Frameworks: linhas orientadoras, não imposições

Frameworks são conjuntos de boas práticas, estruturas lógicas e recomendações que orientam a implementação de sistemas de gestão, segurança ou governação.

São voluntárias, mas altamente valorizadas por serem práticas comprovadas e testadas pelo mercado, especialmente em auditorias, concursos públicos, relações com clientes e gestão de risco reputacional.

• Exemplos de frameworks:
  • ISO/IEC 27001 – Gestão da segurança da informação
  • ISO 22301 – Continuidade de negócio
  • NIST CSF – Framework de cibersegurança (EUA)
  • COBIT 2019 – Governação e gestão de IT
  • CSA CCM – Controlo de segurança em cloud
  • CSA AICM – Controlo de tecnologias de IA

• Porque implementar?
  • Demonstram maturidade organizacional
  • Permitem alinhamento com normas internacionais
  • São reconhecidas globalmente
  • Ajudam a preparar para regulamentos futuros
  • Suportam certificações que aumentam credibilidade

Regulamentos e diretivas: obrigações legais

Os regulamentos e diretivas são instrumentos jurídicos da União Europeia. Têm força legal e devem ser cumpridos por todas as entidades abrangidas.

A não conformidade pode resultar em sanções, coimas, perda de contratos ou processos judiciais.

• Exemplos:
  • NIS 2 (2022/2555) – Segurança de redes e sistemas em setores essenciais
  • DORA (2022/2554) – Resiliência operacional no setor financeiro
  • Cyber Resilience Act (2024/2847) – Segurança de produtos digitais no mercado europeu
  • RGPD (2016/679) – Proteção de dados pessoais
  • AI Act (2024/1689) – Regulação de sistemas de inteligência artificial
• Porque cumprir?
  • Obrigação legal direta
  • Fiscalização por entidades reguladoras nacionais
  • Penalizações significativas em caso de incumprimento
  • Reputação em risco em caso de incidente não reportado ou não gerido

O erro comum: aplicar só frameworks… quando já tem obrigações legais

Muitas organizações implementam a ISO/IEC 27001 ou o NIST CSF e assumem que isso é suficiente para cumprir regulamentos como a NIS 2 ou o DORA. Mas, não é suficiente, é preciso ir mais longe.

As frameworks ajudam, mas não substituem as obrigações específicas.

Exemplo:

• A ISO/IEC 27001 ajuda a estruturar e a gerir a segurança da informação definindo requisitos genéricos.
• Mas a NIS 2 exige o cumprimento de requisitos específicos, por exemplo, reporting em 24h, responsabilização e compromissos específicos da gestão de topo, mapeamento da cadeia de fornecimento, entre outros pontos que vão além da ISO.

O que implementar, então?

Se está num setor importante, essencial ou crítico:

• Implemente os regulamentos aplicáveis (NIS 2, DORA, CRE, CRA…)
• Complemente com frameworks como a ISO/IEC 27001, ISO 22301, NIST CSF para garantir robustez e maturidade

Se ainda não tem obrigações legais diretas:

• Comece por frameworks reconhecidas (ex: ISO/IEC 27001, NIST CSF)
• Antecipe regulamentação futura
• Reduza riscos e aumente a confiança do mercado

Dica prática: mapa cruzado

Muitas formações da Behaviour incluem mapas de correspondência entre regulamentos e frameworks. Por exemplo:

• Com a ISO/IEC 27001 suporta a conformidade com a NIS 2
• Com a ISO 22301 suporta os requisitos do DORA
• Com os NIST CSF e SSDF reforça a preparação para o CRA

Isto permite maximizar esforços e evitar trabalho duplicado.

Frameworks guiam. Regulamentos obrigam. A chave está em saber quando usar cada um e como integrá-los.

Quem aposta só no mínimo legal, cumpre. Quem combina frameworks + regulamentos, lidera.

Na Behaviour, formamos profissionais e equipas para atuarem com confiança, clareza e visão, seja para obter certificação, garantir conformidade ou criar vantagem competitiva.

Autor: Behaviour
Publicado em: 15 outubro de 2025
Não é autorizada a cópia ou reprodução deste artigo.