Thomas King
Seja para lidar com uma febre, dor de cabeça ou uma fratura, os antibióticos e os analgésicos fazem, há muito, parte do nosso dia a dia tal como os problemas que eles resolvem. Durante demasiado tempo, o mundo acreditou que os medicamentos estariam sempre prontamente disponíveis – uma falácia. O vírus da Covid-19 paralisou as cadeias de abastecimento. Não só os medicamentos prontos a consumir se tornaram escassos mas também as matérias-primas necessárias para a sua produção. Quer se tratasse de amoxicilina, paracetamol ou insulina – e que antes estava disponível imediatamente e em todo o lado – de repente deixou de estar. E o que já não podia ser produzido no estrangeiro nunca chegou às prateleiras das farmácias.
Pouco controlo: apenas algumas empresas conseguem gerir os riscos da cadeia de abastecimento.
Fábricas paralisadas, rotas de transporte bloqueadas e fluxo de mercadorias interrompido: a pandemia mostrou a vulnerabilidade das cadeias de abastecimento. Os estrangulamentos no sistema de saúde, percetíveis para todos, são apenas um exemplo entre muitas outras áreas e setores cuja criação de valor está interligada e depende de uma interação coordenada e precisa, com uma precisão de segundos – desde o retalho e a indústria automóvel até às TI. O que é particularmente devastador é muito poucas empresas acreditarem ter controlo total sobre os riscos nas suas próprias cadeias de abastecimento. De acordo com o Relatório Global de Riscos da Cadeia de Abastecimento de 2025 da Willis Towers Watson (WTW), isto aplica-se apenas a cerca de 8% das cerca de 1.000 empresas inquiridas em todo o mundo, em todos os setores.
NIS2: A Europa quer tornar os processos empresariais e as cadeias de abastecimento mais resilientes.
Do efeito chicote às flutuações da procura, passando pelas interrupções em cascata – tudo o que desestabilize as cadeias de abastecimento –, a União Europeia (UE) está agora a visar as delicadas cadeias de abastecimento da economia digital com a revisão da Diretiva Redes e Sistemas de Informação, ou NIS2, para abreviar. Esta diretiva foi transposta para o ordenamento jurídico português no passado mês de Dezembro.
De acordo com os especialistas em seguros da WTW, os riscos do ciberespaço estão a aumentar em todos os setores em todo o mundo, pelo que a NIS2 pretende tornar os processos de negócio e as cadeias de abastecimento mais resilientes em toda a UE. A confederação de Estados está a alargar a regulamentação revista a um número significativamente maior de empresas – 150.000 empresas em toda a Europa são afectadas – e a definir padrões mais elevados para a segurança informática. Por isso, muitos que nunca tiveram de lidar com regulamentos informáticos deste tipo, ou que apenas tiveram um contacto superficial com os mesmos, irão agora provavelmente deparar-se com a NIS2. Isto faz da diretiva da UE um alerta a todos. O que é necessário é uma atenção meticulosa ao tratamento dos riscos de TI e à identificação de ameaças à sua própria cadeia de abastecimento digital.
Saia da zona de risco: o NIS2 determina o que é necessário fazer.
Desde malware infiltrado e atualizações manipuladas até fornecedores comprometidos, as dependências de todos os tipos podem rapidamente transformar-se em sérios riscos para os modelos de negócio. Dependendo da dimensão ou setor, a NIS2 exige que as empresas avaliem e garantam sistematicamente a cibersegurança dos fornecedores e prestadores de serviços. Onde antes bastava focar-se nos parceiros comerciais diretos, agora é necessário um conhecimento profundo de toda a cadeia de abastecimento. Afinal, os problemas com os parceiros dos parceiros podem rapidamente tornar-se desafios imediatos para a sua própria empresa. De acordo com as orientações da Agência Europeia para a Cibersegurança (ENISA), isto aplica-se particularmente à gestão de serviços de TI e decorre da natureza transfronteiriça dos processos digitais e do complexo cenário de fornecedores. Que critérios devem ser utilizados para selecionar os prestadores de serviços? Como é que os contratantes se protegem e protegem as aplicações que fornecem? E como são asseguradas as contingências? A NIS2 determina o que é necessário fazer: por exemplo, qualquer pessoa numa zona de risco deve estipular contratualmente como os subcontratados devem comunicar os incidentes, evitar ameaças e, em caso de incidente, conceder acesso ao seu próprio ambiente de sistemas.
Exemplo: Autodeclaração – adotar uma abordagem tranquila em relação aos requisitos do cliente e do NIS2
Nestes casos, aqueles que já certificaram a sua própria segurança da informação de acordo com a ISO/IEC 27001 e a sua gestão de continuidade de negócio de acordo com a ISO/IEC 22301 podem ficar descansados e ir ao encontro dos interesses dos seus clientes e dos requisitos da NIS2. Documentar, regular e comprometer-se: Quem vê a NIS2 como um mero exercício de checklist regulamentar está a ignorar a mensagem principal. Por outras palavras, qualquer empresário que deseje gerir a sua empresa de forma prudente, consciente e sustentável deve exercer a devida diligência também nestas questões. E não apenas porque é obrigatório por lei, mas porque é necessário para garantir as vendas, preservar os postos de trabalho e satisfazer os parceiros e clientes. Por exemplo, muitas empresas globais dos setores financeiro, segurador e logístico já exigem que os seus prestadores de serviços forneçam autodeclarações.
Estratégia de interligação como meio de garantir a prestação ininterrupta de serviços.
Seja para os serviços digitais, aplicações inteligentes ou modelos de negócio inteligentes, as redes fazem parte de toda a cadeia de fornecimento de TI. Os pontos de troca de internet, como o DE-CIX, desempenham um papel crucial neste processo. Por um lado, como componente fundamental da infraestrutura digital global. Por outro, para conectar relações comerciais complexas e interligadas de forma resiliente. Uma estratégia de interligação inteligente é, portanto, uma componente tão natural da prestação de serviços empresariais como os planos de emergência, os processos de crise e a gestão da continuidade do negócio. O que pode significar para a conectividade?
As empresas devem, por exemplo, interligar-se de forma diversificada em vários centros de dados geograficamente distribuídos. As interrupções são mais fáceis de compensar quando apenas afetam parte de uma arquitetura descentralizada. As próprias plataformas de interligação estão estruturadas da mesma forma: as redes são resilientes quando todos os níveis de uma cadeia de abastecimento são mutuamente seguros. Em termos práticos, isto significa que toda a infraestrutura é tão fiável quanto os elementos individuais que a compõem. Assim sendo, se todos os parceiros conceberem os componentes que fornecem aos outros com redundância múltipla, o sistema como um todo torna-se mais robusto para todos – para os fornecedores e para os seus clientes.
Mais vale prevenir do que remediar: Compreender a resiliência como um princípio básico de ação.
A NIS2 é o incentivo decisivo para colocar a segurança das suas próprias cadeias de fornecimento de TI no topo da agenda. Agora, trata-se de avaliar dependências, gerir riscos e escolher parceiros que entendam a resiliência como um princípio fundamental das suas ações. As estratégias de interligação inteligentes são uma alavanca para fortalecer a sua soberania digital e lançar as bases para um modelo de negócio resiliente, sustentável e interligado. Uma coisa é certa: no caso de uma violação grave, não existe apenas o risco de danos significativos, mas também multas pesadas. A coima máxima é de até 10 milhões de euros ou 2% do volume de negócios anual global, consoante o que for mais elevado. Além disso, a NIS2 também obriga os órgãos de gestão a gerir e monitorizar ativamente a cibersegurança – incluindo a responsabilidade pessoal. Portanto: tal como os medicamentos só são eficazes se estiverem disponíveis nas farmácias a tempo, a NIS2 só protege contra emergências se os empresários tomarem medidas preventivas antes que seja tarde demais. Com uma diferença: quando se trata de riscos informáticos, a manutenção à posterior não traz benefícios; apenas uma boa prevenção funciona.
Thomas King é Chief Technology Officer (CTO) da DE-CIX
