/€7M) e a percentagem do volume de negócios. Violações graves ou reincidências podem resultar em penalizações máximas. O não cumprimento dos prazos de notificação é uma das infrações mais penalizadas.

Princípios de Comunicação

  • Tempestividade: Cumprir rigorosamente todos os prazos legais e regulamentares de reporting
  • Completude: Incluir toda a informação mínima requerida em cada tipo de relatório
  • Clareza: Usar linguagem clara, evitar jargão técnico excessivo em relatórios executivos
  • Objetividade: Basear todos os relatórios em evidências factuais e verificáveis
  • Confidencialidade: Proteger informação sensível, classificar relatórios conforme política de classificação de informação
  • Rastreabilidade: Manter registos de todos os relatórios enviados (data, destinatários, conteúdo)
  • Follow-up: Assegurar que relatórios são efetivamente recebidos e compreendidos pelos destinatários

Todos os relatórios de auditoria interna são armazenados em [SISTEMA/LOCALIZAÇÃO] e retidos por um período mínimo de [PERÍODO, ex: 7 anos], conforme requisitos legais e de certificação.

10. Compliance Contínuo e Gap Analysis

NIS2 Article 21 | ISO 27001 Clause 9 | GDPR Article 24

[NOME DA ORGANIZAÇÃO] adota uma abordagem de compliance contínuo, onde a conformidade não é vista como um exercício pontual, mas como um processo contínuo de monitorização, avaliação e melhoria.

Abordagem de Compliance Contínuo

Componentes do Compliance Contínuo

  • Monitorização Contínua: Dashboards em tempo real de KPIs de segurança e compliance (ex: SIEM, GRC tools, vulnerability scanners)
  • Automação de Controlos: Automatização de verificações de compliance quando possível (ex: compliance as code, automated scans)
  • Avaliações Periódicas: Auditorias internas regulares conforme programa anual + auditorias ad-hoc quando necessário
  • Gap Analysis Trimestral: Análise de lacunas face a novos requisitos, alterações regulamentares ou aquisições de sistemas
  • Threat Intelligence: Monitorização de ameaças emergentes e adaptação de controlos (ex: feeds de IoCs, advisories do CNCS)
  • Management Reviews: Revisões trimestrais de management para avaliar eficácia do ISMS e status de compliance
  • Formação Contínua: Awareness training contínuo para colaboradores sobre compliance e segurança
  • Teste Regular de Controlos: Testes periódicos de eficácia de controlos críticos (ex: DR tests, phishing simulations, pentest)

Matriz de Comparação de Frameworks

A tabela abaixo mapeia os principais requisitos de compliance entre os diferentes frameworks aplicáveis a [NOME DA ORGANIZAÇÃO], facilitando uma abordagem integrada de compliance:

Domínio / Requisito NIS2 ISO 27001:2022 GDPR DORA Status em [ORG]
Gestão de Riscos Article 21(1) Clause 6.1 Article 32 Article 6 [ex: Implementado, Em Progresso, Não Iniciado]
Notificação de Incidentes Article 23 (24h/72h) Annex A.16 Article 33 (72h) Article 19 [STATUS]
Controlos de Acesso Article 21(2)(d) Annex A.9 Article 32(1)(b) Article 9 [STATUS]
Criptografia Article 21(2)(b) Annex A.10 Article 32(1)(a) Article 9(3) [STATUS]
Continuidade de Negócio Article 21(2)(f) Annex A.17 Article 32(1)(c) Article 11 [STATUS]
Gestão de Cadeia de Fornecimento Article 21(2)(e) Annex A.15 Article 28 Article 28 [STATUS]
Gestão de Vulnerabilidades Article 21(2)(c) Annex A.12.6 Article 32 Article 9(4) [STATUS]
Políticas de Segurança Article 21(2)(a) Clause 5.2 Article 24 Article 5 [STATUS]
Formação e Awareness Article 20(2)(i) Annex A.6.3 Article 32(4) Article 13(6) [STATUS]
Auditoria e Monitorização Article 23 Clause 9.2 Article 30 Article 23 [STATUS]
Proteção de Dados Pessoais Article 21(2) Annex A.8 Articles 5, 6, 32 Article 9 [STATUS]
MFA / Autenticação Forte Article 21(2)(d) Annex A.9.4 Article 32(1)(b) Article 9(4)(c) [STATUS]
Backups e Recuperação Article 21(2)(g) Annex A.8.13 Article 32(1)(c) Article 12 [STATUS]
Segurança de Redes Article 21(2)(b) Annex A.13 Article 32 Article 9(2) [STATUS]
Governança (Board Level) Article 20 Clause 5.1 Article 24 Article 5 [STATUS]

