Who is norppa.io for?

norppa.io is for any EU company that needs to demonstrate NIS2 supply chain security — from small businesses responding to a customer audit request to compliance teams at larger organisations. No prior security expertise needed: add a domain name and you are monitoring within minutes. Supply chain vendors also use norppa.io to monitor their own posture — seeing the exact signals their NIS2-obligated customers assess, and fixing exposures before a customer flags them.

What is included in supply chain monitoring?

Each supplier domain is checked across 100+ automated checks daily, with ransomware and dark-web monitoring every 6 hours: ransomware victim lists, dark web infostealer credential leaks, TLS/certificate health, DNS integrity and DNSSEC, MX blacklist status, cookie security flags, robots.txt path exposure, email security posture (SPF/DKIM/DMARC), IP geolocation, CVE/EPSS vulnerability exposure, breach database exposure, security.txt presence, post-quantum TLS readiness (NIST FIPS 203), Model Context Protocol exposure, JavaScript bundle secret scanning, and AI vendor inventory for EU AI Act Art. 26. Your own domain additionally receives a monthly external security assessment — exposed port and service risks, known vulnerability exposure, and TLS/SSL configuration weaknesses. No agents to install, no access to your infrastructure required.

How does NIS2 compliance reporting work?

Every finding is automatically mapped to the relevant NIS2 article — Art. 21(2)(d) supply chain, Art. 21(2)(h) cryptography, Art. 21(2)(i) credentials, Art. 23 incident reporting. Monthly PDF includes an executive summary, NIS2 compliance score, per-article breakdown and remediation actions.

Where is data stored?

All customer data is stored on EU-jurisdiction infrastructure in Finland and Germany. No data ever leaves the EU. GDPR compliant by architecture.

Monitorización NIS2 automatizada de la cadena de suministro

Sepa cuándo un proveedor o su propio dominio se convierte en un riesgo. Cada día.

Añada un dominio de proveedor y reciba más de 100 comprobaciones automáticas a diario — salud DNS/TLS, sanciones, datos de filtraciones y más — además de monitorización de ransomware y dark web cada 6 horas. Cada hallazgo mapeado al Art. 21 de NIS2. Informe PDF mensual incluido. Sin agentes, sin proyecto de TI.

Prueba gratuita — sin tarjeta Ver precios

Nuevo en 2026TLS post-cuántico · Exposición MCP / agentes IA · Reglamento UE de IA

Resumen de la cadena de suministro

Actualizado hace 2 h

81/100

Puntuación de cumplimiento NIS2

3 proveedores monitorizados

Proveedores

Nordic Systems AB

Riesgo bajo

Helsinki Tech Oy

Riesgo bajo

Acme Oy

Riesgo alto

Crítico: credenciales de Infostealer detectadas

Acme Oy — hace 4 horas

Nuevo

Más de 100 comprobaciones automatizadas a diario · ransomware y dark web cada 6 horas

Ransomware · Dark web · DNS/TLS · Seguridad HTTP · Datos de brechas · Inteligencia empresarial · Repositorios de código · Identidad & fraude por correo empresarial · Exposición IA

Hallazgos mapeados a artículos NIS2

Empresa de la UE · Datos almacenados en la UE — Finlandia + Alemania · RGPD by design

Panel, informes y cuestionarios a proveedores en 8 idiomas de la UE

Incluido en la suscripción

Lo que recibe como suscriptor

Sin esfuerzo manual, sin integración — añada un dominio y norppa.io se encarga del resto.

Monitoreo automatizado diario

Cada proveedor se comprueba automáticamente cada día. Añada un proveedor en 30 segundos — sin programación, sin revisiones manuales, sin seguimiento necesario.

Alertas inmediatas para eventos críticos

Inclusión en lista de víctimas de ransomware, fuga activa de credenciales, certificado por vencer — recibe una alerta por correo electrónico el mismo día en que se detecta. No semanas después.

Informe de cumplimiento mensual — listo para usar

Un informe PDF generado automáticamente con un resumen ejecutivo de IA, puntuaciones NIS2 por artículo y una lista de acciones de remediación priorizadas. Cada ciclo de monitoreo queda registrado — proporcionando un historial continuo y documentado de su supervisión de la cadena de suministro.

Verificado, no solo recopilado

Las respuestas del cuestionario del proveedor se contrastan con lo que observamos: verificadas, contradichas o claramente marcadas como solo atestación. Los hallazgos inciertos se marcan como posibles falsos positivos, para que su equipo actúe sobre lo real, no sobre el ruido.

