NIS2: segurança da cadeia de fornecimento passou a ser uma prioridade

A entrada em vigor da diretiva NIS2 veio reforçar significativamente as obrigações de cibersegurança para milhares de organizações em toda a União Europeia. Entre as várias novidades, existe uma área que merece especial atenção: a segurança da cadeia de fornecimento.

Durante anos, as empresas concentraram os seus esforços na proteção dos seus próprios sistemas. No entanto, os cibercriminosos perceberam que muitas vezes é mais fácil comprometer um fornecedor ou parceiro tecnológico para chegar ao alvo final. Alguns dos maiores incidentes de segurança registados na última década demonstraram precisamente este problema.

Com a NIS2, as organizações abrangidas passam a ser responsáveis não apenas pela sua segurança interna, mas também pela gestão dos riscos associados a fornecedores, prestadores de serviços e parceiros externos.

A cadeia de fornecimento no centro da estratégia de cibersegurança

A diretiva determina que as entidades implementem medidas adequadas para gerir riscos relacionados com a cadeia de abastecimento e com as relações entre fornecedores e prestadores de serviços. Isto inclui a avaliação da postura de segurança dos parceiros, a identificação de dependências críticas e a adoção de mecanismos que permitam reduzir potenciais vulnerabilidades.

Na prática, uma organização pode cumprir todos os requisitos internos de segurança e, ainda assim, ficar exposta devido a falhas de um fornecedor que tenha acesso aos seus sistemas ou dados.

Os ataques à cadeia de abastecimento foram identificados como a quarta ameaça mais significativa em 2025, de acordo com o mais recente Relatório Cybersecurity Threat Landscape Report (Figura 1) da UE, publicado pela ENISA, e prevê-se que se tornem uma das ameaças emergentes mais graves até 2030.

A ENISA salienta que a crescente complexidade das cadeias de abastecimento digitais e a visibilidade limitada que as organizações têm, muitas vezes, sobre os ambientes de terceiros tornam esta ameaça urgente e difícil de gerir.

O que muda para as empresas?

A NIS2 exige uma abordagem mais rigorosa à gestão de terceiros. Entre as medidas recomendadas destacam-se:

• Avaliação de riscos dos fornecedores antes da contratação;
• Monitorização contínua da postura de segurança dos parceiros;
• Definição de requisitos mínimos de cibersegurança nos contratos;
• Implementação de mecanismos de controlo de acessos;
• Auditorias regulares a fornecedores considerados críticos;
• Planos de resposta a incidentes que incluam parceiros externos.

As organizações deixam assim de poder assumir que a responsabilidade termina nos limites da sua infraestrutura tecnológica.

Compliance já não é suficiente

Muitas empresas continuam a basear as suas avaliações em questionários, certificações ou auditorias realizadas periodicamente. Embora importantes, estas abordagens podem não ser suficientes para responder aos requisitos da NIS2.

A tendência passa pela adoção de soluções de monitorização contínua que permitam acompanhar alterações no nível de risco dos fornecedores e detetar rapidamente vulnerabilidades ou incidentes que possam ter impacto na organização.

A NIS2 representa uma mudança de paradigma na forma como a cibersegurança é encarada. A proteção das organizações passa agora pela segurança de todo o ecossistema digital que as suporta.

Num contexto em que as cadeias de fornecimento são cada vez mais complexas e interligadas, garantir a segurança dos fornecedores deixou de ser uma boa prática para passar a constituir uma obrigação regulatória. Para muitas organizações, a conformidade com a NIS2 será também uma oportunidade para aumentar a resiliência operacional e reduzir significativamente a exposição a ameaças cibernéticas.

Artigo escrito para o Pplware pela Art Resilia