Cláusulas contratuais de fornecedores NIS 2
O Artigo 21(2)(d) NIS 2 obriga as entidades a abordar a segurança nas suas relações diretas com fornecedores e prestadores de serviços. O Artigo 21(1) decide até onde vai essa obrigação.
O que o Artigo 21(2)(d) exige
O Artigo 21(2)(d) NIS 2 inclui a segurança da cadeia de abastecimento entre as dez medidas mínimas de gestão de risco de cibersegurança. A diretiva é específica quanto ao âmbito: abrange os aspetos relacionados com a segurança da relação entre uma entidade e os seus fornecedores ou prestadores de serviços diretos. Não regula toda a cadeia de abastecimento, nem exige uma cláusula-tipo genérica.
A cláusula complementar é o Artigo 21(1). Todas as medidas ao abrigo do Artigo 21(2), incluindo a segurança da relação com fornecedores, têm de ser adequadas e proporcionadas aos riscos enfrentados pela entidade. O custo de implementação, a dimensão da entidade, a probabilidade de incidentes e a sua gravidade entram todos no teste de proporcionalidade. Não se espera a mesma profundidade contratual de uma empresa de resíduos com 60 pessoas e de um fornecedor de nuvem de primeira linha.
A questão prática para uma entidade no âmbito não é, por isso, que cláusulas copiar de um modelo, mas quais os aspetos relacionados com a segurança de cada relação com fornecedores que importam, que evidência a entidade precisa para gerir o risco residual e como registar que a escolha baseada no risco foi feita deliberadamente.
Artigo 21(2)(d) NIS 2
segurança da cadeia de abastecimento, incluindo aspetos relacionados com a segurança respeitantes às relações entre cada entidade e os seus fornecedores ou prestadores de serviços diretos
Uma das dez medidas mínimas enumeradas no Artigo 21(2). Note a limitação deliberada a fornecedores e prestadores de serviços diretos. A diretiva não estende a cláusula a subfornecedores de enésimo nível. Os considerandos 85 e 90 confirmam que a avaliação é baseada no risco e considera as vulnerabilidades específicas de cada fornecedor e a qualidade global das suas práticas de cibersegurança.
CIR 2024/2690, Anexo Secção 5
As entidades em causa estabelecem, implementam e aplicam uma política de segurança da cadeia de abastecimento que rege as relações com os seus fornecedores e prestadores de serviços diretos.
O Regulamento de Execução da Comissão 2024/2690 especifica a medida da cadeia de abastecimento apenas para as entidades de infraestrutura digital (DNS, registos de TLD, nuvem, centros de dados, CDN, serviços geridos e serviços geridos de segurança, mercados em linha, motores de busca, redes sociais, prestadores de serviços de confiança). A Secção 5 do Anexo enumera critérios de seleção, requisitos contratuais, deveres de monitorização e tratamento da saída. Para os outros setores, aplica-se a lei nacional de transposição.
§ 30(2) N.o 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
A NIS2UmsuCG alemã transpõe o Artigo 21(2)(d) um para um no § 30(2) N.o 4 BSIG. O § 30(1) BSIG transporta a cláusula de proporcionalidade. A orientação do BSI até à data trata a segurança da relação com fornecedores como uma obrigação de política, mais contrato, mais monitorização, não como uma lista de cláusulas.
Que fornecedores estão no âmbito
O Artigo 21(2)(d) visa os fornecedores e prestadores de serviços diretos, não toda a cadeia a montante. Espera-se que uma entidade identifique quais os fornecedores que tratam, transmitem ou armazenam dados de que a entidade depende, ou cuja interrupção de serviço afetaria o seu serviço essencial ou importante. O fornecedor de material de escritório está fora do âmbito, o alojador de nuvem da base de dados de clientes está dentro do âmbito. O critério de seleção é o risco que o fornecedor introduz, não o valor do contrato.
O que a camada contratual normalmente cobre
A orientação do BSI e a Secção 5 do CIR descrevem uma política de relação com fornecedores que se traduz em requisitos contratuais. Os elementos comuns que os reguladores procuram incluem uma referência a uma base de segurança, uma obrigação de notificação de incidentes alinhada com os prazos do Artigo 23, transparência sobre subprocessadores materiais, um direito de auditoria ou de evidência proporcionado ao risco, e direitos de rescisão por razões de segurança. A profundidade é calibrada por classe de risco do fornecedor, não aplicada de forma uniforme.
Como a entidade verifica o fornecedor
A diretiva é neutra quanto a tecnologia e a certificados. A evidência pode ser um questionário ao fornecedor, uma certificação reconhecida como a ISO 27001 ou a SOC 2, um relatório recente de teste de intrusão, ou uma cláusula contratual de auditoria exercida por amostragem. O CIR 2024/2690 Secção 5 enumera explicitamente várias formas de evidência aceitáveis. A entidade decide qual a forma adequada à classe de risco de cada fornecedor e documenta essa decisão.
Apenas fornecedores diretos, sem repercussão automática
O Artigo 21(2)(d) nomeia os fornecedores e prestadores de serviços diretos. Não impõe uma repercussão contratual a todos os subfornecedores de enésimo nível. Quando o risco de subprocessador é material, a entidade aborda-o através do contrato direto, normalmente exigindo transparência sobre os subprocessadores críticos e direitos de aprovação para alterações materiais. Uma cláusula de repercussão geral não é um requisito da diretiva e é, em geral, inexequível contra partes sem contrato direto.
