None
Janeiro 19, 2026 7 minha leitura

Segurança da cadeia de abastecimento sob a SRI2: o que é necessário saber

Uma das obrigações mais importantes — e frequentemente subestimadas — introduzidas pela Diretiva SRI2 é o seu foco na segurança cibernética da cadeia de suprimentos. Em um mundo onde as organizações dependem de dezenas ou centenas de fornecedores terceirizados, provedores de nuvem e provedores de serviços gerenciados, a postura de segurança cibernética de uma organização é tão forte quanto o elo mais fraco do seu ecossistema de fornecedores.

segurança-da-cadeia-de-abastecimento-sri2

Índice

Por que a segurança da cadeia de suprimentos é importante?

As estatísticas são preocupantes. Os principais incidentes de segurança cibernética nos últimos anos demonstraram repetidamente que os invasores não precisam violar diretamente a sua organização — eles podem explorar um fornecedor confiável para obter acesso.

Ataques de alto perfil à cadeia de suprimentos (como aqueles que afetam sistemas de compilação de software, provedores de serviços gerenciados e plataformas em nuvem) resultaram em comprometimento generalizado de centenas de organizações simultaneamente. A SRI2 foi parcialmente projetado em resposta a essa ameaça crescente.

Nos termos do artigo 21.º, n.º 2, alínea d), da SRI2, é explicitamente referida a «segurança da cadeia de abastecimento, incluindo os aspetos relacionados com a segurança que dizem respeito às relações entre cada entidade e os seus fornecedores ou prestadores de serviços diretos» como medida de segurança obrigatória.

O escopo de suas obrigações na cadeia de suprimentos

As obrigações da SRI2 em relação à cadeia de abastecimento estendem-se aos fornecedores diretos e prestadores de serviços, com especial enfoque em:

  • Fornecedores de TIC (Tecnologia da Informação e Comunicação) — software, hardware, serviços em nuvem, infraestrutura de rede
  • Provedores de serviços gerenciados (MSPs) — organizações que administram seus sistemas de TI
  • Provedores de serviços de segurança gerenciados (MSSPs) — operações de segurança terceirizadas
  • Fornecedores críticos — qualquer terceiro cuja comprometimento possa afetar diretamente sua capacidade de prestar serviços essenciais.

A diretiva também exige que as organizações levem em consideração a qualidade geral e a resiliência dos produtos e serviços que adquirem — não apenas o preço e a funcionalidade.

Importante:

A ENISA (Agência da União Europeia para a Cibersegurança) publicou avaliações de risco coordenadas para cadeias de abastecimento específicas (por exemplo, redes 5G, computação em nuvem). As organizações que operam nesses domínios devem consultar essas avaliações.

1

Avaliação de risco do fornecedor durante a aquisição

Antes de integrar qualquer fornecedor com acesso aos seus sistemas, dados ou redes, é necessário realizar uma avaliação de riscos de segurança cibernética. Essa avaliação deve considerar:

  • A postura de segurança cibernética do próprio fornecedor (certificações, políticas, resultados de auditorias)
  • A natureza e o escopo do acesso que eles terão aos seus sistemas
  • O impacto potencial caso esse fornecedor fosse comprometido ou interrompido
  • Capacidades de resposta a incidentes e continuidade de negócios do fornecedor

Abordagem prática: Desenvolva um Questionário de Segurança do Fornecedor (VSQ) padrão que todos os novos fornecedores devem preencher. Pondere a avaliação com base na importância do relacionamento.

2

Requisitos de segurança contratuais

As obrigações de segurança devem ser incorporadas nos contratos com seus fornecedores. Isso implica incluir cláusulas contratuais que abordem:

  • Padrões mínimos de segurança que o fornecedor deve manter
  • Cláusulas de direito de auditoria que permitem avaliar os controles de segurança deles
  • Obrigações de notificação de incidentes (exigindo que o fornecedor o notifique caso ocorra uma violação que possa afetá-lo)
  • Requisitos para o tratamento e processamento de dados
  • Requisitos de segurança para subcontratados (obrigações transferidas para a sua própria cadeia de abastecimento)
  • Consequências por falhas de segurança (direitos de rescisão, indenização)

3

Monitoramento e revisão contínuos

O risco dos fornecedores não é estático — ele muda à medida que os fornecedores evoluem, novas vulnerabilidades surgem e a natureza do seu relacionamento se altera. A SRI2 exige monitoramento contínuo:

  • Reavaliação anual de fornecedores de alto risco
  • Monitoramento de certificações de segurança (por exemplo, status de renovação da ISO 27001)
  • Assinatura de feeds de inteligência de ameaças que abrangem as principais plataformas de fornecedores
  • Análise dos avisos de segurança e divulgações de vulnerabilidades dos fornecedores

4

Gerenciamento do acesso de terceiros

Controle como os fornecedores acessam seus sistemas:

  • Implementar gerenciamento de acesso privilegiado (PAM) para acesso de terceiros
  • Aplique o princípio do privilégio mínimo — conceda aos fornecedores apenas o acesso necessário, nada mais.
  • Utilize tokens de acesso com prazo limitado para atividades de manutenção, em vez de credenciais permanentes.
  • Registre e monitore todos os acessos de terceiros a sistemas críticos.
  • Revogue o acesso imediatamente quando o relacionamento com um fornecedor for encerrado.

