O artigo 21.º, n.º 2, alínea d), da NEI exige explicitamente que as organizações abordem a segurança da cadeia de abastecimento, incluindo os aspetos relacionados com a segurança das relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços. Com a aproximação do prazo de transposição de outubro de 2027, a maioria das organizações ainda carece de visibilidade sistemática da sua exposição ao risco de terceiros. A KENSAI agora oferece varredura automatizada de segurança da cadeia de suprimentos – monitorando continuamente as superfícies de ataque externo de seus fornecedores e mapeando as descobertas para os requisitos de conformidade NIS2.
⚡ 73% das violações em 2025 envolveram vetores de terceiros. O NIS2 torna a segurança da cadeia de abastecimento uma obrigação legal – a KENSAI torna-a automatizada.
A Diretiva SRI2 (UE 2022/2555) introduz medidas obrigatórias de segurança da cadeia de abastecimento para todas as entidades essenciais e importantes. O Artigo 21(2)(d) exige que as organizações implementem "a segurança da cadeia de abastecimento, incluindo aspectos relacionados com a segurança relativos às relações entre cada entidade e os seus fornecedores diretos ou prestadores de serviços". Isso não é consultivo – é uma obrigação legal com força de fiscalização.
As entidades essenciais enfrentam multas até 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for mais elevado. Entidades importantes enfrentam até 7 milhões de euros ou 1,4% do volume de negócios. Mas o custo real é operacional: o artigo 32.º da NIS2 permite que as autoridades de supervisão suspendam certificações, proíbam indivíduos de funções de gestão e imponham instruções vinculativas com prazos.
A NIS2 aplica-se a mais de 160 000 entidades em toda a UE, abrangendo 18 setores, desde energia e transportes até infraestruturas digitais e gestão de serviços de TIC. Cada uma dessas entidades tem dezenas ou centenas de fornecedores — criando uma cascata de obrigações de segurança que é impossível de gerenciar manualmente.
A equipa de investigação da KENSAI analisou as superfícies de ataque externo de 2.400 organizações europeias e dos seus 10 principais fornecedores cada, revelando lacunas alarmantes na postura de segurança da cadeia de abastecimento:
Dois terços dos fornecedores terceirizados em nosso conjunto de dados tinham pelo menos uma vulnerabilidade crítica (CVSS 9.0+) em sua infraestrutura externa, incluindo VPNs sem correção, painéis de administração expostos e armazenamento em nuvem mal configurado.
Apenas 18% das organizações pesquisadas tinham um programa estruturado de avaliação de segurança de terceiros. A maioria depende de questionários anuais – um instantâneo que fica desatualizado em semanas.
As organizações levam quase 10 meses para detectar violações originadas de vetores de terceiros – 2,3 vezes mais do que ataques diretos. O monitoramento contínuo reduz esse tempo para menos de 48 horas.
O custo médio de uma violação da cadeia de abastecimento é de 4,2 milhões de euros — quase três vezes o custo de uma violação direta — devido à resposta multilateral a incidentes, à complexidade jurídica e aos impactos em cascata a jusante.
O novo módulo de segurança da cadeia de suprimentos da KENSAI permite adicionar seus vendedores, fornecedores e prestadores de serviços a um painel de monitoramento. Verificamos continuamente sua superfície de ataque externa — aplicativos web, APIs, infraestrutura de e-mail, configuração de DNS, certificados TLS e serviços expostos — e alertamos você sobre mudanças em sua postura de segurança.
Cada fornecedor recebe uma pontuação de segurança dinâmica (A–F) com base em sua postura externa. A pontuação considera a gravidade da vulnerabilidade, a cadência dos patches, a higiene da configuração, o gerenciamento de certificados e as tendências históricas. As pontuações são atualizadas continuamente – não apenas durante as revisões anuais.
Cada descoberta é automaticamente mapeada de acordo com os requisitos do Artigo 21 do NIS2, mostrando exatamente quais obrigações de conformidade são afetadas pelas falhas de segurança de cada fornecedor. Gere relatórios prontos para auditoria que demonstrem sua devida diligência no gerenciamento de riscos da cadeia de suprimentos.
Compare os fornecedores entre si e com os benchmarks do setor. Identifique quais fornecedores representam o maior risco, acompanhe as melhorias ao longo do tempo e tome decisões de aquisição baseadas em dados. Use a postura de segurança como critério de seleção de fornecedor – como pretende o NIS2.
Além das ferramentas, a conformidade com a NIS2 requer uma abordagem estruturada para a gestão de riscos da cadeia de abastecimento. Aqui está uma estrutura alinhada com os requisitos do Artigo 21:
Manter um inventário completo de todos os fornecedores e prestadores de serviços. Classifique-os por nível de criticidade — quanto impacto um comprometimento deste fornecedor teria em suas operações? A NIS2 enfatiza a proporcionalidade: os fornecedores críticos merecem mais escrutínio.
Atualize os contratos dos fornecedores para incluir obrigações de segurança, requisitos de notificação de incidentes e direitos de auditoria. O artigo 21.º, n.º 3, da NIS2 menciona especificamente a necessidade de considerar "os resultados das avaliações coordenadas dos riscos de segurança das cadeias de abastecimento críticas".
Substituir questionários anuais por monitoramento contínuo. A postura de segurança muda diariamente – suas avaliações também deveriam mudar. O scanner da cadeia de suprimentos da KENSAI fornece automaticamente essa visibilidade contínua.
Desenvolva manuais para incidentes na cadeia de suprimentos. Quem você contata no fornecedor? Qual é o protocolo de comunicação? Como você contém impactos em cascata? O artigo 23.º da NIS2 exige a comunicação de incidentes no prazo de 24 horas – os incidentes na cadeia de abastecimento não são exceção.
Obtenha uma verificação de segurança gratuita do seu site em 60 segundos
Verificação de segurança gratuita →