Art. 21(2)(d) + Art. 23 NIS 2

Um fornecedor é comprometido. O que exige a NIS 2 da entidade?

O artigo 21.º, n.º 2, alínea d), da NIS 2 coloca a segurança da cadeia de abastecimento sobre a entidade. O artigo 23.º rege a comunicação de incidentes. Ambos se aplicam quando um fornecedor afetado expõe os próprios serviços da entidade.

Simon OrzelSimon Orzel·

O que esta página abrange

O artigo 21.º, n.º 2, alínea d), da NIS 2 exige que as entidades adotem medidas adequadas e proporcionadas para tratar o risco de segurança da cadeia de abastecimento para as suas próprias redes e sistemas de informação. O dever recai sobre a entidade, não sobre o fornecedor. A diretiva não regula os fornecedores que estão eles próprios fora do âmbito; regula como a entidade no âmbito os gere.

Quando um fornecedor direto é comprometido, seguem-se duas questões distintas. Primeira, a própria prestação de serviços da entidade foi afetada, o que pode desencadear um relatório de incidente nos termos do artigo 23.º ao nível da entidade. Segunda, a cadeia de notificação contratual ao abrigo do artigo 21.º, n.º 2, alínea d), está a funcionar, de modo a que a entidade tome conhecimento da violação dentro do prazo acordado e pelo canal acordado.

Uma violação no fornecedor afetado não é, por si só, um incidente comunicável para a entidade. Torna-se um quando a violação causa um incidente significativo na entidade na aceção do artigo 23.º, n.º 3, da NIS 2.

Âncora legal
Três camadas regem a situação. A diretiva coloca o dever, o regulamento de execução especifica-o para as entidades de infraestrutura digital, a lei nacional transpõe-no.

Artigo 21.º, n.º 2, alínea d), NIS 2

segurança da cadeia de abastecimento, incluindo aspetos de segurança respeitantes às relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços.

O artigo trata da relação com os fornecedores diretos, não do próprio fornecedor. A entidade continua responsável pela gestão dessa relação, incluindo pelos incidentes que dela se propaguem.

Considerando 90 NIS 2

as entidades deverão avaliar e ter em conta a qualidade e a resiliência globais dos produtos e serviços, as medidas de gestão dos riscos de cibersegurança neles integradas e as práticas de cibersegurança dos seus fornecedores e prestadores de serviços, incluindo os seus procedimentos de desenvolvimento seguro.

O considerando 90 explica a lógica de política subjacente ao artigo 21.º, n.º 2, alínea d). Enquadra a segurança da cadeia de abastecimento como uma avaliação contínua da postura do fornecedor, não como uma verificação pontual de integração.

Artigo 23.º, n.º 3, NIS 2

um incidente é considerado significativo se: a) tiver causado ou for suscetível de causar uma perturbação operacional grave dos serviços ou perdas financeiras para a entidade em causa; b) tiver afetado ou for suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.

O artigo 23.º, n.º 3, define o limiar de significância ao nível da entidade. Um incidente de fornecedor é avaliado por esta lente assim que atinge os próprios serviços da entidade.

Três coisas que a entidade tem de fazer
Deteção, avaliação de dependência e uma decisão de comunicação. Por esta ordem.
Deteção

Tomar conhecimento da violação a tempo

O artigo 21.º, n.º 2, alínea d), operacionaliza-se numa cláusula contratual. O fornecedor afetado tem de notificar a entidade dentro de um prazo definido e por um canal definido. Sem essa cláusula, a entidade fica a saber por comunicados de imprensa, o que é demasiado tarde para um prazo do artigo 23.º.

Dependência

Avaliar a exposição da própria entidade

A questão não é se o fornecedor está em apuros. A questão é se as próprias redes e sistemas de informação da entidade, ou os serviços que presta, estão afetados. Este é um exercício factual: que dados, que interface, que dependência, que solução de recurso.

Comunicação

Decidir sobre a comunicação da própria entidade

Se os próprios serviços da entidade ultrapassarem o limiar do artigo 23.º, n.º 3, a entidade apresenta o alerta precoce no prazo de 24 horas, a notificação de incidente no prazo de 72 horas e o relatório final no prazo de um mês. O relatório é apresentado pela entidade para a entidade, mesmo que a causa raiz esteja no fornecedor.

Dois princípios que as pessoas entendem mal
Estas não são opiniões jurídicas. São descrições do que a diretiva coloca onde.

O dever recai sobre a entidade

O artigo 21.º enumera medidas que a entidade tem de adotar. Não regula o fornecedor. Se o fornecedor afetado estiver ele próprio no âmbito da NIS 2, tem os seus próprios deveres. Esses deveres não substituem os deveres da entidade; correm em paralelo.