Processo de Gap Analysis

A Gap Analysis é realizada com frequência [FREQUÊNCIA, ex: trimestral] e sempre que ocorrem eventos que possam impactar compliance:

  • Triggers para Gap Analysis:
    • Publicação de novos requisitos regulamentares ou alterações a frameworks existentes
    • Aquisição de novos sistemas, aplicações ou infraestruturas
    • Fusões, aquisições ou reestruturações organizacionais
    • Incidentes graves de segurança ou violações de dados
    • Resultados de auditorias externas ou de certificação
    • Expansão de operações para novos mercados ou jurisdições
    • Feedback de autoridades reguladoras (CNCS, CNPD)
Metodologia de Gap Analysis
Passo 1: Identificar requisitos aplicáveis do framework/norma/regulamento
Passo 2: Documentar estado atual de implementação de cada requisito
Passo 3: Recolher evidências objetivas de compliance (documentos, registos, screenshots)
Passo 4: Classificar status: Compliant, Parcialmente Conforme, Não Conforme, Não Aplicável
Passo 5: Identificar e documentar gaps com detalhe (o que falta, porque, impacto)
Passo 6: Priorizar gaps conforme risco e criticidade (Crítico/Alto/Médio/Baixo)
Passo 7: Elaborar plano de remediação com ações, responsáveis, prazos e recursos
Passo 8: Obter aprovação de management e alocar orçamento/recursos
Passo 9: Executar plano de remediação e monitorizar progresso
Passo 10: Verificar eficácia através de re-assessment ou auditoria

Os resultados de cada Gap Analysis são documentados em [TEMPLATE/FERRAMENTA] e reportados ao [ÓRGÃO, ex: Management Team, Comité de Auditoria] para decisão sobre priorização e alocação de recursos.

Indicadores de Maturidade de Compliance

  • Nível 1 - Inicial: Processos ad-hoc, reativo, sem documentação formal
  • Nível 2 - Gerido: Processos básicos implementados, alguma documentação, reativo mas estruturado
  • Nível 3 - Definido: Processos documentados e padronizados, compliance integrado em operações
  • Nível 4 - Quantitativo: Métricas e KPIs estabelecidos, monitorização contínua, decisões baseadas em dados
  • Nível 5 - Otimizado: Melhoria contínua, proativo, automação, cultura de compliance embebida

Maturidade Atual de [NOME DA ORGANIZAÇÃO]: [Nível X - Descrição]

Objetivo de Maturidade para [ANO]: [Nível Y - Descrição]

11. Revisão e Melhoria Contínua

ISO 27001 Clause 10 | ISO 19011:2018 Clause 7

Esta política e o programa de auditorias de [NOME DA ORGANIZAÇÃO] são sujeitos a revisão e melhoria contínua através de um ciclo PDCA (Plan-Do-Check-Act).

Management Review Cycle

O órgão de gestão de [NOME DA ORGANIZAÇÃO] realiza uma Management Review com frequência [FREQUÊNCIA, ex: anual, semestral], tipicamente em [MÊS/PERÍODO], para avaliar:

Agenda da Management Review

  • Inputs:
    • Resultados de auditorias internas e externas do período
    • Status de não-conformidades e ações corretivas
    • Feedback de partes interessadas (clientes, reguladores, parceiros)
    • Análise de KPIs de segurança e compliance
    • Incidentes de segurança e violações de dados ocorridos
    • Resultados de testes de continuidade de negócio e DR
    • Mudanças no contexto organizacional (novos sistemas, fornecedores, riscos)
    • Alterações em requisitos legais e regulamentares
    • Progresso face a objetivos de segurança e compliance
    • Recomendações de melhoria
  • Outputs:
    • Decisões sobre necessidade de alterações ao ISMS, políticas ou programa de auditorias
    • Aprovação de novos objetivos de segurança e compliance
    • Alocação de recursos para melhoria (orçamento, pessoas, ferramentas)
    • Aprovação de investimentos em segurança
    • Definição de prioridades para o próximo período
    • Atualização de programa de auditorias anual

A Management Review é documentada através de [FORMATO, ex: Ata de reunião, Relatório formal] e armazenada em [LOCALIZAÇÃO]. As decisões tomadas são comunicadas a todas as partes interessadas relevantes e implementadas conforme cronograma aprovado.

