Resiliência operacional: DORA, NIS 2 e ISO 22301 num só lugar.

Como os três referenciais se articulam entre si, onde as obrigações se sobrepõem, e como conduzir um único programa de resiliência que satisfaça as três auditorias.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll pillars

A perspetiva da Cyber Academy

A resiliência operacional é a capacidade de uma organização de prestar serviços críticos durante uma disrupção e, em seguida, recuperar. Três referenciais a regem na Europa: ISO 22301 (norma de BCMS, a camada operacional), NIS 2 (obrigação de continuidade de negócio do Article 21 para as entidades abrangidas), DORA (Articles 11-12 para entidades financeiras, além de testes dedicados). Um único programa pode satisfazer os três; conduzi-los como fluxos de trabalho separados duplica o trabalho e cria inconsistências.

TL;DR

  • 1A ISO 22301 é a espinha dorsal operacional: BIA, objetivos de recuperação, BCP, runbooks, exercícios de tabletop, BCMS sob revisão pela gestão.
  • 2A NIS 2 acrescenta a notificação de incidentes (alerta precoce em 24 horas, notificação em 72 horas, relatório em um mês) e a continuidade da cadeia de fornecimento.
  • 3A DORA acrescenta testes específicos das entidades financeiras (testes de penetração orientados por ameaças para entidades significativas a cada três anos), o registo de terceiros TIC, e a supervisão ao nível das ESA para os prestadores críticos.
  • 4O Lead Operational Resilience Manager (credencial PECB) foi concebido especificamente para integrar os três.
  • 5Mapear uma vez, auditar três vezes: um único BCMS alinhado com a 22301 e com mapeamentos de controlos da NIS 2 e da DORA satisfaz as três auditorias.

Por que um programa, e não três

O instinto na maioria das organizações é tratar a ISO 22301, a NIS 2 e a DORA como três projetos de conformidade separados, muitas vezes geridos por três equipas diferentes: continuidade de negócio, operações de segurança, e uma função de regulação financeira ou de risco. Essa é a forma mais cara de o fazer. Acaba-se com três análises de impacto no negócio que discordam sobre quais serviços são críticos, três conjuntos de objetivos de recuperação que ninguém reconcilia, e três calendários de exercícios que esgotam as mesmas pessoas. Os auditores notam as costuras de imediato.

Os referenciais não são concorrentes. A ISO 22301 dá-lhe o sistema de gestão: a análise de impacto no negócio (BIA), os objetivos de tempo de recuperação e de ponto de recuperação, os planos de continuidade e de recuperação, os exercícios, e o ciclo de revisão pela gestão. A NIS 2 e a DORA não substituem nada disso. Acrescentam obrigações por cima, sobretudo em torno da notificação de incidentes, da garantia da cadeia de fornecimento, e (no caso da DORA) de um regime de testes específico. Se o seu BCMS estiver bem construído, as camadas regulatórias encaixam nele em vez de o duplicarem.

Construa primeiro a espinha dorsal. O curso ISO 22301 Lead Implementer é o que lhe ensina a implementar o sistema de gestão do qual tudo o resto depende; se apenas precisar de compreender a estrutura e o vocabulário, comece pelo curso ISO 22301 Foundation.

O que cada referencial acrescenta de facto

A forma honesta de ler os três é como um núcleo operacional único mais duas camadas regulatórias. A ISO 22301 é o núcleo porque é o único dos três que prescreve como construir e manter a própria capacidade de continuidade. A NIS 2 e a DORA presumem que essa capacidade existe e depois impõem deveres por cima: a quem tem de comunicar quando algo falha, com que rapidez, e como tem de provar que a capacidade funciona.

