Pular para o conteúdo principal

🤝 Fornecedores / Terceiros

Visão Geral

Fornecedores são parte da cadeia de responsabilidade.
Devem cumprir os mesmos padrões de segurança que equipas internas, garantindo rastreabilidade, formação e conformidade contratual.

Responsabilidades Principais

  • Cumprem cláusulas contratuais de segurança (Cap. 14)
  • Entregam SBOM atualizado e evidência de conformidade
  • Garantem que componentes externos respeitam requisitos de segurança
  • Submetem-se a validação periódica

Contexto Organizacional

São críticos para NIS2 e DORA, que obrigam a gestão explícita da cadeia de fornecimento digital (Art. 21 NIS2, Art. 28-30 DORA) e avaliação contínua de terceiros.

Enquadramento Regulatório

Gestão da cadeia de fornecimento é exigência explícita em:

  • NIS2: Art. 21 - Medidas de gestão de risco de cibersegurança da cadeia de abastecimento
  • DORA: Art. 28-30 - Gestão do risco de ICT de terceiros

Atividades por Capítulo

Cap. 05 - Dependências e SBOM

Fornecer SBOM atualizado de todos os componentes entregues, garantindo rastreabilidade completa.

Cap. 08-09 - IaC e Containers

Assegurar segurança em módulos IaC e imagens fornecidas, com validação de vulnerabilidades e assinatura digital.

Cap. 13 - Formação e Onboarding

Receber formação mínima obrigatória antes de acesso a sistemas ou dados (NIS2/DORA compliance).

Requisitos associados:

Cap. 14 - Governança e Contratação

Cumprir cláusulas contratuais de segurança, submeter-se a validação periódica de conformidade, permitir monitorização contínua, executar processo de onboarding e offboarding formal.

Requisitos associados:

Referências aos Capítulos

Para contexto e enquadramento completo: