Guía NIS2

Guía NIS2 · 7 min

¿Sus proveedores usan IA? El riesgo de proveedores de NIS2 y el Reglamento de IA de la UE

Bajo NIS2 usted es responsable del ciberriesgo que portan sus proveedores (artículo 21(2)(d)). Cada vez más ese riesgo incluye la IA: proveedores que integran IA en los servicios de los que depende, y sus proveedores hacen lo mismo. El Reglamento de IA de la UE, ahora en aplicación por fases, añade obligaciones para las organizaciones que despliegan sistemas de IA o dependen de ellos, incluidos los de terceros. La mayoría de las evaluaciones de proveedores no preguntan nada sobre IA. Esta guía explica dónde la IA de proveedores y de la enésima parte crea riesgo bajo NIS2 y el Reglamento de IA, qué evaluar y cómo mantener la visibilidad.

Puntos clave

  • NIS2 hace suya la responsabilidad del ciberriesgo de sus proveedores; la IA integrada por ellos ya forma parte de ese riesgo.
  • El Reglamento de IA añade obligaciones cuando usted depende de IA de terceros, incluidos sistemas de alto riesgo.
  • La mayoría de los cuestionarios ignoran la IA; la IA de la enésima parte (los proveedores de sus proveedores) es el punto ciego más difícil.

Por dónde entra la IA en su cadena de suministro

La IA le llega a través de proveedores de tres maneras: un proveedor usa IA dentro de un servicio que consume; un proveedor procesa sus datos con IA (entrenamiento, inferencia, herramientas de soporte); y los proveedores de su proveedor hacen lo mismo (enésima parte). Cada uno amplía la superficie de ataque (exposición del modelo y de los datos, inyección de instrucciones, nuevas integraciones) y la exposición regulatoria. El artículo 21(2)(d) de NIS2 le hace responsable de la seguridad de estas relaciones, y el Reglamento de IA añade deberes de transparencia y gestión de riesgos cuando despliega sistemas de IA o depende de ellos, incluidos los de terceros.

Fuentes oficiales: Directiva NIS2 en EUR-Lex — artículo 21(2)(d); además del Reglamento de IA de la UE (Reglamento (UE) 2024/1689) para las obligaciones propias de la IA.

Qué evaluar sobre la IA de los proveedores

Añada estos puntos a la evaluación de proveedores. Corresponden a las medidas de cadena de suministro de NIS2 y a los deberes del Reglamento de IA para quienes dependen de la IA.

1

Dónde toca la IA sus datos

Pregunte qué partes del servicio usan IA, si sus datos se emplean para entrenamiento o inferencia, y dónde ocurre ese procesamiento. Esto determina tanto su exposición NIS2 como su posición ante el Reglamento de IA y el RGPD.

2

Si la IA es de alto riesgo según el Reglamento de IA

Si la IA de un proveedor entra en una categoría de alto riesgo del Reglamento de IA, usted hereda expectativas de transparencia, supervisión humana y registro cuando depende de ella. Confirme la clasificación y el trabajo de conformidad del proveedor.

3

IA de la enésima parte (los proveedores de su proveedor)

Los proveedores revenden o integran cada vez más IA de terceros (modelos fundacionales, API de IA). Exija la divulgación de estos subproveedores, para que una caída del modelo, un incidente de datos o un cambio de política no le tomen por sorpresa.

4

Controles de seguridad propios de la IA

Protección contra inyección de instrucciones y fugas de datos, control de acceso a los puntos finales del modelo, registro y supervisión humana de las decisiones automatizadas. Es la extensión a la era de la IA del mínimo del artículo 21(2).

5

Notificación de incidentes de IA

Amplíe la cláusula de notificación de su contrato a fallos propios de la IA (fuga de datos a través de un modelo, salida dañina o manipulada), para que un incidente de IA de un proveedor le llegue a tiempo para su propia notificación.

Vea cómo puntúan realmente sus proveedores

7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera

Cómo mantener la visibilidad a medida que la IA se extiende

La adopción de IA en su cadena cambia más rápido que un cuestionario anual: un proveedor añade una función de IA, cambia de proveedor de modelo o aparece un nuevo subencargado. Combine el cuestionario con monitorización externa continua y un inventario vivo de la cuarta parte, para que las nuevas dependencias de IA y los subproveedores detrás de ellas afloren en cuanto surgen, asociadas a las obligaciones NIS2 y del Reglamento de IA que activan, en vez de en el siguiente ciclo de revisión.

Errores comunes

  • Un cuestionario de proveedores que nunca pregunta por la IA.
  • Evaluar al proveedor directo pero ignorar el modelo de terceros o la API de IA detrás de su servicio.
  • Tratar la IA solo como un tema de innovación, no como seguridad de la cadena y cumplimiento del Reglamento de IA.
  • Ninguna obligación contractual de divulgar el uso de IA ni de notificar incidentes propios de la IA.

Vea cómo el riesgo de proveedor e IA se asocia a NIS2

Un informe de proveedor de ejemplo (hallazgos, mapeo NIS2 y evidencias) en dos minutos.

7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 para proveedores: usted no está designado, pero sus clientes sí

La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas

Qué son las sanciones NIS2: los topes del artículo 34 (10 M€ / 2 % para entidades esenciales, 7 M€ / 1,4 % para importantes), la responsabilidad personal de la dirección (art. 20, art. 32), las medidas no pecuniarias y cómo evitarlas.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.

Estado de transposición de NIS2: en qué países de la UE está en vigor

Cuáles de los 27 Estados miembros de la UE han incorporado NIS2 a la ley nacional y cuáles aún la ultiman, y por qué las diferencias alcanzan su cadena de suministro igualmente.

Cláusulas contractuales para proveedores NIS2: qué exigir a sus proveedores

Las cláusulas que hacen exigible la obligación de cadena de suministro de NIS2: mínimo de seguridad, ventana de notificación, derechos de prueba y auditoría, traslación a subcontratistas y verificación continua.

Su postura de seguridad externa bajo NIS2: lo que ven proveedores y clientes

Las señales públicamente visibles que los clientes evalúan bajo el art. 21(2)(d) de NIS2: suplantación de correo (SPF/DMARC), higiene de certificados, sistemas expuestos a internet y credenciales filtradas, por qué importa cada una y cómo comprobarlas y corregirlas.

Suplantación de proveedor y fraude del CEO (BEC): suplantación de correo, DMARC y NIS2

Uno de los ataques a la cadena de suministro más comunes no necesita ninguna brecha: un correo suplantado que desvía un pago o roba datos. Cómo funcionan el BEC y la suplantación de proveedor, los ajustes SPF, DKIM y DMARC que los detienen, y cómo encaja en el art. 21(2)(d) de NIS2.

Última revisión: 19 de junio de 2026

Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.