Perturbações na cadeia de valor: que impacto?

De entre as inúmeras preocupações neste contexto, salientam-se as perturbações na cadeia de valor. Efetivamente, a transformação digital acarreta um elevado nível de dependência de terceiros (fornecedores e prestadores de serviços de tecnologias da informação) no âmbito do desenvolvimento do negócio das organizações, aumentando os riscos associados ao aproveitamento das fragilidades existentes dentro da cadeia de valor.

Por um lado, permite a exploração de vulnerabilidades de terceiros para acesso às redes e sistemas de informação das organizações visadas por determinado ciberataque. Por outro lado - e ainda que o ciberataque vise um impacto direto apenas na esfera do terceiro -, podem as consequências do mesmo comprometer a estabilidade e continuidade do desenvolvimento do negócio das organizações a quem este presta serviços.

Nesta medida, é importante que, sendo possível, as organizações optem por soluções que permitam um controlo sobre dados e informação, diminuindo a dependência de terceiros e a exposição a ciberincidentes (ou às suas consequências). Não obstante e porque nem sempre tal é viável, as organizações devem identificar vulnerabilidades e riscos junto dos seus fornecedores e prestadores de serviços de tecnologia da informação, procurando que sejam implementadas medidas de segurança adequadas.

As crescentes ameaças à cadeia de valor motivaram a emissão de recomendações por parte, entre outras, da autoridade britânica para a cibersegurança (National Cyber Security Centre), das quais resulta uma abordagem faseada, nomeadamente, a compreensão da relevância da cibersegurança no âmbito da cadeia de valor, identificação dos ativos relevantes e criação de um sistema de proteção dos mesmos dentro da própria organização, aplicação e integração de tal sistema no âmbito das relações contratuais com fornecedores e prestadores de serviços e monitorização e atualização das medidas implementadas.

Apesar de se tratar de um fenómeno transversal a diversos setores de atividade, pode assumir consequências especialmente preocupantes em setores críticos como o financeiro, pondo em causa a continuidade da prestação de serviços a este nível. A recente publicação do Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro (DORA), estabelece requisitos legais que visam, entre outras, responder a tais preocupações.

Conforme resulta do referido Regulamento, a impossibilidade de disponibilizar serviços financeiros sem recorrer a fornecedores e prestadores de serviços digitais e de dados prestados por meio de sistemas de tecnologias da informação e comunicação (serviços de TIC) e o facto de tais fornecedores e prestadores de serviços assumirem um papel determinante no âmbito da prestação dos referidos serviços financeiros ou integrarem a cadeia de valor, representa um risco que pode redundar na diminuição da confiança no sistema financeiro, caso estes sejam afetados por ciberincidentes de natureza séria.

Nesta medida, entre outros requisitos, estabelece-se que (i) as entidades financeiras procedem à avaliação de terceiros prestadores de serviços de TIC, assegurando a respetiva adequação; (ii) as entidades de supervisão do setor financeiro supervisionarão terceiros prestadores de serviços de TIC crítico; e (iii) estabelece-se o conteúdo mínimo a constar dos contratos referentes à utilização de serviços de TIC, bem como o conteúdo adicional quando tais contratos visem o apoio a funções críticas ou importantes.

De realçar que as entidades financeiras apenas podem recorrer aos serviços de um terceiro prestador de serviços de TIC estabelecido num país terceiro e que tenha sido designado como crítico, caso este tenha estabelecido uma filial na União no prazo de 12 meses a contar da referida designação.

Se é certo que as iniciativas e instrumentos legislativos em matéria de cibersegurança e, em particular, os requisitos legais relacionados com a proteção das organizações no contexto da cadeia de valor implicam um esforço de adaptação com impacto significativo para todas as entidades envolvidas, certo é que permitirão, igualmente, uma prevenção mais eficaz de ciberincidentes e o reforço da ciber-resiliência.