5

Cadeia de suprimentos de software e hardware

Além dos prestadores de serviços, a SRI2 também espera que as organizações gerenciem os riscos dos produtos que adquirem:

  • Dê preferência a fornecedores com certificação de segurança para seus produtos (por exemplo, esquemas de certificação de segurança cibernética da UE sob as estruturas EUCS ou EUCC).
  • Acompanhe os avisos de segurança dos fornecedores para os produtos em uso.
  • Aplique patches de segurança de maneira oportuna e testada.
  • Avaliar os riscos de utilizar software ou hardware de fornecedores em jurisdições geopolíticas sensíveis.

Classificação dos seus fornecedores

Com potencialmente dezenas ou centenas de fornecedores, uma abordagem pragmática consiste em classificar os fornecedores por nível de risco:

Assessment frequency table based on supplier criticallity
Tier Description Assessment Frequency
Critical Direct access to core systems; breach would cause severe service disruption Annually + after major changes
High Significant data access or system integration; breach would be serious Annually
Medium Limited integration; breach would have moderate impact Every 2 years
Low No system access; minimal data handling At on-boarding only

Aplicar os controles e monitoramentos mais rigorosos aos fornecedores mais críticos e um nível proporcional de escrutínio aos demais.

Criação de um Programa de Gestão de Riscos de Terceiros (TPRM)

Um programa abrangente de TPRM para conformidade com a SRI2 inclui os seguintes componentes:

Governança: Atribua a responsabilidade pela TPRM a uma função específica (por exemplo, CISO, Diretor de Compras). Estabeleça uma política de segurança de fornecedores aprovada pela alta administração.

Inventário: Mantenha um inventário completo e atualizado de todas as relações com terceiros que têm acesso aos seus sistemas ou dados. Muitas organizações ficam surpresas ao descobrir quantos fornecedores têm acesso que elas haviam esquecido.

Processo de avaliação: Padronize a forma como avalia fornecedores novos e existentes. Utilize questionários, certificações e, quando justificado, auditorias no local ou remotas.

Estrutura contratual: Trabalhe com assessoria jurídica para desenvolver adendas de segurança padrão para contratos com fornecedores. Certifique-se de que elas sejam revisadas e atualizadas para refletir as obrigações da SRI2.

Integração da resposta a incidentes: Certifique-se de que seu plano de resposta a incidentes abrange cenários em que um incidente significativo tenha origem em um fornecedor. Você continua sendo responsável por informar a CNCS, mesmo que a causa principal seja atribuída a um terceiro.

Melhoria contínua: revise e atualize regularmente seu programa de TPRM com base em incidentes, quase acidentes e mudanças no cenário de ameaças.

O efeito cascata: você também é um fornecedor

Caso sua organização preste serviços a outras entidades abrangidas pela SRI2, lembre-se de que você faz parte da cadeia de suprimentos delas. Elas solicitarão que você demonstre sua postura em relação à segurança cibernética. Ter uma conformidade robusta com a SRI2 está se tornando cada vez mais um diferencial comercial e, em alguns casos, um pré-requisito para fazer negócios com clientes do setor público e de indústrias regulamentadas.

Conclusão principal

A segurança da cadeia de suprimentos não é mais uma prática recomendada opcional — de acordo com a SRI2, é uma obrigação de conformidade obrigatória com sanções rigorosas. As organizações que não conseguem gerenciar os riscos de terceiros não apenas se expõem a danos financeiros e operacionais significativos, mas também enfrentam sanções regulatórias.

Inicie mapeando seus fornecedores críticos, avaliando os principais riscos e incorporando requisitos de segurança em seus contratos mais importantes. A partir daí, desenvolva um programa de TPRM maduro e contínuo.

Importante:

Este artigo tem caráter meramente informativo e não constitui aconselhamento jurídico. Recomenda-se consultar profissionais qualificados nas áreas jurídica e de segurança cibernética para obter orientações específicas para sua organização.

A SRI2 aplica-se à minha organização?

Faça a nossa avaliação gratuita de 5 minutos para determinar a sua classificação NIS2 e obter recomendações personalizadas para conformidade.

Iniciar Avaliacão