Um fornecedor é comprometido. O que exige a NIS 2 da entidade?
O artigo 21.º, n.º 2, alínea d), da NIS 2 coloca a segurança da cadeia de abastecimento sobre a entidade. O artigo 23.º rege a comunicação de incidentes. Ambos se aplicam quando um fornecedor afetado expõe os próprios serviços da entidade.
O que esta página abrange
O artigo 21.º, n.º 2, alínea d), da NIS 2 exige que as entidades adotem medidas adequadas e proporcionadas para tratar o risco de segurança da cadeia de abastecimento para as suas próprias redes e sistemas de informação. O dever recai sobre a entidade, não sobre o fornecedor. A diretiva não regula os fornecedores que estão eles próprios fora do âmbito; regula como a entidade no âmbito os gere.
Quando um fornecedor direto é comprometido, seguem-se duas questões distintas. Primeira, a própria prestação de serviços da entidade foi afetada, o que pode desencadear um relatório de incidente nos termos do artigo 23.º ao nível da entidade. Segunda, a cadeia de notificação contratual ao abrigo do artigo 21.º, n.º 2, alínea d), está a funcionar, de modo a que a entidade tome conhecimento da violação dentro do prazo acordado e pelo canal acordado.
Uma violação no fornecedor afetado não é, por si só, um incidente comunicável para a entidade. Torna-se um quando a violação causa um incidente significativo na entidade na aceção do artigo 23.º, n.º 3, da NIS 2.
Artigo 21.º, n.º 2, alínea d), NIS 2
segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços.
O artigo trata da relação com os fornecedores diretos, não do próprio fornecedor. A entidade continua responsável pela gestão dessa relação, incluindo pelos incidentes que dela se propaguem.
Considerando 90 NIS 2
as entidades deverão avaliar e ter em conta a qualidade e a resiliência globais dos produtos e serviços, as medidas de gestão dos riscos de cibersegurança neles integradas e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.
O considerando 90 explica a lógica de política subjacente ao artigo 21.º, n.º 2, alínea d). Enquadra a segurança da cadeia de abastecimento como uma avaliação contínua da postura do fornecedor, não como uma verificação pontual de integração.
Artigo 23.º, n.º 3, NIS 2
um incidente é considerado significativo se: a) tiver causado ou for suscetível de causar uma perturbação operacional grave dos serviços ou perdas financeiras para a entidade em causa; b) tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.
O artigo 23.º, n.º 3, define o limiar de significância ao nível da entidade. Um incidente de fornecedor é avaliado por esta lente assim que atinge os próprios serviços da entidade.
Tomar conhecimento da violação a tempo
O artigo 21.º, n.º 2, alínea d), operacionaliza-se numa cláusula contratual. O fornecedor afetado tem de notificar a entidade dentro de um prazo definido e por um canal definido. Sem essa cláusula, a entidade fica a saber por comunicados de imprensa, o que é demasiado tarde para um prazo do artigo 23.º.
Avaliar a exposição da própria entidade
A questão não é se o fornecedor está em apuros. A questão é se as próprias redes e sistemas de informação da entidade, ou os serviços que presta, estão afetados. Este é um exercício factual: que dados, que interface, que dependência, que solução de recurso.
Decidir sobre a comunicação da própria entidade
Se os próprios serviços da entidade ultrapassarem o limiar do artigo 23.º, n.º 3, a entidade apresenta o alerta precoce no prazo de 24 horas, a notificação de incidente no prazo de 72 horas e o relatório final no prazo de um mês. O relatório é apresentado pela entidade para a entidade, mesmo que a causa raiz esteja no fornecedor.
O dever recai sobre a entidade
O artigo 21.º enumera medidas que a entidade tem de adotar. Não regula o fornecedor. Se o fornecedor afetado estiver ele próprio no âmbito da NIS 2, tem os seus próprios deveres. Esses deveres não substituem os deveres da entidade; correm em paralelo.
