Guía NIS2 · 7 min
Su postura de seguridad externa bajo NIS2: lo que ven proveedores y clientes
Bajo NIS2, sus clientes son responsables de la seguridad de sus proveedores (artículo 21(2)(d)) y evalúan cada vez más ese riesgo desde fuera, usando solo lo públicamente visible: su autenticación de correo, sus certificados y qué parte de su infraestructura está expuesta a internet. Son las mismas señales que un atacante ve primero. Esta guía explica las señales externas que determinan cómo se le juzga como proveedor, por qué importa cada una y cómo comprobarlas y corregirlas.
Puntos clave
- • NIS2 traslada la evaluación de proveedores por la cadena; gran parte arranca de su postura públicamente visible.
- • Las señales más fuertes: suplantación de correo (SPF/DMARC), higiene de certificados y sistemas expuestos a internet.
- • Puede ver y corregir la mayoría usted mismo en minutos, antes que un cliente o un atacante.
Por qué importa la vista externa bajo NIS2
El artículo 21(2)(d) de NIS2 hace a una empresa sujeta responsable del ciberriesgo de sus proveedores directos. Como un comprador no puede auditar a fondo a cada proveedor, el primer paso práctico es la vista externa: señales visibles sin acceso alguno a sus sistemas. Una señal débil no prueba inseguridad, pero es lo que un cliente nota, con lo que se contrasta un cuestionario y lo que un atacante sondea primero. Hacerlo bien es barato y muy revelador.
Fuente oficial: Directiva NIS2 en EUR-Lex — artículo 21(2) (medidas de seguridad) y 21(2)(d) (seguridad de la cadena de suministro).
Las señales externas que moldean su evaluación
Ninguna requiere acceso a sus sistemas; todas son visibles desde internet público. Corresponden a las medidas que NIS2 espera y a cómo operan realmente los atacantes.
Suplantación de correo (SPF y DMARC)
Si su dominio no publica SPF ni DMARC, o DMARC está en p=none, cualquiera puede enviar correos que parezcan venir de usted. Es el mecanismo del phishing y el fraude del CEO (BEC), trivialmente comprobable en su DNS público.
Higiene de certificados (TLS)
Certificados caducados o próximos a caducar en sus servicios principales indican un control operativo débil y pueden romper la confianza y la disponibilidad. Los registros de transparencia de certificados también hacen público su historial.
Sistemas de no producción y administración expuestos
Hosts de desarrollo, preproducción o administración accesibles desde internet amplían su superficie de ataque y suelen carecer de endurecimiento de nivel producción. Aparecen con frecuencia en registros públicos de transparencia de certificados.
Credenciales filtradas y exposición a brechas
Credenciales de empleados expuestas en conjuntos públicos de filtraciones e infostealers son una vía de entrada directa. Es información externa y pública que un atacante puede usar antes de que usted lo note.
Endurecimiento del transporte web (HSTS y cabeceras)
La ausencia de HSTS y cabeceras relacionadas es menor por separado, pero juntas indican con qué constancia se aplican los fundamentos. Los evaluadores las leen como indicador de madurez operativa.
Vea cómo puntúan realmente sus proveedores
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Cómo comprobarlo y mantenerlo
Puede comprobar la mayoría usted mismo en minutos, con herramientas públicas y su propio DNS. Lo difícil es mantenerlo con el tiempo: un certificado caduca, se expone un nuevo subdominio, se filtran credenciales. La monitorización externa continua vigila estas señales para su propio dominio y sus proveedores y asocia cada hallazgo al artículo NIS2 pertinente, para que vea y corrija antes que la evaluación de un cliente o un atacante.
Errores comunes
- ✕Dar por hecha la autenticación de correo en cuanto existe SPF, mientras DMARC sigue en p=none y no bloquea nada.
- ✕Corregir el sitio principal pero dejar hosts de dev, preproducción o administración expuestos y sin endurecer.
- ✕Suponer que 'pasamos el cuestionario' significa que la realidad externa sigue coincidiendo meses después.
- ✕No comprobar nunca qué exponen ya los datos públicos de filtraciones sobre sus cuentas.
Vea cómo su postura externa se asocia a NIS2
Un informe de proveedor de ejemplo (hallazgos, mapeo NIS2 y evidencias) en dos minutos.
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Guías relacionadas
Cómo cumplir NIS2: una hoja de ruta paso a paso
Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.
¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño
Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.
NIS2 para proveedores: usted no está designado, pero sus clientes sí
La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.
NIS2 y el requisito de la cadena de suministro: qué significa en la práctica
NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.
Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado
Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.
NIS2 Art. 21(2): lista de verificación de seguridad para proveedores
Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.
Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita
Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.
Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados
Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.
NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber
Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.
ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no
Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.
Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas
Qué son las sanciones NIS2: los topes del artículo 34 (10 M€ / 2 % para entidades esenciales, 7 M€ / 1,4 % para importantes), la responsabilidad personal de la dirección (art. 20, art. 32), las medidas no pecuniarias y cómo evitarlas.
NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica
En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.
RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos
En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.
El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro
Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.
El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)
Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.
Estado de transposición de NIS2: en qué países de la UE está en vigor
Cuáles de los 27 Estados miembros de la UE han incorporado NIS2 a la ley nacional y cuáles aún la ultiman, y por qué las diferencias alcanzan su cadena de suministro igualmente.
Cláusulas contractuales para proveedores NIS2: qué exigir a sus proveedores
Las cláusulas que hacen exigible la obligación de cadena de suministro de NIS2: mínimo de seguridad, ventana de notificación, derechos de prueba y auditoría, traslación a subcontratistas y verificación continua.
¿Sus proveedores usan IA? El riesgo de proveedores de NIS2 y el Reglamento de IA de la UE
Los proveedores integran cada vez más IA en los servicios de los que depende, y sus proveedores también. Dónde la IA de proveedores y de la enésima parte crea riesgo bajo el art. 21(2)(d) de NIS2 y el Reglamento de IA, qué evaluar y cómo mantener la visibilidad.
Suplantación de proveedor y fraude del CEO (BEC): suplantación de correo, DMARC y NIS2
Uno de los ataques a la cadena de suministro más comunes no necesita ninguna brecha: un correo suplantado que desvía un pago o roba datos. Cómo funcionan el BEC y la suplantación de proveedor, los ajustes SPF, DKIM y DMARC que los detienen, y cómo encaja en el art. 21(2)(d) de NIS2.
Última revisión: 19 de junio de 2026
Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.