Política de Gestão de Risco de Dependência de Fornecedores

A Política de Gestão de Risco de Dependência de Fornecedores (P41) foi concebida para responder ao aumento do escrutínio regulamentar e operacional sobre vulnerabilidades da cadeia de abastecimento. Com ataques à cadeia de abastecimento e interrupções sistémicas a afetarem cada vez mais organizações em todo o mundo, a política vai além da conformidade de base ao instituir um processo estruturado e orientado pelo risco para gerir dependências de fornecedores. O seu objetivo central é fornecer à organização procedimentos claros para identificar, avaliar e mitigar os riscos associados à dependência excessiva de fornecedores externos, especialmente aqueles que sustentam operações críticas de TIC. A política responde diretamente a importantes impulsionadores legislativos, como os Artigos 21(3) e 22 da Diretiva NIS2, ao exigir controlos essenciais: primeiro, que todos os fornecedores essenciais (hardware, software, nuvem, telecomunicações, serviços geridos, etc.) sejam categorizados pela sua criticidade; segundo, que seja estabelecido e continuamente atualizado um registo de dependência de fornecedores para registar informação-chave, incluindo se um fornecedor é fonte única ou se a substituição é viável. São obrigatórias avaliações de risco anuais e orientadas por eventos para cada fornecedor-chave, com modelos de pontuação claros para classificar o risco de dependência e de concentração. Se autoridades ou avaliações de risco a nível setorial destacarem um prestador ou tecnologia como de alto risco, esta política assegura que a Alta Direção é informada e que estratégias de risco adaptativas são aplicadas prontamente. Operacionalmente, a política distribui responsabilidades entre Gestão de fornecedores (que detém o registo e conduz as avaliações), Gestão de riscos (que integra as conclusões nas decisões de risco empresariais), aquisição (que incorpora a diversificação nos contratos), Operações de TI (que concebe planos de contingência) e os próprios fornecedores (que fornecem dados de garantia e notificações). Para áreas com elevada dependência, a política exige medidas de contingência documentadas, desde envolver fornecedores alternativos, manter inventário de emergência, assegurar portabilidade de dados de fornecedores SaaS, até integrar a falha do fornecedor nos planos de continuidade de negócio. Um ponto forte central da P41 é o seu requisito de monitorização contínua: notícias sobre fornecedores, pedidos de atestados de conformidade de segurança (como a receção de relatórios SOC) e alertas de incidentes alimentam diretamente rotinas de reavaliação. A Auditoria interna verifica anualmente a conformidade e testa a eficácia das contingências (por exemplo, interrupções simuladas de fornecedores). Pelo menos anualmente, dependências, tendências e progresso de mitigação são apresentados à Alta Direção e refletidos nos ciclos de Revisão pela gestão do SGSI. Estas disposições demonstram a ambição da política: não apenas proteger contra riscos conhecidos, mas construir um quadro que integra rapidamente avisos externos ou alterações regulamentares. Ao codificar limiares internos (como limites à concentração de cargas de trabalho na nuvem) e ao impor linguagem contratual robusta sobre notificações, transições e divulgação de subcontratados, incorpora resiliência em cada etapa da relação com a cadeia de abastecimento. Por fim, a P41 está explicitamente posicionada como uma política avançada e de valor acrescentado, opcional para algumas organizações, mas que oferece vantagem competitiva ao sinalizar uma governação madura do risco da cadeia de abastecimento. Destina-se a ser utilizada por todos os departamentos que interagem com fornecedores, e o seu alinhamento com as melhores práticas (ENISA, ISO/IEC 27001/27002:2022, DORA) torna-a adaptável a necessidades de conformidade setorial e de auditoria.