As novas exigências de cibersegurança impostas ao setor de defesa dos Estados Unidos começam a produzir efeitos colaterais na cadeia de suprimentos. De acordo com publicações da imprensa internacional, pequenos fornecedores avaliam reduzir ou até abandonar contratos militares diante do aumento expressivo de custos e da complexidade regulatória, segundo reportagem da Reuters assinada por Allison Lampert e Mike Stone.
Informações da Reuters dão conta de que o centro da mudança é o modelo de certificação conhecido como U.S. Department of Defense Cybersecurity Maturity Model Certification (CMMC), criado para proteger informações classificadas como “controladas não confidenciais”. Após anos de adiamentos, o programa começou a ser implementado em novembro passado.
A partir de agora, empresas que participam de contratos federais precisam realizar autoavaliações de segurança cibernética, correspondentes ao primeiro de três níveis da certificação. O segundo estágio, mais rigoroso e que inclui auditorias formais, deve entrar em vigor até novembro.
Executivos do setor afirmam que a adequação pode custar centenas de milhares de dólares por empresa, valor significativo para companhias de menor porte, muitas das quais operam com margens apertadas e atendem também ao mercado civil.
Margaret Boatner, vice-presidente de política de segurança nacional da Aerospace Industries Association, declarou à Reuters que o acúmulo de exigências regulatórias complexas e onerosas tem levado algumas empresas a reconsiderar sua permanência no mercado de defesa. Segundo dados de um subcomitê da Câmara dos Representantes dos EUA, 88% das empresas aeroespaciais são pequenos negócios.
A situação preocupa porque muitos desses fornecedores são únicos produtores de componentes críticos utilizados por grandes contratantes na montagem de aeronaves e sistemas de defesa. Em um cenário de saída dessas empresas, o risco é reduzir ainda mais a concorrência e aumentar a vulnerabilidade da cadeia produtiva.
Incertezas e prazos apertados
Além do impacto financeiro, fontes do setor relatam dificuldades práticas. Há filas de meses para realização das auditorias e dúvidas sobre quais tipos de informação precisam efetivamente ser protegidos sob o novo padrão.
Sem definições totalmente claras, contratantes principais estariam exigindo níveis de conformidade mais elevados mesmo de fornecedores que não lidam diretamente com dados sensíveis, como desenhos técnicos de peças de aeronaves militares.
Leia mais: Taiwan rejeita transferência em massa da produção de chips para os EUA
Segundo Alex Major, advogado do escritório McCarter & English que assessora empresas na adaptação às regras, o efeito colateral pode ser uma redução da competição nas camadas inferiores da cadeia de suprimentos. O modelo CMMC foi originalmente apresentado em 2019, mas sofreu sucessivos atrasos após questionamentos da indústria. O U.S. Department of Defense não comentou à Reuters os impactos relatados.
Desafio maior para fornecedores internacionais
A situação se torna ainda mais complexa para empresas fora dos Estados Unidos. Fornecedores internacionais precisam conciliar as exigências do CMMC com legislações regionais de proteção de dados, como as normas europeias de privacidade.
Um executivo de uma empresa canadense afirmou que terá de investir cerca de 500 mil dólares canadenses para atender simultaneamente às regras norte-americanas e europeias. A necessidade de manter dados em formatos específicos ou classificá-los segundo parâmetros do governo dos EUA pode conflitar com legislações locais.
Decisão estratégica para pequenos fabricantes
Empresas como a Pathfinder Manufacturing, que fabrica chicotes elétricos e atende parcialmente ao setor de defesa, avaliam se o investimento exigido compensa o retorno financeiro. Segundo o CEO Dave Trader, a companhia também vê forte demanda do mercado comercial, especialmente da Boeing.
O dilema ocorre em um momento em que o governo pressiona contratantes a ampliar produção e diversificar a base de fornecedores. Caso pequenos negócios optem por sair do segmento militar, o objetivo de fortalecer a resiliência industrial pode enfrentar novos obstáculos.
A implementação do CMMC busca elevar o padrão de proteção cibernética em um setor considerado estratégico. Entretanto, no curto prazo, a combinação de custos elevados, incertezas regulatórias e exigências de auditoria coloca pressão adicional sobre um ecossistema já afetado por gargalos produtivos nos últimos anos.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
