NIS2.it.com
Voltar ao blog
Cadeia de abastecimento
NIS2 e a cadeia de abastecimento: 5 cláusulas a exigir dos fornecedores

NIS2 e a cadeia de abastecimento: 5 cláusulas a exigir dos fornecedores

7 min de leitura
SM

Sophie Martin

Analista jurídica — Direito digital europeu

No início de 2024, uma empresa manufatureira europeia sofreu uma violação significativa. O atacante não visou diretamente a empresa — explorou as credenciais VPN de um prestador de serviços de manutenção. A empresa cumpria os requisitos da NIS2 nos seus próprios sistemas. O fornecedor não cumpria. O resultado: 18 dias de paragem da produção, 3,5 milhões de euros de prejuízos e uma investigação formal da autoridade competente.

Este é precisamente o cenário que o artigo 21.º(2)(d) da diretiva 2022/2555 visa prevenir.

O que a NIS2 exige para a segurança da cadeia de abastecimento

O artigo 21.º da diretiva 2022/2555 obriga as entidades essenciais e importantes a implementar medidas de gestão de riscos que cubram explicitamente a segurança da cadeia de abastecimento. Isto inclui fornecedores diretos e prestadores de serviços — não apenas sistemas internos.

Quatro obrigações concretas decorrem deste artigo. Primeiro: avaliar os riscos de fornecedores diretos e prestadores de serviços, com especial atenção aos prestadores de serviços TIC (MSP, cloud, SaaS). Segundo: incorporar cláusulas de cibersegurança nos contratos com fornecedores. Terceiro: monitorizar continuamente a postura de segurança dos fornecedores críticos. Quarto: manter evidências documentadas destas avaliações para efeitos de inspeção (artigo 21.º, diretiva 2022/2555).

O CNCS especifica nas suas orientações que as entidades devem constituir um registo de riscos de terceiros e estar em condições de o apresentar durante uma inspeção.

Por que os seus fornecedores são a sua maior superfície de ataque

Segundo a ENISA, 62% dos incidentes de segurança significativos em 2023 envolveram acesso de terceiros. Os MSP e os fornecedores de serviços cloud representam a maioria destes vetores de ataque. Um fornecedor sem autenticação multifator (MFA) obrigatória nos acessos partilhados é uma porta aberta. Um subcontratante que armazena os seus dados fora da UE sem garantias contratuais cria simultaneamente uma exposição à NIS2 e ao RGPD.

O risco regulatório é considerável: uma violação originada num fornecedor não protegido será tratada como falha de conformidade da sua organização.

5 cláusulas contratuais concretas

Cláusula 1: Direito de auditoria de segurança

O contrato deve conferir à sua organização (ou a um auditor externo designado) o direito de realizar auditorias de segurança ao fornecedor, com um pré-aviso máximo de 30 dias. O fornecedor deve cooperar plenamente e disponibilizar o acesso a sistemas, documentação e registos de eventos relevantes. Sem esta cláusula, não pode verificar se os compromissos contratuais de segurança estão a ser cumpridos.

Cláusula 2: Obrigação de notificação de incidentes — 24 horas

O fornecedor deve notificá-lo de qualquer incidente de segurança que possa afetar os seus sistemas ou dados no prazo de 24 horas após a deteção. Isto reflete diretamente o artigo 23.º da diretiva 2022/2555. A sua organização tem também 24 horas para alertar o CNCS — este prazo é impossível de cumprir se o seu fornecedor esperar 72 horas antes de o informar.

Cláusula 3: Padrões mínimos de segurança

Defina requisitos técnicos precisos: MFA obrigatória para todos os acessos aos seus sistemas, encriptação de dados em trânsito (mínimo TLS 1.2) e em repouso (AES-256), patches de segurança críticos aplicados no prazo de 72 horas após o lançamento, e uma política documentada de gestão de acessos privilegiados. Estes padrões devem ser verificáveis — o fornecedor deve poder apresentar evidências como certificação ISO 27001, relatórios SOC 2 Tipo II ou resultados de análises independentes de vulnerabilidades.

Cláusula 4: Localização dos dados e soberania

Especifique contratualmente onde os seus dados são armazenados e tratados. As transferências para fora da UE devem cumprir os mecanismos de transferência do RGPD (cláusulas contratuais padrão, decisões de adequação). Proíba expressamente o sub-tratamento dos seus dados sem consentimento prévio por escrito. Para setores sensíveis (saúde, finanças, infraestruturas críticas), considere exigir residência dos dados exclusivamente na UE.

Cláusula 5: Responsabilidade e penalizações

Defina penalizações contratuais por incumprimento das obrigações de segurança: uma penalização fixa por incidente não notificado nos prazos exigidos, indemnização pelos danos diretos resultantes de falha de segurança do fornecedor, e direito de rescisão sem penalização em caso de violação grave das obrigações de segurança. Estas penalizações devem ser proporcionais — suficientes para incentivar o cumprimento, mas não tão elevadas que impeçam a celebração do contrato.

Como o CNCS verificará a gestão de fornecedores

Durante uma auditoria ou investigação, os inspetores do CNCS podem solicitar os seus contratos com fornecedores, o registo de riscos de terceiros e evidências de avaliações periódicas de fornecedores. Espera-se que as entidades essenciais disponham de um processo formalizado de avaliação — pelo menos anualmente para os fornecedores TIC críticos.

O seu registo de riscos de terceiros deve documentar cada fornecedor com acesso ao sistema: a classificação de risco associada, as medidas de mitigação ativas e a data da última avaliação formal.

Por onde começar

Identifique os seus 10 fornecedores mais críticos — aqueles com acesso aos seus sistemas de informação, que tratem dados sensíveis ou cuja indisponibilidade paralisaria a sua atividade. Para cada um, avalie se o contrato atual contém as 5 cláusulas descritas acima.

Incorpore estas cláusulas na próxima renovação contratual. Para contratos com mais de 12 meses de vigência restante, considere um aditamento.

A diretiva NIS2 (artigo 21.º, diretiva 2022/2555) não exige que certifique todos os fornecedores de um dia para o outro. Exige que demonstre uma gestão ativa do risco — através de contratos, avaliações documentadas e um registo atualizado.

*Este artigo é meramente informativo e não constitui aconselhamento jurídico. Para questões específicas à sua situação, consulte um profissional jurídico qualificado.*

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico.