Cadeia de abastecimento NIS 2: o essencial
O artigo 21.º, n.º 2, alínea d), da NIS 2 exige que as empresas reguladas protejam toda a sua cadeia de abastecimento. Esta página cobre o essencial: o que a regra diz, a quem chega, o que os seus clientes vão pedir e como os fornecedores provam a cibersegurança sem se tornarem eles próprios uma entidade regulada.
Por que os pequenos fornecedores são afetados pela NIS2
A NIS2 (art. 21.º, n.º 2, alínea d), NIS-2, transposto no §30, n.º 2, ponto 4, BSIG) exige explicitamente que as empresas reguladas protejam toda a sua cadeia de abastecimento. Isto significa que cada entidade essencial e importante (as estimativas do BSI situam o universo alemão na ordem dos cerca de 29 500) tem de exigir contratualmente normas de cibersegurança aos seus fornecedores.
Se a sua empresa tem menos de 50 trabalhadores ou fica abaixo dos limiares de volume de negócios, não está diretamente regulada pela NIS2. Mas se presta serviços de TI, software, componentes, logística ou qualquer outro serviço a uma empresa que esteja regulada, vai deparar-se com requisitos NIS2 através dos seus contratos.
Isto não é teórico. As grandes empresas já estão a atualizar as suas condições de aquisição, a acrescentar cláusulas de cibersegurança e a pedir prova de conformidade aos fornecedores. As empresas que não conseguem demonstrar medidas de segurança adequadas correm o risco de perder contratos para concorrentes que conseguem.
§30, n.º 2, ponto 4, BSIG: Segurança da cadeia de abastecimento
As entidades reguladas têm de garantir a "segurança da cadeia de abastecimento, incluindo aspetos de segurança das relações com fornecedores diretos" (§30, n.º 2, ponto 4, BSIG, que transpõe o art. 21.º, n.º 2, alínea d), NIS-2). Esta obrigação propaga-se por via contratual a cada fornecedor da cadeia.
Requisitos contratuais
As empresas reguladas pela NIS2 têm de incluir requisitos de cibersegurança nos contratos com fornecedores. Conte com novas cláusulas sobre gestão de risco, comunicação de incidentes e controlos de acesso. Os contratos existentes serão renegociados.
Auditorias e questionários a fornecedores
Os seus clientes vão enviar questionários de segurança e podem realizar auditorias. As empresas que usam nisd2.eu conseguem gerar prova de conformidade de imediato: as que não têm um sistema andam às voltas durante semanas.
Obrigações de notificação de incidentes
Se um incidente de segurança na sua empresa afetar um cliente regulado pela NIS2, este tem de enviar um alerta precoce ao BSI no prazo de 24 horas (com notificação completa em 72 horas e relatório final no prazo de um mês, §32 BSIG). Precisa de que tenha processos de deteção e comunicação de incidentes a funcionar.
Vantagem competitiva
Quando uma empresa regulada escolhe entre dois fornecedores e um consegue demonstrar segurança alinhada com a NIS2 enquanto o outro não: a escolha é óbvia. A conformidade torna-se um fator de diferenciação comercial.
Requisitos de seguro cibernético
As seguradoras cibernéticas exigem cada vez mais prova de segurança da cadeia de abastecimento. As apólices de seguro dos seus clientes podem impor que os seus fornecedores cumpram normas mínimas de cibersegurança.
Avaliação de risco
Identifique e documente os riscos para os sistemas que usa no trabalho com clientes. Não precisa de ser complexo: uma lista estruturada com planos de tratamento é suficiente.
Controlo de acessos
Quem pode aceder aos dados e sistemas dos clientes? Acesso baseado em funções, MFA para acesso remoto e gestão documentada de utilizadores.
Tratamento de incidentes
Um processo documentado para detetar, responder e comunicar incidentes de segurança. O seu cliente precisa de saber em horas, não em semanas.
Continuidade das atividades
O que acontece se os seus sistemas ficarem indisponíveis? Estratégia de cópias de segurança, procedimentos de recuperação e planos testados para continuar a entregar aos seus clientes.
Políticas e prova
Políticas de segurança escritas, registos de formação e um registo de auditoria que prove que cumpre as suas próprias regras. É isto que os auditores verificam de facto.
Verifique a sua exposição
Use a nossa verificação de aplicabilidade gratuita para confirmar o seu estatuto NIS2. Mesmo que não esteja diretamente no âmbito, identifique quais dos seus clientes são regulados pela NIS2: esses contratos virão com novos requisitos.
Faça uma avaliação de lacunas
Compare as suas práticas de segurança atuais com as 10 medidas do §30 BSIG. A maioria das pequenas empresas já faz parte disto de forma informal: a lacuna é normalmente a documentação, não a prática.
Implemente o essencial
Comece pelos itens de maior impacto: controlo de acessos, estratégia de cópias de segurança, processo de resposta a incidentes. A plataforma nisd2.eu acompanha-o em cada requisito com modelos pré-construídos.
Monte o seu dossiê de prova
Quando o seu cliente enviar um questionário de segurança, precisa de ter as respostas prontas. Políticas, registos de formação, avaliações de risco e medidas técnicas: tudo documentado e exportável.
Reveja anualmente
A conformidade NIS2 não é um projeto único. Agende uma revisão anual dos seus riscos, atualize as suas políticas e renove a formação dos colaboradores. A plataforma acompanha os prazos automaticamente.
Perguntas frequentes
Sou legalmente obrigado a cumprir a NIS2 enquanto pequeno fornecedor?▾
Não diretamente: a NIS2 aplica-se a empresas acima do limiar de média empresa da UE (50 ou mais trabalhadores OU (mais de 10 milhões de EUR de volume de negócios E mais de 10 milhões de EUR de total do balanço), nos termos da Recomendação 2003/361/CE da Comissão) num setor regulado. Contudo, os seus clientes regulados pela NIS2 estão legalmente obrigados a proteger a sua cadeia de abastecimento (§30, n.º 2, ponto 4, BSIG, que transpõe o art. 21.º, n.º 2, alínea d), NIS-2). Isto cria uma obrigação contratual que desce até si. Não será multado pelo BSI, mas pode perder contratos.
O que acontece se eu não cumprir?▾
Os seus clientes regulados pela NIS2 enfrentam coimas de até 10 milhões de EUR / 2% do volume de negócios anual mundial (entidades essenciais) ou 7 milhões de EUR / 1,4% (entidades importantes) se não cumprirem os seus deveres de segurança da cadeia de abastecimento (§65 BSIG). Ou exigem que cumpra, ou substituem-no por um fornecedor que consiga. A consequência prática é a perda de negócio, não uma coima do BSI.
Quanto custa a conformidade do fornecedor?▾
A plataforma nisd2.eu é gratuita. Para uma pequena empresa (10 a 50 trabalhadores), o principal custo é o tempo: tipicamente 2 a 4 semanas de trabalho a tempo parcial para preparar as políticas iniciais, as avaliações de risco e os processos. A manutenção contínua é de algumas horas por trimestre.
Posso usar a conformidade NIS2 como argumento de venda?▾
Sem dúvida. Quando consegue demonstrar práticas de segurança alinhadas com a NIS2 com prova documentada, torna-se um fornecedor preferencial. Algumas empresas já publicitam a conformidade NIS2 da cadeia de abastecimento como fator de diferenciação competitiva em concursos e propostas.
E se o meu cliente ainda não pediu?▾
Vai pedir. O prazo de registo no BSI terminou em março de 2026 e muitos milhares de empresas continuam a recuperar atraso na implementação. À medida que implementam a NIS2, a segurança da cadeia de abastecimento é uma das 10 medidas obrigatórias (§30, n.º 2, ponto 4, BSIG). Antecipar-se ao pedido posiciona-o como um parceiro proativo e de confiança.
Inicie a conformidade da sua cadeia de abastecimento: gratuito
A plataforma nisd2.eu guia-o por cada requisito, gera o seu dossiê de prova e mantém-no pronto para auditoria. Sem custos, sem cartão de crédito.