Creado para la UE — 8 idiomas

Panel, informes mensuales y cuestionarios a proveedores en ocho idiomas de la UE. Atienda y evalúe a proveedores de toda Europa en su propio idioma.

Ver cómo es el informe

Vea sus primeros hallazgos NIS2 hoy.

Introduzca su correo corporativo — escaneamos su dominio automáticamente y le enviamos un enlace de acceso. Sin contraseña, sin tarjeta, sin configuración.

Principales áreas de riesgo externas cubiertas — exposición técnica, dark web, registros mercantiles y vulnerabilidades explotadas activamente.

Diariamente para cada proveedor supervisado. Sin agentes, sin integración.

Comprobaciones de seguridad técnicas

Certificados TLS, integridad DNS (SPF/DKIM/DMARC/DNSSEC), cabeceras de seguridad HTTP, aplicación HTTPS, riesgo de suplantación de correo electrónico (MTA-STS, BIMI, BEC compuesto), descubrimiento de subdominios, servicios expuestos y puertos abiertos, detección de cambios en sitios web, security.txt, detección de infraestructura de phishing AiTM, validación de origen de ruta RPKI/BGP, análisis de repositorios de código públicos (GitHub/GitLab, npm, Docker Hub) y riesgo de cadena de suministro de cuarto nivel. Mapeado a NIS2 Art. 21(2)(e)(h)(i).

Inteligencia dark web

Monitorización diaria de la dark web — si las credenciales de los empleados de su proveedor circulan en mercados de la dark web, recibirá una alerta para poder investigar y responder. Mapeado a NIS2 Art. 21(2)(b).

Seguimiento de víctimas de ransomware

Múltiples feeds de inteligencia sobre ransomware verificados diariamente contra todos sus proveedores. Grupos de amenazas activos rastreados a diario. Alerta inmediata por correo electrónico si un proveedor aparece en una lista de víctimas. Mapeado a NIS2 Art. 21(2)(b).

Certificados e infraestructura

Certificados TLS, salud DNS, DNSSEC, seguridad de correo electrónico (SPF/DKIM/DMARC), servicios expuestos y descubrimiento de subdominios monitorizados diariamente. Alerta por correo electrónico cuando un certificado vence en menos de 14 días.

Monitorización de brechas y exposición

Bases de datos de brechas, sitios de paste y exposición de credenciales verificados diariamente. Sepa si las cuentas o datos de sus proveedores han aparecido en filtraciones públicas — antes de que se convierta en su problema.

Monitorización de direcciones IP

Supervise las IP y rangos CIDR de proveedores que no están detrás de un dominio principal — pasarelas VPN, relés de correo, hosts dedicados. Detección de exposición a CVE (Shodan / CISA KEV), alertas de países de alto riesgo, clasificación de hosting compartido. Incluido por proveedor en cada plan. Mapeado al inventario de activos de la cadena de suministro NIS2 Art. 21(2)(d).

Detección de riesgos de proveedor de identidad y BEC

Identifica automáticamente el proveedor de identidad que utiliza un proveedor (Entra ID, ADFS, Okta), detecta configuraciones de identidad federada con mayor riesgo BEC y marca endpoints SSO expuestos públicamente. Correlaciona con datos de infostealers para generar una puntuación de riesgo BEC compuesta. Mapeado a NIS2 Art. 21(2)(i)(j).

Exposición de herramientas IA y API LLM

Descubre herramientas de desarrollo IA expuestas (Jupyter, Streamlit, Gradio, Ollama), endpoints API públicos compatibles con OpenAI y dependencias de HuggingFace Spaces — incluidas posibles filtraciones de secretos. Estas exposiciones son invisibles para las herramientas EASM tradicionales. Mapeado a NIS2 Art. 21(2)(a)(e).

Inteligencia empresarial

Estado del registro mercantil incluida detección de quiebra y liquidación, registro LEI/GLEIF y detección de vencimiento, control de sanciones (UE, OFAC, ONU), validación de IVA, cambios de registrador de dominio y servidores de nombres — verificados diariamente. Directamente mapeado a NIS2 Art. 21(2)(d).

Nuevo en 2026

Preparación TLS post-cuántica

NIST FIPS 203 (ML-KEM) se convirtió en el estándar criptográfico en agosto de 2024. Identificamos el CDN / proveedor de borde de cada proveedor y marcamos a aquellos que aún no usan TLS híbrido post-cuántico — Cloudflare, Fastly y AWS CloudFront lo despliegan por defecto; Akamai, BunnyCDN y orígenes directos típicamente aún no. «Harvest now, decrypt later» es una amenaza real para datos sensibles de larga vida. Mapeado a NIS2 Art. 21(2)(h).