Proporcionado ao risco, não uma norma fixa
O Artigo 21(1) exige medidas adequadas e proporcionadas, tendo em conta o estado da técnica, o custo de implementação, a dimensão da entidade, a exposição, a probabilidade de incidentes e a sua gravidade. A mesma proporcionalidade aplica-se à cláusula da relação com fornecedores. Uma encomenda de compra padrão não precisa de uma cláusula de auditoria completa se o risco do fornecedor for baixo. Um prestador de serviços geridos de segurança justifica uma cláusula mais profunda do que um fornecedor de hardware. A decisão é documentada, não normalizada.
BSI IT-Grundschutz OPS.2 e ORP.4
Os blocos de construção de base do BSI IT-Grundschutz OPS.2 (externalização para utilizadores de serviços) e CON.7 (externalização para prestadores de serviços), mais ORP.4 (identidade e acesso), descrevem um processo de relação com fornecedores compatível com o Artigo 21(2)(d). Para as entidades que usam o atalho Grundschutz do § 44(2) BSIG, a aplicação destes blocos de construção é tratada como evidência da medida de relação com fornecedores.
ENISA Threat Landscape for Supply Chain Attacks
Os relatórios repetidos da ENISA sobre ataques à cadeia de abastecimento enquadram o quadro de risco a que a diretiva responde. A ENISA não publica um modelo de contrato. O seu trabalho é referido nos considerandos da diretiva sobre o risco da cadeia de abastecimento e informa a metodologia de risco de fornecedores do Grupo de Cooperação, mas não é uma norma contratual vinculativa.
CIR 2024/2690 Anexo Secção 5
Para os onze tipos de entidade de infraestrutura digital no âmbito do CIR 2024/2690, o Anexo Secção 5 estabelece uma especificação mais concreta de política de fornecedores: critérios de seleção, requisitos contratuais, monitorização ao longo do ciclo de vida do contrato, condições de saída. Para todos os outros setores, isto continua a ser orientação útil, mas não diretamente vinculativa; a transposição nacional e a orientação da autoridade prevalecem.
Um único aditamento de fornecedor, assinado por todos, fecha o Artigo 21(2)(d).
A diretiva obriga as entidades a abordar os aspetos relacionados com a segurança da relação, que o Artigo 21(1) liga a um teste de proporcionalidade por fornecedor. Um único aditamento aplicado de forma uniforme contradiz a proporcionalidade e cria ou pequenos fornecedores sobrecontratados ou fornecedores críticos subcontratados. O artefacto defensável é a política de risco de fornecedores, mais a classificação de risco por fornecedor, com as cláusulas contratuais derivadas dessa classificação.
A certificação ISO 27001 do lado do fornecedor substitui todos os direitos de auditoria e de evidência.
Uma certificação reconhecida é evidência aceitável para muitas classes de risco de fornecedores, mas o Artigo 21(2)(d) não nomeia a ISO 27001 e não delega a obrigação num certificador. A entidade mantém-se responsável pela relação ao abrigo do § 30 BSIG. Quando o risco do fornecedor é elevado ou o âmbito da certificação exclui o serviço consumido, mantêm-se adequados direitos de verificação adicionais. A Secção 5 do CIR enumera explicitamente várias formas de evidência em paralelo.
Os pequenos fornecedores estão fora do âmbito da obrigação de segurança de fornecedores da entidade.
O Artigo 21(2)(d) não isenta os pequenos fornecedores. O âmbito NIS 2 do próprio fornecedor ao abrigo do Artigo 2 é uma questão separada. A obrigação da entidade é abordar os aspetos relacionados com a segurança da sua relação direta com fornecedores, independentemente da dimensão do fornecedor, calibrada ao risco que esse fornecedor introduz. Um alojador de cópias de segurança de duas pessoas que trata dados críticos atrai mais atenção do que um fornecedor de catering com mil pessoas.
Os auditores que analisam a segurança de fornecedores nas entidades NIS 2 pedem normalmente três artefactos, por esta ordem: a política de risco de fornecedores que define a lógica de classificação, o inventário de fornecedores com a classificação aplicada, e uma amostra de contratos de cada classe de risco a mostrar como a política se reflete. As próprias cláusulas contratuais são a última camada, não a primeira.
Quando a entidade usa a via Grundschutz do § 44(2) BSIG, os blocos de construção OPS.2 e CON.7 já estruturam a política de risco de fornecedores e a camada contratual. As entidades fora da Alemanha apoiam-se na orientação equivalente da autoridade nacional ou, para entidades de infraestrutura digital, no CIR 2024/2690 Anexo Secção 5. A própria diretiva não impõe uma lista uniforme de cláusulas.
O módulo de fornecedores da plataforma capta os artefactos que um auditor espera: um inventário de fornecedores com classificação de risco, o serviço ou ativo ligado, a forma de evidência acordada por fornecedor (questionário, referência de certificação, cláusula de auditoria, evidência num momento determinado) e o caminho de notificação de incidentes de volta ao próprio fluxo de notificação do Artigo 23 da entidade.
O portal de fornecedores permite que os fornecedores diretos respondam a questionários e carreguem evidência sob um acesso baseado em token, para que a conversa fique documentada num só lugar. A plataforma não publica modelos de contrato. Regista que a medida de relação com fornecedores ao abrigo do § 30(2) N.o 4 BSIG está em vigor e evidenciada por fornecedor.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(2)(d) e Artigo 21(1), EUR-Lex
- Considerandos 85 e 90, Diretiva (UE) 2022/2555, EUR-Lex
- Regulamento de Execução da Comissão (UE) 2024/2690, Anexo Secção 5, EUR-Lex
- BSIG § 30(2) N.o 4 e § 30(1), gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, módulos OPS.2 e CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA