A perspetiva da Cyber Academy
A resiliência operacional é a capacidade de uma organização de prestar serviços críticos durante uma disrupção e, em seguida, recuperar. Três referenciais a regem na Europa: ISO 22301 (norma de BCMS, a camada operacional), NIS 2 (obrigação de continuidade de negócio do Article 21 para as entidades abrangidas), DORA (Articles 11-12 para entidades financeiras, além de testes dedicados). Um único programa pode satisfazer os três; conduzi-los como fluxos de trabalho separados duplica o trabalho e cria inconsistências.
TL;DR
- 1A ISO 22301 é a espinha dorsal operacional: BIA, objetivos de recuperação, BCP, runbooks, exercícios de tabletop, BCMS sob revisão pela gestão.
- 2A NIS 2 acrescenta a notificação de incidentes (alerta precoce em 24 horas, notificação em 72 horas, relatório em um mês) e a continuidade da cadeia de fornecimento.
- 3A DORA acrescenta testes específicos das entidades financeiras (testes de penetração orientados por ameaças para entidades significativas a cada três anos), o registo de terceiros TIC, e a supervisão ao nível das ESA para os prestadores críticos.
- 4O Lead Operational Resilience Manager (credencial PECB) foi concebido especificamente para integrar os três.
- 5Mapear uma vez, auditar três vezes: um único BCMS alinhado com a 22301 e com mapeamentos de controlos da NIS 2 e da DORA satisfaz as três auditorias.
Por que um programa, e não três
O instinto na maioria das organizações é tratar a ISO 22301, a NIS 2 e a DORA como três projetos de conformidade separados, muitas vezes geridos por três equipas diferentes: continuidade de negócio, operações de segurança, e uma função de regulação financeira ou de risco. Essa é a forma mais cara de o fazer. Acaba-se com três análises de impacto no negócio que discordam sobre quais serviços são críticos, três conjuntos de objetivos de recuperação que ninguém reconcilia, e três calendários de exercícios que esgotam as mesmas pessoas. Os auditores notam as costuras de imediato.
Os referenciais não são concorrentes. A ISO 22301 dá-lhe o sistema de gestão: a análise de impacto no negócio (BIA), os objetivos de tempo de recuperação e de ponto de recuperação, os planos de continuidade e de recuperação, os exercícios, e o ciclo de revisão pela gestão. A NIS 2 e a DORA não substituem nada disso. Acrescentam obrigações por cima, sobretudo em torno da notificação de incidentes, da garantia da cadeia de fornecimento, e (no caso da DORA) de um regime de testes específico. Se o seu BCMS estiver bem construído, as camadas regulatórias encaixam nele em vez de o duplicarem.
Construa primeiro a espinha dorsal. O curso ISO 22301 Lead Implementer é o que lhe ensina a implementar o sistema de gestão do qual tudo o resto depende; se apenas precisar de compreender a estrutura e o vocabulário, comece pelo curso ISO 22301 Foundation.
O que cada referencial acrescenta de facto
A forma honesta de ler os três é como um núcleo operacional único mais duas camadas regulatórias. A ISO 22301 é o núcleo porque é o único dos três que prescreve como construir e manter a própria capacidade de continuidade. A NIS 2 e a DORA presumem que essa capacidade existe e depois impõem deveres por cima: a quem tem de comunicar quando algo falha, com que rapidez, e como tem de provar que a capacidade funciona.
| Referencial | O que acrescenta por cima do núcleo | A quem se aplica |
|---|---|---|
| ISO 22301 | O próprio sistema de gestão de continuidade de negócio: BIA, RTO/RPO, planos de continuidade e de recuperação, runbooks, exercícios, revisão pela gestão. A espinha dorsal operacional que os outros dois presumem. | Qualquer organização, voluntariamente. Certificável, mas não exigido por lei. |
| NIS 2 | Prazos de notificação de incidentes (alerta precoce, notificação, relatório final), deveres de continuidade de negócio e de gestão de crises, segurança da cadeia de fornecimento, e responsabilização da gestão. | Entidades essenciais e importantes em setores designados em toda a UE (energia, transportes, saúde, infraestrutura digital, administração pública e mais). |
| DORA | Resiliência TIC do setor financeiro: um programa de testes de resiliência operacional digital que inclui testes de penetração orientados por ameaças para entidades significativas, o registo de terceiros TIC, e a supervisão direta dos prestadores TIC críticos. | Entidades financeiras na UE (bancos, seguradoras, sociedades de investimento, prestadores de criptoativos) e os seus terceiros TIC críticos. |
Leia a tabela de cima para baixo e o desenho torna-se óbvio. Implementa-se a ISO 22301 uma vez. A NIS 2 e a DORA dizem-lhe depois que evidências o regulador quer ver desse único sistema, e a DORA acrescenta uma disciplina de testes que vai além dos exercícios de tabletop que a ISO 22301 espera.
Como funciona nas operações
Em termos do dia a dia, a integração vive em três artefactos, e acertar neles é a maior parte do trabalho. O primeiro é um catálogo de serviços e uma BIA únicos e autoritativos. Decida uma vez quais serviços são críticos, qual a sua tolerância à disrupção, e do que dependem. Cada referencial passa então a ler dessa única fonte. Se o seu âmbito NIS 2 e a sua lista de funções críticas ou importantes da DORA discordarem da sua BIA ISO 22301, já perdeu o argumento da auditoria antes mesmo de começar.
O segundo é um pipeline de incidentes unificado. A ISO 22301 quer que detete, responda e acione os planos de continuidade. A NIS 2 e a DORA querem que notifique, dentro do prazo, uma autoridade competente. Construa um único processo de deteção e triagem cujo resultado alimente tanto a resposta de continuidade interna como o fluxo de notificação regulatória. O relógio da notificação começa no momento da tomada de conhecimento, pelo que o estrangulamento raramente é o plano de continuidade; é a decisão de saber se um evento é notificável e a rapidez de redação da notificação precoce. Modelos de notificação pré-redigidos e um responsável claro pela escalada valem mais aqui do que qualquer ferramenta.
O terceiro artefacto é o programa de testes e exercícios, e é aqui que a DORA pressiona com mais força. Os exercícios da ISO 22301 validam os planos; a DORA exige um programa de testes documentado e, para as entidades significativas, testes de penetração orientados por ameaças num ciclo plurianual. O curso DORA Lead Manager cobre o regime de testes e o registo de terceiros TIC com a profundidade que a regulação exige, enquanto o curso Lead Operational Resilience Manager é o que foi concebido especificamente para conduzir os três referenciais como um único programa.
A decisão: certificar, alinhar, ou ambos
Uma pergunta comum é se precisa de certificação ISO 22301 para satisfazer a NIS 2 ou a DORA. Não precisa. Nenhuma das regulações exige o certificado. Mas a norma é o modelo mais amplamente reconhecido para a capacidade que ambas as regulações presumem, pelo que a maioria das equipas alinha-se à ISO 22301 mesmo quando opta por não se certificar. A decisão divide-se de forma clara: alinhe-se à ISO 22301 para obter um BCMS coerente e defensável; certifique-se por cima apenas se um cliente, um concurso, ou um conselho de administração quiser garantia de terceiros sobre ele.
Se de facto procurar o certificado, compreenda a perspetiva da auditoria de ambos os lados da mesa. Os implementadores constroem o sistema; os auditores testam se ele se sustenta.
Para conduzir a auditoria de certificação (interna ou como organismo de certificação), o curso ISO 22301 Lead Auditor ensina a metodologia de auditoria e como avaliar um BCMS face à norma, o que é também a forma mais rápida de aprender com base em que evidências o seu próprio programa será julgado.
Onde os programas correm mal
As falhas recorrentes são previsíveis, e quase todas vêm de tratar os referenciais como separados em vez de em camadas.
- Três BIAs que discordam. Continuidade, segurança e finanças definem cada uma a criticidade de forma diferente. Resolva-se exigindo uma única BIA que as três funções subscrevam.
- Planos que passam no exercício mas falham no evento. Exercícios de tabletop que percorrem uma apresentação de slides não provam nada. Teste o acionamento, não a narração: faça de facto o failover, restaure de facto a partir de backup, contacte de facto as pessoas na árvore de chamadas.
- Confundir as funções de continuidade, recuperação e resposta a incidentes. A continuidade de negócio mantém o serviço a funcionar, a recuperação de desastres restaura a tecnologia, e a resposta a incidentes contém a causa. São disciplinas distintas que devem fazer a passagem de testemunho de forma limpa.
- Falhar o relógio da notificação. O plano de continuidade funcionou mas ninguém apresentou o alerta precoce a tempo. A notificação regulatória é uma obrigação separada, com prazo definido, e precisa do seu próprio responsável.