Contrato antes da crise

O considerando 90 espera que a relação com o fornecedor seja avaliada antes de um incidente acontecer. A cadeia de notificação, o dever de cooperação, o direito a receber prova: vivem no contrato. Depois de uma violação é o momento errado para os negociar.

Visão nacional
A Alemanha transpõe a diretiva através do BSIG. O dever substantivo do artigo 21.º, n.º 2, alínea d), é implementado através do §30 BSIG, o prazo de comunicação através do §32 BSIG.
Alemanha

§30 + §32 BSIG

O §30 BSIG leva o dever de gestão de risco da cadeia de abastecimento para o direito alemão. O §32 BSIG leva a estrutura de comunicação de 24h / 72h / um mês. A entidade comunica através do Meldeportal do BSI, independentemente de onde ocorreu a violação de origem.

EU

ENISA Threat Landscape for Supply Chain

A ENISA publica material anual sobre padrões de ataque à cadeia de abastecimento e práticas de notificação. É material de referência para a metodologia de risco da entidade ao abrigo do artigo 21.º, n.º 2, alínea d), não uma obrigação separada.

Setor

Orientação do CSIRT setorial

Para as entidades de infraestrutura digital, o Regulamento de Execução da Comissão 2024/2690 especifica os requisitos da cadeia de abastecimento ao nível de detalhe seguinte. Outros setores seguem diretamente o artigo 21.º, n.º 2, alínea d), refinado por orientação nacional e por CSIRT setoriais.

Três leituras erradas comuns
Cada uma surge regularmente. Cada uma está errada por uma razão específica.
  • "É problema do fornecedor."

    O artigo 21.º, n.º 2, alínea d), coloca o dever da cadeia de abastecimento sobre a entidade. O fornecedor pode ter ou não os seus próprios deveres NIS 2, consoante esteja no âmbito. O dever da entidade existe de qualquer forma.

  • "O fornecedor comunica, por isso a entidade não tem de o fazer."

    Um fornecedor no âmbito da NIS 2 comunica o seu próprio incidente significativo. Esse relatório não satisfaz o artigo 23.º para a entidade. Se os próprios serviços da entidade atingirem o limiar do artigo 23.º, n.º 3, a entidade apresenta separadamente ao nível da entidade.

  • "As TI vigiam o fornecedor, não é preciso envolver a direção."

    O artigo 20.º da NIS 2 exige que o órgão de direção aprove as medidas de gestão dos riscos de cibersegurança e fiscalize a sua implementação. A monitorização da cadeia de abastecimento é uma dessas medidas. Um processo de TI silencioso sem aprovação do órgão de direção não satisfaz o artigo 20.º.

Visão do profissional

A parte difícil raramente é o relatório. A parte difícil é a avaliação de dependência sob pressão de tempo. Se a entidade ainda não sabe que fornecedor toca em que serviço, em que dados e através de que interface, as primeiras horas após a violação de um fornecedor são gastas a reconstruir esse mapa em vez de agir sobre ele.

Um inventário de ativos e fornecedores que liste, por fornecedor, o serviço afetado, a categoria de dados e o canal de notificação contratual transforma a violação de um fornecedor de uma emergência numa rotina. A diretiva não prescreve o formato desse inventário. Exige, sim, que exista numa forma que a entidade consiga de facto usar.

Como a plataforma se encaixa

A plataforma mantém um registo de fornecedores ligado aos serviços da entidade e um campo de notificação contratual por fornecedor. Quando uma violação de um fornecedor é registada, os serviços afetados surgem de imediato e o cronómetro de comunicação do artigo 23.º pode arrancar sobre um mapa de dependências limpo.

A aprovação do órgão de direção sobre a abordagem ao risco da cadeia de abastecimento é capturada como uma aprovação única, com um registo de auditoria versionado. O mesmo registo documenta cada violação de fornecedor e a decisão de significância nos termos do artigo 23.º, n.º 3, que a entidade tomou, para que a avaliação seja revisível mais tarde.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), artigo 20.º, artigo 21.º, n.º 2, alínea d), artigo 23.º, considerando 90. EUR-Lex.
  • Regulamento de Execução da Comissão (UE) 2024/2690, requisitos da cadeia de abastecimento para entidades de infraestrutura digital.
  • BSIG (Alemanha), §30 (medidas de gestão de risco), §32 (comunicação de incidentes).
  • ENISA Threat Landscape for Supply Chain Attacks, edição anual.
Descubra se a NIS 2 se aplica à entidade
Cinco minutos. Verificação do setor do anexo I / II mais o limiar de dimensão. Não é necessária conta para ver o resultado.