Ir para o conteúdo principal

Avaliar Fornecedores de Cloud ao Abrigo do DORA e do NIS2

Os fornecedores de cloud estão agora no centro da atenção regulatória. Veja como avaliá-los corretamente ao abrigo do DORA e do NIS2, sem se perder em burocracia nem ignorar riscos críticos.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de leitura
Evaluating Cloud Providers under DORA and NIS2

A maioria das organizações pensa que avaliar fornecedores cloud significa verificar um relatório SOC 2, dar uma vista de olhos a um certificado ISO e considerar o trabalho feito. Ao abrigo do DORA e do NIS2, esse atalho torna-se uma responsabilidade regulatória. O risco cloud é agora risco de negócio ; e os reguladores esperam que demonstre que o compreende.

O DORA e o NIS2 alteraram as regras do jogo. Os reguladores já não se preocupam se o seu fornecedor cloud tem "boa segurança". Preocupam-se com a capacidade de continuar a operar quando o seu fornecedor falha.

Isto implica:

  • avaliações mais aprofundadas
  • transparência contratual
  • análise do risco de concentração
  • monitorização contínua
  • estratégias de saída
  • governance real, não listas de verificação

A maioria das organizações não está preparada para isto ; e os auditores sabem-no.

Eis como avaliar fornecedores cloud da forma correta ao abrigo do DORA e do NIS2.

1. Comece pela Criticidade: Nem Todos os Serviços Cloud São Iguais

O maior erro que as organizações cometem é tratar todos os serviços SaaS ou cloud da mesma forma.

Ao abrigo do DORA e do NIS2, deve classificar os fornecedores pelo impacto no negócio:

  • crítico
  • importante
  • não crítico

Os serviços críticos afetam diretamente:

  • a continuidade do negócio
  • as operações orientadas para o cliente
  • as transações financeiras
  • as obrigações regulatórias
  • a segurança
  • a infraestrutura central

Anedota: Um cliente classificou o seu CRM como "baixo risco" porque "o marketing é que o utiliza". Acontece que 60% do pipeline de receita dependia dele. Ao abrigo do DORA, isso é crítico.

Os reguladores esperam priorização. Comece por aí.

2. Exija Transparência sobre Arquitetura, Dependências e Sub-Processadores

Ao abrigo do NIS2 e do DORA, precisa de clareza sobre:

  • localização dos dados
  • sub-processadores
  • dependências de infraestrutura
  • arquitetura de failover multirregião
  • residência de dados e exposição jurisdicional

Os fornecedores cloud gostam de diagramas vagos e linguagem de marketing. Os reguladores querem especificações.

O seu risco é o fornecedor do seu fornecedor.

3. Avalie a Resiliência Operacional, Não Apenas os Controlos de Segurança

O ISO 27001 e o SOC 2 informam sobre higiene de segurança. O DORA e o NIS2 querem saber:As suas operações conseguem sobreviver a uma falha do fornecedor cloud?

Solicite:

  • RTO/RPO para toda a sua stack
  • histórico real de interrupções
  • resultados de testes de failover
  • métricas de gestão de capacidade
  • prazos de escalada de incidentes
  • maturidade dos níveis de serviço
  • fiabilidade da página de estado (o histórico importa)

Anedota: Um fornecedor SaaS afirmava "99,99% de disponibilidade". A sua página de estado pública mostrava oito interrupções em 6 meses. A sua avaliação tem de refletir a realidade ; não o marketing.

4. Confirme Como Gerem Incidentes Graves (O DORA Tem Expectativas)

O DORA exige clareza contratual sobre:

  • classificação de incidentes
  • prazos de reporte
  • partilha de informação
  • entrega de análise de causa raiz
  • caminhos de escalada

Se o seu fornecedor cloud não tem um processo de resposta a incidentes maduro, herda a lacuna.

Uma história do terreno: Um fornecedor de serviços entregava os RCAs com 30 dias de atraso ; sempre. Ao abrigo do DORA, isso torna-se um problema regulatório seu.

Se não conseguem suportar os seus prazos de reporte regulatório, não são conformes para si.

5. Avalie o Risco de Concentração e os Pontos Únicos de Falha

Esta é a parte que a maioria das empresas ignora ; e onde os reguladores vão pressionar com mais força.

Perguntas a colocar:

  • Vários serviços críticos dependem do mesmo fornecedor cloud?
  • Estamos dependentes de um único fornecedor sem alternativa viável?
  • Qual é o custo de mudança?
  • Quantos dos nossos processos críticos dependem do AWS/Azure/GCP?
  • Temos redundância geográfica?
  • Dois "fornecedores" são na realidade o mesmo porque partilham infraestrutura?