Como a ISO 22301, a NIS 2 e a DORA se interligam
ReferencialO que acrescenta por cima do núcleoA quem se aplica
ISO 22301O próprio sistema de gestão de continuidade de negócio: BIA, RTO/RPO, planos de continuidade e de recuperação, runbooks, exercícios, revisão pela gestão. A espinha dorsal operacional que os outros dois presumem.Qualquer organização, voluntariamente. Certificável, mas não exigido por lei.
NIS 2Prazos de notificação de incidentes (alerta precoce, notificação, relatório final), deveres de continuidade de negócio e de gestão de crises, segurança da cadeia de fornecimento, e responsabilização da gestão.Entidades essenciais e importantes em setores designados em toda a UE (energia, transportes, saúde, infraestrutura digital, administração pública e mais).
DORAResiliência TIC do setor financeiro: um programa de testes de resiliência operacional digital que inclui testes de penetração orientados por ameaças para entidades significativas, o registo de terceiros TIC, e a supervisão direta dos prestadores TIC críticos.Entidades financeiras na UE (bancos, seguradoras, sociedades de investimento, prestadores de criptoativos) e os seus terceiros TIC críticos.

Leia a tabela de cima para baixo e o desenho torna-se óbvio. Implementa-se a ISO 22301 uma vez. A NIS 2 e a DORA dizem-lhe depois que evidências o regulador quer ver desse único sistema, e a DORA acrescenta uma disciplina de testes que vai além dos exercícios de tabletop que a ISO 22301 espera.

Como funciona nas operações

Em termos do dia a dia, a integração vive em três artefactos, e acertar neles é a maior parte do trabalho. O primeiro é um catálogo de serviços e uma BIA únicos e autoritativos. Decida uma vez quais serviços são críticos, qual a sua tolerância à disrupção, e do que dependem. Cada referencial passa então a ler dessa única fonte. Se o seu âmbito NIS 2 e a sua lista de funções críticas ou importantes da DORA discordarem da sua BIA ISO 22301, já perdeu o argumento da auditoria antes mesmo de começar.

O segundo é um pipeline de incidentes unificado. A ISO 22301 quer que detete, responda e acione os planos de continuidade. A NIS 2 e a DORA querem que notifique, dentro do prazo, uma autoridade competente. Construa um único processo de deteção e triagem cujo resultado alimente tanto a resposta de continuidade interna como o fluxo de notificação regulatória. O relógio da notificação começa no momento da tomada de conhecimento, pelo que o estrangulamento raramente é o plano de continuidade; é a decisão de saber se um evento é notificável e a rapidez de redação da notificação precoce. Modelos de notificação pré-redigidos e um responsável claro pela escalada valem mais aqui do que qualquer ferramenta.

O terceiro artefacto é o programa de testes e exercícios, e é aqui que a DORA pressiona com mais força. Os exercícios da ISO 22301 validam os planos; a DORA exige um programa de testes documentado e, para as entidades significativas, testes de penetração orientados por ameaças num ciclo plurianual. O curso DORA Lead Manager cobre o regime de testes e o registo de terceiros TIC com a profundidade que a regulação exige, enquanto o curso Lead Operational Resilience Manager é o que foi concebido especificamente para conduzir os três referenciais como um único programa.

A decisão: certificar, alinhar, ou ambos

Uma pergunta comum é se precisa de certificação ISO 22301 para satisfazer a NIS 2 ou a DORA. Não precisa. Nenhuma das regulações exige o certificado. Mas a norma é o modelo mais amplamente reconhecido para a capacidade que ambas as regulações presumem, pelo que a maioria das equipas alinha-se à ISO 22301 mesmo quando opta por não se certificar. A decisão divide-se de forma clara: alinhe-se à ISO 22301 para obter um BCMS coerente e defensável; certifique-se por cima apenas se um cliente, um concurso, ou um conselho de administração quiser garantia de terceiros sobre ele.

Se de facto procurar o certificado, compreenda a perspetiva da auditoria de ambos os lados da mesa. Os implementadores constroem o sistema; os auditores testam se ele se sustenta.

Para conduzir a auditoria de certificação (interna ou como organismo de certificação), o curso ISO 22301 Lead Auditor ensina a metodologia de auditoria e como avaliar um BCMS face à norma, o que é também a forma mais rápida de aprender com base em que evidências o seu próprio programa será julgado.