Nuevo en 2026

Exposición de endpoints MCP / agentes IA

Los servidores Model Context Protocol públicos son la superficie de ataque de 2026: BlueRock encontró el 36,7 % de 7.000 servidores MCP encuestados vulnerables a SSRF, CVE-2025-6514 convirtió 437.000 instalaciones de mcp-remote en puertas traseras de la cadena de suministro. Detectamos /.well-known/mcp, /mcp, /sse e inventario de proveedores IA — la única herramienta TPRM que lo hace. Mapeado a NIS2 Art. 21(2)(e) y EU AI Act Art. 26.

Nuevo en 2026

Exportaciones NIS2 + DORA listas para auditoría

Exportaciones CSV en un clic para auditoría NIS2 (12 meses de hallazgos mapeados por artículo, decisiones de riesgo, notificaciones a proveedores, certificaciones) y Registro de Información DORA UE (Reglamento de Ejecución 2024/1773 Anexo III B_02.03 + B_05.01). Columnas norppa.io más campos alineados con DORA RTS listos para el libro de su equipo de cumplimiento — para entidades financieras sujetas a DORA.

Evidencias de cumplimiento NIS2

Cada hallazgo se mapea automáticamente al artículo NIS2 correspondiente — Art. 21(2)(d) cadena de suministro, Art. 21(2)(h) criptografía, Art. 21(2)(j) control de acceso, Art. 23 notificación de incidentes. Informe PDF mensual para la dirección y la auditoría.

Complemento de Full Scan mensual

Una vez al mes, norppa.io realiza una evaluación de seguridad externa completa de su propio dominio — puertos y servicios expuestos, vulnerabilidades CVE conocidas (clasificadas por EPSS), debilidades de configuración TLS, cabeceras de seguridad HTTP y exposición de subdominios. Completamente desde internet público, sin acceso a su infraestructura. También confirma activamente las vulnerabilidades marcadas de forma pasiva durante la supervisión diaria, elevándolas de «potenciales» a verificadas. Todos los hallazgos incluidos en su informe NIS2 mensual.

Autoevaluación del proveedor (SAQ)

Envíe a cada proveedor un enlace de cuestionario tokenizado — responden 28 preguntas mapeadas a NIS2 sobre gobernanza, control de acceso, respuesta a incidentes, criptografía, continuidad y prácticas de cadena de suministro. Las respuestas se puntúan automáticamente y son visibles en su panel junto a los hallazgos técnicos.

Incluido en todos los planes

Dos capas de evidencia NIS2: contrastadas entre sí

La monitorización automatizada detecta lo que los proveedores no revelan. El cuestionario capta lo que las herramientas no ven. norppa contrasta uno con otro: cada atestación se respalda con evidencia, no se da por confianza.

Layer 1

Monitorización automatizada — más de 100 comprobaciones diarias

Más de 50 comprobaciones diarias por dominio supervisado — listas de víctimas de ransomware, filtraciones de credenciales en dark web, salud DNS/TLS, geolocalización IP, exposición a brechas, cabeceras de seguridad HTTP, detección de cambios en sitios web, inteligencia empresarial y análisis de repositorios de código públicos. Sin implicación del proveedor.

Layer 2

Autoevaluación del proveedor (SAQ)

Envíe a cada proveedor un enlace de cuestionario con un clic. 28 preguntas en 7 secciones NIS2 — gobernanza, control de acceso, respuesta a incidentes, criptografía, continuidad de negocio y más. Puntuado automáticamente, visible en su panel. Envíelo a cada proveedor en su propio idioma — disponible en 8 idiomas de la UE — para lograr mayores tasas de respuesta.

Atestación respaldada por evidencia

NIS2 Art. 21(2)(d) — Cuando un control es observable externamente, comparamos la respuesta del proveedor con lo que realmente vemos: un escaneo TLS limpio verifica una atestación 'TLS 1.2+'; las vulnerabilidades expuestas contradicen un 'parcheamos con prontitud'. Los controles que no podemos observar desde fuera se marcan claramente como atestación. Nunca insinuamos una verificación que no podamos respaldar.

Cada respuesta lleva su estado: verificada, contradicha, cuestionada o solo atestación.