Processo de Melhoria Contínua (PDCA)

Fase PDCA Atividades Responsável Frequência
Plan (Planear)
  • Elaboração do programa anual de auditorias
  • Definição de objetivos de compliance e KPIs
  • Gap Analysis e identificação de melhorias
  • Planeamento de recursos e orçamento
 [Auditor Lead, CISO, DPO] Anual (início do ano fiscal)
Do (Executar)
  • Execução do programa de auditorias conforme planeado
  • Implementação de controlos e ações corretivas
  • Formação e awareness dos colaboradores
  • Monitorização contínua de compliance
 [Equipa de Auditoria, Áreas auditadas] Contínuo ao longo do ano
Check (Verificar)
  • Revisão de resultados de auditorias
  • Análise de métricas e KPIs de compliance
  • Avaliação de eficácia de ações corretivas
  • Identificação de desvios e tendências
 [Auditor Lead, Compliance Officer] Mensal (métricas), Trimestral (tendências)
Act (Agir)
  • Management Review e decisões de melhoria
  • Atualização de políticas e procedimentos
  • Ajustes ao programa de auditorias
  • Implementação de lições aprendidas
 [Management Team, Board] Anual (Management Review) + Ad-hoc quando necessário

Métricas de Eficácia do Programa de Auditorias

Métrica / KPI Método de Cálculo Target / Objetivo Frequência de Medição
Auditorias Completadas vs Planeadas (Nº auditorias completadas / Nº auditorias planeadas) × 100% [ex: ≥ 95%] Trimestral
Taxa de Fecho de NCs (NCs fechadas no período / Total NCs abertas) × 100% [ex: ≥ 80% no prazo] Mensal
Tempo Médio de Fecho de NCs Σ (Data fecho - Data abertura) / Nº NCs fechadas [ex: ≤ 30 dias para Major, ≤ 60 dias para Minor] Mensal
Taxa de NCs Recorrentes (Nº NCs recorrentes / Total NCs) × 100% [ex: ≤ 10%] Trimestral
Compliance Score Geral (Requisitos conformes / Total requisitos aplicáveis) × 100% [ex: ≥ 90%] Trimestral (via Gap Analysis)
Maturidade de Controlos (Média) Média das avaliações de maturidade de todos os controlos (escala 1-5) [ex: ≥ 4.0 (Nível Quantitativo)] Semestral
Cumprimento de Prazos Regulamentares (Notificações/reports enviados no prazo / Total requeridos) × 100% [ex: 100%] Contínuo
Cobertura de Auditorias (Áreas/sistemas auditados / Total áreas/sistemas críticos) × 100% [ex: 100% de áreas críticas auditadas anualmente] Anual

Revisão da Política

Esta Política de Auditoria e Compliance será revista:

  • Revisão Regular: [FREQUÊNCIA, ex: Anualmente, Bienalmente], tipicamente em [MÊS]
  • Revisão Extraordinária: Sempre que ocorrerem alterações significativas em:
    • Legislação ou requisitos regulamentares (ex: nova versão da NIS2, GDPR)
    • Estrutura organizacional ou modelo de negócio
    • Tecnologias ou sistemas críticos
    • Resultados de auditorias que identifiquem necessidades de atualização
    • Feedback de autoridades reguladoras ou organismos de certificação

As revisões são realizadas por [RESPONSÁVEL, ex: Auditor Lead, CISO, DPO], com aprovação final de [ÓRGÃO APROVADOR, ex: Comité de Auditoria, Board].

Todas as alterações à política são comunicadas a todos os colaboradores através de [CANAL, ex: email, intranet, portal de compliance] e formação específica é providenciada quando necessário.

Histórico de Revisões

Versão Data Alterações Principais Aprovado Por
1.0 [DATA INICIAL] Criação inicial da política [NOME/CARGO]
2.0 [DATA] [DESCRIÇÃO DAS ALTERAÇÕES] [NOME/CARGO]
Adicionar novas versões conforme revisões realizadas

Data da Próxima Revisão Planeada: [DATA]

Responsável pela Próxima Revisão: [NOME/CARGO]

📅 Planeador de Auditorias Internas

Crie e gira o seu calendário de auditorias internas. Adicione auditorias planeadas, acompanhe o progresso e exporte o calendário anual.

Auditorias Agendadas

Nenhuma auditoria agendada ainda. Adicione a primeira auditoria acima.

🎯 Matriz de Gap Analysis - Compliance Multi-Framework

Realize análise de gaps de compliance comparando o estado atual da organização com requisitos de múltiplos frameworks (NIS2, ISO 27001, GDPR, DORA).

Resultados da Análise

Adicione itens para ver a pontuação geral de compliance

Nenhum gap registado ainda

⚠️ Gestor de Não-Conformidades (NC)

Registe, acompanhe e gira não-conformidades identificadas em auditorias. Inclui análise de causa raiz, planos de ação corretiva e tracking de status.

Estatísticas de NCs

Total NCs

0

Críticas

0

Major

0

Minor

0

Abertas

0

Fechadas

0

Não-Conformidades Registadas

Nenhuma NC registada ainda. Adicione a primeira NC acima.