Onde os programas correm mal

As falhas recorrentes são previsíveis, e quase todas vêm de tratar os referenciais como separados em vez de em camadas.

  1. Três BIAs que discordam. Continuidade, segurança e finanças definem cada uma a criticidade de forma diferente. Resolva-se exigindo uma única BIA que as três funções subscrevam.
  2. Planos que passam no exercício mas falham no evento. Exercícios de tabletop que percorrem uma apresentação de slides não provam nada. Teste o acionamento, não a narração: faça de facto o failover, restaure de facto a partir de backup, contacte de facto as pessoas na árvore de chamadas.
  3. Confundir as funções de continuidade, recuperação e resposta a incidentes. A continuidade de negócio mantém o serviço a funcionar, a recuperação de desastres restaura a tecnologia, e a resposta a incidentes contém a causa. São disciplinas distintas que devem fazer a passagem de testemunho de forma limpa.
  4. Falhar o relógio da notificação. O plano de continuidade funcionou mas ninguém apresentou o alerta precoce a tempo. A notificação regulatória é uma obrigação separada, com prazo definido, e precisa do seu próprio responsável.
  5. Tratar a gestão de crises como algo secundário. Quando um incidente escala, o ponto de falha é a tomada de decisão, não a recuperação técnica.

Duas dessas falhas têm remédios dedicados. O curso Lead Disaster Recovery Manager separa a recuperação tecnológica da continuidade de negócio para que deixem de ser confundidas, e o curso Certified Lead Crisis Manager constrói a estrutura de comando, de comunicação e de decisão que se sustenta quando um incidente se torna uma crise.

A realidade da sala de auditoria

O que um avaliador de qualquer um dos três referenciais realmente sonda é se a sua resiliência é real ou de papel. Pedirão a BIA e depois perguntarão quem a aprovou e quando foi revista pela última vez. Pedirão o seu último exercício e depois perguntarão o que falhou e o que mudou em consequência, porque um exercício sem constatações é um sinal de alerta, não um atestado de saúde. Para as entidades DORA, pedirão o programa de testes e o registo de terceiros e esperarão que ambos estejam atualizados, não reconstruídos na semana anterior.

As equipas que passam com tranquilidade são as que conduzem um único programa: uma BIA, um pipeline de incidentes que alimenta tanto a resposta interna como a notificação regulatória, um calendário de exercícios que de facto quebra coisas, e um mapeamento de controlos que lhes permite responder a três reguladores a partir da mesma base de evidências. Construa a espinha dorsal da ISO 22301 corretamente, sobreponha-lhe deliberadamente as obrigações da NIS 2 e da DORA, e a expressão que deve descrever as suas auditorias é mapear uma vez, auditar três vezes.

Frequently asked questions

01Preciso de certificação ISO 22301 ao abrigo da NIS 2 ou da DORA?

Não. Nem a NIS 2 nem a DORA exigem a certificação ISO 22301. Ambas requerem que a organização opere capacidades de continuidade de negócio e de resiliência que alcancem resultados específicos (recuperar dentro dos prazos acordados, notificar incidentes dentro dos prazos, testar os planos). Um BCMS conforme com a ISO 22301 demonstra essas capacidades de forma clara a um supervisor.

Na prática, as entidades financeiras e os operadores de importância vital procuram muitas vezes a certificação ISO 22301 porque as evidências de auditoria exigidas pela NIS 2 e pela DORA correspondem às evidências de certificação quase de um para um.

02Qual é a relação entre BCP, DR e resposta a incidentes?

Três disciplinas que se sobrepõem. Os Planos de Continuidade de Negócio (BCPs) cobrem a forma como o negócio mantém o funcionamento durante uma disrupção: pessoal, locais alternativos, soluções de contorno, comunicação. A Recuperação de Desastres (DR) cobre a restauração específica de TI de sistemas e dados. A Resposta a Incidentes (IR) cobre o ciclo de deteção até recuperação dos incidentes de segurança.

