A maioria das ferramentas de compliance organiza-se em torno de uma única norma. Compra uma para a ISO 27001, outra para o SOC 2, uma folha de cálculo para a NIS2, e a mesma evidência é carregada três vezes. O mapeamento cruzado quebra esse padrão ao tornar o controlo — e não o framework — a unidade de trabalho.
Os frameworks sobrepõem-se muito mais do que divergem
ISO 27001, NIS2, DORA, SOC 2, o RGPD e o AI Act foram escritos por entidades diferentes por razões diferentes, mas pedem muitas das mesmas coisas: controlo de acessos, encriptação, logging, resposta a incidentes, gestão de fornecedores. A redação difere; o controlo subjacente é o mesmo.
Um exemplo prático: MFA
Considere um único controlo — “Autenticação multifator imposta para todos os acessos privilegiados.” Implemente-o uma vez e satisfaz, em simultâneo:
- ISO 27001 — objetivos de controlo de acessos do Anexo A.
- NIS2 — medidas de gestão de risco de cibersegurança.
- DORA — requisitos de acesso e autenticação TIC.
- SOC 2 — critérios de acesso lógico.
- RGPD — segurança do tratamento nos termos do Artigo 32.º.
Um controlo, uma evidência, cinco frameworks satisfeitos. Numa ferramenta de norma única, acompanharia isto cinco vezes.
A arquitetura que o torna possível
O mapeamento cruzado precisa de um modelo partilhado: leis e normas mapeiam para uma biblioteca comum de controlos; os controlos ligam-se a riscos e a evidência. Quando anexa um documento a um controlo, todos os requisitos que o referenciam herdam a evidência — com o histórico de versões intacto.
O que ganha
- Zero trabalho duplicado — implemente e evidencie uma vez.
- Auditorias mais rápidas — os auditores veem o mesmo controlo mapeado ao seu framework.
- Cobertura honesta — as lacunas são visíveis em todos os frameworks de uma só vez.
- Expansão mais barata — adicionar uma nova norma reutiliza controlos que já corre.
É a arquitetura sobre a qual assentam as melhores plataformas GRC do mundo — e é o núcleo da iComply.