Ver cómo es el SAQ →

Diseñado para equipos de seguridad ágiles

100+

comprobaciones automatizadas por dominio

Ransomware · Dark web · DNS/TLS · Inteligencia empresarial · Repositorios de código · Brechas

diario

frecuencia de análisis

Monitorización continua, no una instantánea puntual

100 %

residencia de datos en la UE

Finlandia + Alemania · RGPD by design

NIS2

artículos mapeados automáticamente

Todos los subpárrafos NIS2 Art. 21(2) cubiertos — mapeados y documentados automáticamente

Operativo en cinco minutos. Primer informe de cumplimiento en el primer mes.

Añada sus proveedores

Introduzca el nombre de la empresa y el dominio. Toda su lista de proveedores en 5 minutos — sin integraciones, claves API ni proyectos de TI.

La monitorización comienza de inmediato

Listas de víctimas de ransomware, filtraciones de credenciales en dark web, estado de certificados, registros mercantiles y exposición a CVE — verificados diariamente en toda su red de proveedores y su propio dominio. Sin configuración necesaria.

Los hallazgos críticos generan alertas instantáneas

Alerta por correo electrónico en 24 horas tras detectar una aparición en listas de ransomware, exposición de credenciales en dark web o certificado con menos de 14 días de validez. Actúe sobre los riesgos cuando surjan.

Informe mensual de cumplimiento NIS2

Informe PDF mensual — cada hallazgo mapeado a su artículo NIS2, con puntuaciones de riesgo, ranking de proveedores y resumen ejecutivo generado por IA. Útil para auditorías desde el primer mes.

Ver un informe de muestra →

Seguridad NIS2 de cadena de suministro desde 249 €/mes — sin complejidad enterprise.

Función	norppa.io
Monitorización de cadena de suministro	Incluido
Monitorización dark web e infostealer	Diario
Seguimiento de víctimas de ransomware	Diario
Informe mapeado a artículos NIS2	PDF mensual
Monitorización de certificados y subdominios	Continuo
Residencia de datos en la UE	Sí
Complemento Full Scan	OSINT + comprobaciones HTTP incluidas · Full Scan: complemento
Cuestionario de autoevaluación de proveedores (SAQ)	Incluido
Inteligencia empresarial (registro mercantil, detección de quiebra)	Incluido
Análisis de repositorios de código públicos (GitHub/GitLab, npm, Docker Hub)	Incluido
Detección de riesgos de proveedor de identidad (Entra ID, ADFS, Okta) + puntuación BEC compuesta	Incluido
Exposición de herramientas IA/ML y escaneo de secretos de API LLM	Incluido
Art. 23 — Preparación para la notificación de incidentes (24h)	Diariamente — informado de inmediato
Contrastar las atestaciones del proveedor con la evidencia de escaneo	Automático

Función	norppa.io	Herramientas EASM tradicionales	Proceso manual
Monitorización de cadena de suministro	Incluido	No incluido	Hoja de cálculo manual
Monitorización dark web e infostealer	Diario	No incluido	No factible
Seguimiento de víctimas de ransomware	Diario	No incluido	Manual
Informe mapeado a artículos NIS2	PDF mensual	No incluido	Manual
Monitorización de certificados y subdominios	Continuo	Continuo	Manual
Residencia de datos en la UE	Sí	Parcial	Depende
Complemento Full Scan	OSINT + comprobaciones HTTP incluidas · Full Scan: complemento	Solo niveles superiores	N/A
Cuestionario de autoevaluación de proveedores (SAQ)	Incluido	No incluido	Manual
Inteligencia empresarial (registro mercantil, detección de quiebra)	Incluido	Parcial	Manual
Análisis de repositorios de código públicos (GitHub/GitLab, npm, Docker Hub)	Incluido	No incluido	No factible
Detección de riesgos de proveedor de identidad (Entra ID, ADFS, Okta) + puntuación BEC compuesta	Incluido	No incluido	No factible
Exposición de herramientas IA/ML y escaneo de secretos de API LLM	Incluido	No incluido	No factible
Art. 23 — Preparación para la notificación de incidentes (24h)	Diariamente — informado de inmediato	No cubre incidentes de proveedores	Imposible con revisión anual
Contrastar las atestaciones del proveedor con la evidencia de escaneo	Automático	No incluido	No factible

Por qué una hoja de cálculo puede no cumplir NIS2 Art. 21

Los cuestionarios anuales dicen lo que un proveedor planeó hacer — no si sus sistemas están realmente seguros hoy. El estándar de 'medidas apropiadas' de NIS2 difícilmente se cumple únicamente con instantáneas anuales.