Contrato antes da crise
O considerando 90 espera que a relação com o fornecedor seja avaliada antes de um incidente acontecer. A cadeia de notificação, o dever de cooperação, o direito a receber prova: vivem no contrato. Depois de uma violação é o momento errado para os negociar.
§30 + §32 BSIG
O §30 BSIG leva o dever de gestão de risco da cadeia de abastecimento para o direito alemão. O §32 BSIG leva a estrutura de comunicação de 24h / 72h / um mês. A entidade comunica através do Meldeportal do BSI, independentemente de onde ocorreu a violação de origem.
ENISA Threat Landscape for Supply Chain
A ENISA publica material anual sobre padrões de ataque à cadeia de abastecimento e práticas de notificação. É material de referência para a metodologia de risco da entidade ao abrigo do artigo 21.º, n.º 2, alínea d), não uma obrigação separada.
Orientação do CSIRT setorial
Para as entidades de infraestrutura digital, o Regulamento de Execução da Comissão 2024/2690 especifica os requisitos da cadeia de abastecimento ao nível de detalhe seguinte. Outros setores seguem diretamente o artigo 21.º, n.º 2, alínea d), refinado por orientação nacional e por CSIRT setoriais.
"É problema do fornecedor."
O artigo 21.º, n.º 2, alínea d), coloca o dever da cadeia de abastecimento sobre a entidade. O fornecedor pode ter ou não os seus próprios deveres NIS 2, consoante esteja no âmbito. O dever da entidade existe de qualquer forma.
"O fornecedor comunica, por isso a entidade não tem de o fazer."
Um fornecedor no âmbito da NIS 2 comunica o seu próprio incidente significativo. Esse relatório não satisfaz o artigo 23.º para a entidade. Se os próprios serviços da entidade atingirem o limiar do artigo 23.º, n.º 3, a entidade apresenta separadamente ao nível da entidade.
"As TI vigiam o fornecedor, não é preciso envolver a direção."
O artigo 20.º da NIS 2 exige que o órgão de direção aprove as medidas de gestão dos riscos de cibersegurança e fiscalize a sua implementação. A monitorização da cadeia de abastecimento é uma dessas medidas. Um processo de TI silencioso sem aprovação do órgão de direção não satisfaz o artigo 20.º.
A parte difícil raramente é o relatório. A parte difícil é a avaliação de dependência sob pressão de tempo. Se a entidade ainda não sabe que fornecedor toca em que serviço, em que dados e através de que interface, as primeiras horas após a violação de um fornecedor são gastas a reconstruir esse mapa em vez de agir sobre ele.
Um inventário de ativos e fornecedores que liste, por fornecedor, o serviço afetado, a categoria de dados e o canal de notificação contratual transforma a violação de um fornecedor de uma emergência numa rotina. A diretiva não prescreve o formato desse inventário. Exige, sim, que exista numa forma que a entidade consiga de facto usar.
A plataforma mantém um registo de fornecedores ligado aos serviços da entidade e um campo de notificação contratual por fornecedor. Quando uma violação de um fornecedor é registada, os serviços afetados surgem de imediato e o cronómetro de comunicação do artigo 23.º pode arrancar sobre um mapa de dependências limpo.
A aprovação do órgão de direção sobre a abordagem ao risco da cadeia de abastecimento é capturada como uma aprovação única, com um registo de auditoria versionado. O mesmo registo documenta cada violação de fornecedor e a decisão de significância nos termos do artigo 23.º, n.º 3, que a entidade tomou, para que a avaliação seja revisível mais tarde.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 20.º, artigo 21.º, n.º 2, alínea d), artigo 23.º, considerando 90. EUR-Lex.
- Regulamento de Execução da Comissão (UE) 2024/2690, requisitos da cadeia de abastecimento para entidades de infraestrutura digital.
- BSIG (Alemanha), §30 (medidas de gestão de risco), §32 (comunicação de incidentes).
- ENISA Threat Landscape for Supply Chain Attacks, edição anual.