Um programa maduro conduz-nos como um só. O mesmo manual de procedimentos vai da deteção do incidente (IR) à recuperação dos sistemas (DR) e à continuação da operação do negócio (BCP). Equipas diferentes podem executar fases diferentes, mas o plano é integrado.

03O que são os testes de penetração orientados por ameaças ao abrigo da DORA?

O TLPT é o exercício de red team supervisionado pelo regulador, exigido para as entidades financeiras significativas ao abrigo da DORA, no mínimo a cada três anos. Construído sobre o TIBER-EU. Orientado por informações de ameaças (uma equipa separada de threat intelligence produz o perfil do atacante), tem como alvo funções críticas ou importantes, e é supervisionado pela autoridade nacional.

O TLPT é um trabalho de vários meses, de várias centenas de milhares de euros. É o teste de resiliência mais rigoroso que um CISO financeiro enfrentará, e o único que expõe o SOC, as regras de deteção e a cadeia de resposta a incidentes pelo que realmente são.

04Como estruturo um único programa de resiliência?

Comece pelo BCMS (espinha dorsal da ISO 22301): âmbito, BIA, objetivos de recuperação, planos, testes, revisão pela gestão. Acrescente os procedimentos de notificação de incidentes da NIS 2 e as obrigações de continuidade da cadeia de fornecimento do Article 21. Acrescente o calendário de testes específico da DORA, o registo de terceiros TIC e a classificação de incidentes para as entidades financeiras.

Mapeie os controlos num único documento de mapeamento que mostre qual cláusula de qual referencial cada controlo satisfaz. Os auditores reconhecem o mapeamento e deixam de fazer perguntas duplicadas.

Grupos que transformam a leitura numa credencial.

ISO 22301 FoundationPECB

ISO 22301 Foundation

Foundation2 days
Ao próprio ritmo. Início a qualquer momento

Certificação ISO 22301 Foundation acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso.

Live €1.099

Self-paced €499

Book
ISO 22301 Lead ImplementerPECB

ISO 22301 Lead Implementer

Lead Implementer5 days
Ao próprio ritmo. Início a qualquer momento

Certificação ISO 22301 Lead Implementer acreditada pela PECB. Formação online ao vivo com garantia de certificação ou reembolso.

Live €2.499

Self-paced €899

Book
ISO 22301 Lead AuditorPECB

ISO 22301 Lead Auditor

Lead Auditor5 days
Ao próprio ritmo. Início a qualquer momento

Certificação ISO 22301 Lead Auditor acreditada pela PECB. Formação online em direto com garantia certificado ou reembolso.

Live €2.499

Self-paced €899

Book
Lead Operational Resilience ManagerPECB

Lead Operational Resilience Manager

Lead5 days
Ao próprio ritmo. Início a qualquer momento

Certificação Lead Operational Resilience Manager acreditada pela PECB. Formação online em direto com garantia de certificação ou reembolso.

Live €2.499

Self-paced €899

Book
DORA Lead ManagerPECB

DORA Lead Manager

Manager5 days
Ao próprio ritmo. Início a qualquer momento

Torne-se um DORA Lead Manager certificado. Implemente a resiliência operacional digital em instituições financeiras. Curso acreditado pela PECB com exame incluído.

Live €2.499

Self-paced €899

Book
Lead Disaster Recovery ManagerPECB

Lead Disaster Recovery Manager

Lead5 days
Ao próprio ritmo. Início a qualquer momento

Certificação PECB Lead Disaster Recovery Manager. Formação online ao vivo com garantia de certificação ou reembolso.

Live €2.499

Self-paced €899

Book
Certified Lead Crisis ManagerPECB

Certified Lead Crisis Manager

Lead5 days
Ao próprio ritmo. Início a qualquer momento

Certificação PECB Certified Lead Crisis Manager. Formação online em direto com garantia de certificação ou reembolso.

Live €2.499

Self-paced €899

Book

Pilar lido. E agora?

Cada pilar liga ao grupo que o transforma numa credencial. Consulte o catálogo ou fale connosco para um percurso personalizado.