José Valiente Pérez, diretor e coordenador do CCI, Centro de Cibersegurança Industrial – Industrial Cybersecurity Center, comenta que:
«De acordo com o estudo que estamos preparando sobre a gestão da cibersegurança na cadeia de fornecimento, os clientes identificam como principal risco as dependências críticas sem controles adequados e, por outro lado, a falta de transparência do fornecedor. Por isso, um dos desafios será quebrar a dinâmica do fornecedor opaco. Muitos entregam máquinas conectadas sem validar serviços, configurações ou firmware. A cadeia de fornecimento já não pode funcionar com caixas-pretas: será necessário fornecer informações e evidências reais».
Outro desafio será «superar as exigências normativas relacionadas à NIS2 e ao CRA. Os fornecedores que hoje não sabem o que responder quando são questionados se cumprem a NIS2 e/ou o CRA ficarão fora do jogo. Haverá uma pressão crescente por SBOM verificáveis, evidências de conformidade, auditorias periódicas compartilhadas e níveis mínimos de maturidade OT».
«Além disso, será crucial transformar o acesso remoto em um canal confiável e rastreável, e não improvisado como ocorre em muitos casos», acrescenta José Valiente.
«Também é importante destacar a relevância da figura do ICSO (Industrial Cybersecurity Officer), que terá de gerir mais relações, mais contratos, mais implicações legais e mais tecnologias de terceiros do que nunca. O seu papel será fundamental no suporte a incidentes com terceiros, na definição de critérios de compras seguras e de cláusulas adaptadas ao tipo de fornecedor».
No entanto, embora esses quatro desafios sejam relevantes, «o maior desafio para 2026 será fazer com que a cadeia de fornecimento industrial deixe de ser tratada como um ecossistema hostil e passe para um modelo de ciber-resiliência [industrial] partilhada: com acompanhamento técnico por parte do cliente, requisitos graduais (Básico / Importante / Crítico), avaliações conjuntas com feedback e melhoria contínua bilateral», conclui José Valiente.