- Tratar a gestão de crises como algo secundário. Quando um incidente escala, o ponto de falha é a tomada de decisão, não a recuperação técnica.
Duas dessas falhas têm remédios dedicados. O curso Lead Disaster Recovery Manager separa a recuperação tecnológica da continuidade de negócio para que deixem de ser confundidas, e o curso Certified Lead Crisis Manager constrói a estrutura de comando, de comunicação e de decisão que se sustenta quando um incidente se torna uma crise.
A realidade da sala de auditoria
O que um avaliador de qualquer um dos três referenciais realmente sonda é se a sua resiliência é real ou de papel. Pedirão a BIA e depois perguntarão quem a aprovou e quando foi revista pela última vez. Pedirão o seu último exercício e depois perguntarão o que falhou e o que mudou em consequência, porque um exercício sem constatações é um sinal de alerta, não um atestado de saúde. Para as entidades DORA, pedirão o programa de testes e o registo de terceiros e esperarão que ambos estejam atualizados, não reconstruídos na semana anterior.
As equipas que passam com tranquilidade são as que conduzem um único programa: uma BIA, um pipeline de incidentes que alimenta tanto a resposta interna como a notificação regulatória, um calendário de exercícios que de facto quebra coisas, e um mapeamento de controlos que lhes permite responder a três reguladores a partir da mesma base de evidências. Construa a espinha dorsal da ISO 22301 corretamente, sobreponha-lhe deliberadamente as obrigações da NIS 2 e da DORA, e a expressão que deve descrever as suas auditorias é mapear uma vez, auditar três vezes.
Frequently asked questions
01Preciso de certificação ISO 22301 ao abrigo da NIS 2 ou da DORA?
Não. Nem a NIS 2 nem a DORA exigem a certificação ISO 22301. Ambas requerem que a organização opere capacidades de continuidade de negócio e de resiliência que alcancem resultados específicos (recuperar dentro dos prazos acordados, notificar incidentes dentro dos prazos, testar os planos). Um BCMS conforme com a ISO 22301 demonstra essas capacidades de forma clara a um supervisor.
Na prática, as entidades financeiras e os operadores de importância vital procuram muitas vezes a certificação ISO 22301 porque as evidências de auditoria exigidas pela NIS 2 e pela DORA correspondem às evidências de certificação quase de um para um.
02Qual é a relação entre BCP, DR e resposta a incidentes?
Três disciplinas que se sobrepõem. Os Planos de Continuidade de Negócio (BCPs) cobrem a forma como o negócio mantém o funcionamento durante uma disrupção: pessoal, locais alternativos, soluções de contorno, comunicação. A Recuperação de Desastres (DR) cobre a restauração específica de TI de sistemas e dados. A Resposta a Incidentes (IR) cobre o ciclo de deteção até recuperação dos incidentes de segurança.
Um programa maduro conduz-nos como um só. O mesmo manual de procedimentos vai da deteção do incidente (IR) à recuperação dos sistemas (DR) e à continuação da operação do negócio (BCP). Equipas diferentes podem executar fases diferentes, mas o plano é integrado.
03O que são os testes de penetração orientados por ameaças ao abrigo da DORA?
O TLPT é o exercício de red team supervisionado pelo regulador, exigido para as entidades financeiras significativas ao abrigo da DORA, no mínimo a cada três anos. Construído sobre o TIBER-EU. Orientado por informações de ameaças (uma equipa separada de threat intelligence produz o perfil do atacante), tem como alvo funções críticas ou importantes, e é supervisionado pela autoridade nacional.
O TLPT é um trabalho de vários meses, de várias centenas de milhares de euros. É o teste de resiliência mais rigoroso que um CISO financeiro enfrentará, e o único que expõe o SOC, as regras de deteção e a cadeia de resposta a incidentes pelo que realmente são.
04Como estruturo um único programa de resiliência?
Comece pelo BCMS (espinha dorsal da ISO 22301): âmbito, BIA, objetivos de recuperação, planos, testes, revisão pela gestão. Acrescente os procedimentos de notificação de incidentes da NIS 2 e as obrigações de continuidade da cadeia de fornecimento do Article 21. Acrescente o calendário de testes específico da DORA, o registo de terceiros TIC e a classificação de incidentes para as entidades financeiras.
Mapeie os controlos num único documento de mapeamento que mostre qual cláusula de qual referencial cada controlo satisfaz. Os auditores reconhecem o mapeamento e deixam de fazer perguntas duplicadas.