Basado en comparaciones de funciones disponibles públicamente. Sujeto a cambios.

No utilizamos nombres de clientes en nuestras comunicaciones ni pedimos referencias o estudios de caso. Lo que comparte con norppa se queda con usted.

NIS2 está en vigor. ¿Puede demostrar que su cadena de suministro está bajo control, cada día y no una vez al año?

La Directiva NIS2 de la UE (en vigor desde octubre de 2024) obliga a las empresas medianas y grandes de sectores críticos a gestionar activamente los riesgos de ciberseguridad en sus cadenas de suministro. El artículo 21(2)(d) exige específicamente medidas de seguridad de la cadena de suministro. El incumplimiento puede resultar en multas de hasta 10 millones de euros o el 2 % del volumen de negocio global.

Leer NIS2 Art. 21 →Ver un informe de muestra →

Guías prácticas:¿A quién aplica?Requisito de cadena de suministro NIS2 vs DORA

Entre 160.000 y 200.000 empresas de la UE están directamente obligadas

Finanzas, energía, sanidad, transporte, infraestructura digital — NIS2 se aplica en toda la UE con los mismos requisitos en cada Estado miembro.

Las evaluaciones anuales por sí solas probablemente no son suficientes

Un cuestionario anual dice cómo estaban las cosas entonces; NIS2 espera que demuestres cómo están hoy. norppa contrasta las respuestas de cada proveedor con evidencia de escaneo en vivo, de modo que una atestación se respalda con lo que realmente observamos.

En una auditoría, debe poder demostrar una monitorización continua

Las autoridades supervisoras pueden solicitar evidencias concretas de la gestión de riesgos — y la dirección es personalmente responsable. Un cuestionario anual es una defensa débil. norppa.io genera automáticamente evidencias fechadas a nivel de hallazgo — cada día, para cada proveedor.

Una fracción del coste

Monitorización continua de hasta 10 proveedores desde 249 €/mes — menos de 25 € por proveedor — frente a multas de hasta 10 M€ o el 2 % de la facturación global.

Sepa cuándo un proveedor o su propio dominio se convierte en un riesgo. Cada día.

Lo que recibe como suscriptor

Monitoreo automatizado diario

Alertas inmediatas para eventos críticos

Informe de cumplimiento mensual — listo para usar

Verificado, no solo recopilado

Creado para la UE — 8 idiomas

Vea sus primeros hallazgos NIS2 hoy.

Principales áreas de riesgo externas cubiertas — exposición técnica, dark web, registros mercantiles y vulnerabilidades explotadas activamente.

Comprobaciones de seguridad técnicas

Inteligencia dark web

Seguimiento de víctimas de ransomware

Certificados e infraestructura

Monitorización de brechas y exposición

Monitorización de direcciones IP

Detección de riesgos de proveedor de identidad y BEC

Exposición de herramientas IA y API LLM

Inteligencia empresarial

Preparación TLS post-cuántica

Exposición de endpoints MCP / agentes IA

Exportaciones NIS2 + DORA listas para auditoría

Evidencias de cumplimiento NIS2

Complemento de Full Scan mensual

Autoevaluación del proveedor (SAQ)

Dos capas de evidencia NIS2: contrastadas entre sí

Monitorización automatizada — más de 100 comprobaciones diarias

Autoevaluación del proveedor (SAQ)

Operativo en cinco minutos. Primer informe de cumplimiento en el primer mes.

Añada sus proveedores

La monitorización comienza de inmediato

Los hallazgos críticos generan alertas instantáneas

Informe mensual de cumplimiento NIS2

Seguridad NIS2 de cadena de suministro desde 249 €/mes — sin complejidad enterprise.

NIS2 está en vigor. ¿Puede demostrar que su cadena de suministro está bajo control, cada día y no una vez al año?

Entre 160.000 y 200.000 empresas de la UE están directamente obligadas

Las evaluaciones anuales por sí solas probablemente no son suficientes

En una auditoría, debe poder demostrar una monitorización continua

Una fracción del coste

Preguntas frecuentes

¿Para quién es norppa.io?

¿Qué incluye la monitorización de la cadena de suministro?

¿Cómo funciona el reporting de cumplimiento NIS2?

¿Puedo añadir más proveedores después?

¿Dónde se almacenan mis datos?

¿Cuáles son los términos de facturación?

¿Es legal monitorizar a nuestros proveedores sin su consentimiento?

¿Cómo saben que las respuestas del cuestionario de un proveedor son exactas?