Anedota: Um banco pensava ter "redundância" porque utilizava dois serviços SaaS. Ambos corriam na mesma região AWS.

Pode externalizar serviços. Não pode externalizar a responsabilidade.

6. Exija Controlo Contratual (O DORA Torna Isto Obrigatório)

O DORA exige cláusulas contratuais obrigatórias para serviços TIC considerados críticos.

O seu contrato deve cobrir:

  • direitos de auditoria e inspeção
  • reporte de desempenho
  • obrigações de segurança
  • planos de saída e transição
  • requisitos de resiliência
  • notificação de incidentes
  • transparência sobre subcontratados
  • assistência na rescisão
  • responsabilidades de encriptação

Anedota: Um fornecedor SaaS recusou direitos de auditoria. Ao abrigo do DORA, isso é um fator eliminatório. Ponto final.

Se não permitem supervisão, não os pode utilizar.

7. Avalie a Monitorização Contínua, Não Avaliações Pontuais

O NIS2 e o DORA enfatizam a supervisão contínua, não listas de verificação anuais.

Precisa de:

  • atualizações trimestrais do estado de segurança
  • relatórios SOC anuais
  • monitorização de disponibilidade em tempo real
  • ciclos de atualização de questionários de fornecedores
  • avaliações de impacto regulatório quando algo muda
  • reavaliação após incidentes graves

Se o fornecedor "não faz revisões contínuas", afaste-se.

Anedota: Um fornecedor SaaS só atualizava o seu relatório SOC 2 de 18 em 18 a 24 meses. Ao abrigo do NIS2 e do DORA, isso é inaceitável para sistemas críticos.

8. Teste os Planos de Saída e Portabilidade (O Requisito Mais Ignorado)

O DORA exige explicitamente o teste da estratégia de saída. O NIS2 espera continuidade operacional.

Os fornecedores cloud têm de provar:

  • que pode extrair os seus dados
  • que pode migrar sem interrupção de serviço
  • que os formatos são portáveis
  • que os prazos são razoáveis
  • que existe suporte disponível durante a saída

Anedota: Um fornecedor disse: "Disponibilizamos exportação de dados". A exportação era um blob binário proprietário. Portabilidade zero.

Se não os pode deixar, não os pode utilizar.

9. Construa um Modelo de Pontuação de Fornecedores Cloud Alinhado com o DORA e o NIS2

A forma mais simples de escalar as avaliações é utilizar um modelo de pontuação.

Categorias recomendadas:

  • Segurança (ISO/SOC)
  • Resiliência operacional
  • Maturidade da gestão de incidentes
  • Alinhamento regulatório
  • Transparência e documentação
  • Dependência de fornecedor (sub-processadores)
  • Solidez contratual
  • Risco de concentração
  • Viabilidade de saída
  • Capacidade de monitorização

Cada categoria pontuada de 1 a 5. A pontuação ponderada determina a classificação do risco.

10. Mapeie as Evidências dos Fornecedores Cloud por Todos os Frameworks

ISO → acesso, registos, cópias de segurança GDPR → processadores, transferências, proteção de dados NIS2 → resiliência, cadeia de abastecimento, reporte de incidentes DORA → governance de TIC, testes, supervisão

Em vez de múltiplas avaliações:Utilize um questionário único mapeado para todos os frameworks.

Uma avaliação. Múltiplas conformidades. Zero duplicação.

Consideração Final

As avaliações de fornecedores cloud já não são uma formalidade de procurement. Ao abrigo do DORA e do NIS2, são uma parte central da sua estratégia de resiliência operacional.

As organizações que terão sucesso serão as que:

  • classificarem os fornecedores por criticidade
  • exigirem transparência
  • avaliarem a resiliência, não apenas a segurança
  • impuserem solidez contratual
  • monitorizarem continuamente
  • minimizarem o risco de dependência
  • construírem opções de saída reais

O risco cloud é risco regulatório. Se os seus fornecedores falharem, os reguladores perguntarão por que razão você não os avaliou devidamente.

Use este momento para passar das revisões de fornecedores por checkbox a uma governance real.

Se pretende construir um sistema de avaliação de fornecedores unificado e preparado para os reguladores, para o DORA, NIS2, GDPR e ISO 27001, é exatamente isso que ensinamos no Cyber Academy DORA Lead Manager ou NIS2 Lead Implementer Course Junte-se à próxima sessão e proteja toda a sua cadeia de abastecimento digital.

Quer receber a próxima nota de campo na sua caixa de entrada?

A newsletter The GRC Brief. Cinco ligações e um breve comentário, todas as segundas-feiras às 8h CET. Leitura de três minutos.