norppa.io
Guías

Guía NIS2 · 11 min

NIS2 para proveedores: usted no está designado, pero sus clientes sí

La mayoría de las empresas nunca son designadas formalmente como entidades esenciales o importantes según NIS2. Muchas, aun así, deben cumplirla. Si sus clientes están sujetos a NIS2, la directiva los hace responsables de la seguridad de su cadena de suministro, y esa responsabilidad le alcanza a través de contratos, cuestionarios y monitoreo continuo. Esta guía explica cómo la obligación se traslada a un proveedor no designado, qué le pedirán sus clientes y cómo responder de forma creíble y convertirlo en una ventaja comercial.

Puntos clave

  • NIS2 no tiene que nombrarle. Si sus clientes están en el ámbito, su deber de seguridad de la cadena de suministro (artículo 21, apartado 2, letra d) se convierte en su realidad contractual.
  • Espere cuestionarios de seguridad, pruebas de las medidas del artículo 21, apartado 2, una cláusula de notificación de incidentes y, cada vez más, la aceptación de un monitoreo continuo.
  • Los proveedores que pueden demostrar su seguridad cuando se les pide conservan contratos y ganan nuevos; los que no, son sustituidos en silencio.

Cómo NIS2 alcanza a un proveedor que nunca fue designado

NIS2 se aplica directamente solo a las organizaciones que clasifica como entidades esenciales o importantes, por sector y tamaño. Si usted no es una de ellas, ninguna autoridad nacional le enviará un requerimiento. Ahí es donde muchos proveedores dejan de leer, y donde empieza el malentendido.

La directiva no regula directamente a los proveedores de sus proveedores. En cambio, hace a cada entidad sujeta responsable del riesgo de ciberseguridad de su propia cadena de suministro (artículo 21, apartado 2, letra d). Para cumplir ese deber, sus clientes deben evaluar, exigir requisitos y supervisar la seguridad de los proveedores de los que dependen. Si usted es uno de ellos, su obligación jurídica se convierte en la suya comercial. Queda implicado de forma indirecta, a través de la relación y no de una designación.

Qué debe hacer su cliente sujeto, y por qué recae en usted

El artículo 21, apartado 2, letra d exige a las entidades esenciales e importantes gestionar la seguridad de la cadena de suministro, incluidos los aspectos de seguridad de la relación entre cada entidad y sus proveedores o prestadores de servicios directos. En la práctica, su cliente debe:

  • Identificar qué proveedores son críticos para sus servicios y evaluar el ciberriesgo que cada uno introduce.
  • Fijar requisitos de seguridad para esos proveedores e incorporarlos a los contratos y a los acuerdos de tratamiento de datos.
  • Verificar que los requisitos se cumplen, no una vez en la incorporación sino de forma continua.
  • Responder de los incidentes que se originan en un proveedor, porque según NIS2 una interrupción causada por un proveedor sigue siendo el incidente que el cliente debe gestionar y notificar.
  • Demostrar a su autoridad de control que esta supervisión de proveedores ocurre realmente.

Qué le pedirán sus clientes

A medida que esa supervisión madura, las solicitudes que llegan a los proveedores convergen en un conjunto reconocible:

  • Un cuestionario de seguridad o autoevaluación, a menudo mapeado a las medidas del artículo 21, apartado 2 o a una norma como ISO 27001.
  • Pruebas detrás de las respuestas: políticas, certificados y resultados recientes de pruebas o análisis, en lugar de afirmaciones sin respaldo.
  • Una cláusula de notificación de incidentes que le obligue a alertar al cliente con rapidez cuando algo le afecte, para que cumpla sus propios plazos de notificación.
  • Requisitos de seguridad contractuales y, para los proveedores críticos, un derecho de auditoría o a solicitar una garantía independiente.
  • La aceptación de un monitoreo externo continuo, porque un cuestionario puntual respondido el año pasado ya no satisface una obligación de carácter continuo.

Las medidas del artículo 21, apartado 2 que sus clientes esperan de usted

Aunque el artículo 21, apartado 2 vincula a su cliente y no a usted, sus diez medidas son la plantilla que la mayoría de los compradores reutiliza al fijar requisitos a los proveedores. Conviene poder mostrar, a su escala proporcionada, que aborda cada una:

Gestión de riesgos y políticas

Un enfoque documentado y revisado con regularidad del riesgo de seguridad de la información, asumido a nivel directivo. (art. 21.2.a)

Gestión de incidentes

Un proceso definido para detectar incidentes de seguridad, responder a ellos y aprender de ellos. (art. 21.2.b)

Continuidad de negocio y copias de seguridad

Copias, planes de recuperación y gestión de crisis para que el servicio sobreviva a una interrupción. (art. 21.2.c)

Seguridad de la cadena de suministro

Su propia supervisión de los subproveedores y prestadores de los que depende; el deber se propaga por la cadena. (art. 21.2.d)

Adquisición, desarrollo y mantenimiento seguros

Seguridad integrada en cómo adquiere, construye y parchea sistemas, incluida la gestión y divulgación de vulnerabilidades. (art. 21.2.e)

Evaluación de la eficacia

Pruebas y revisiones periódicas para confirmar que las medidas realmente funcionan. (art. 21.2.f)

Ciberhigiene y formación

Prácticas básicas y concienciación del personal, mantenidas al día. (art. 21.2.g)

Criptografía y cifrado

Uso adecuado de la criptografía para proteger los datos en tránsito y en reposo. (art. 21.2.h)

Control de acceso y gestión de activos

Conocer sus activos y controlar quién accede a qué. (art. 21.2.i)

Autenticación multifactor y comunicaciones seguras

MFA y comunicaciones de voz, vídeo, texto y de emergencia seguras cuando proceda. (art. 21.2.j)

La notificación de incidentes fluye en ambos sentidos

NIS2 impone a las entidades sujetas un calendario ajustado: una alerta temprana en 24 horas, una notificación más completa en 72 horas y un informe final en un mes (artículo 23). No pueden cumplirlo si un proveedor se guarda una mala noticia. Por eso sus contratos exigen cada vez más que les avise sin demora cuando un incidente afecte, o pueda afectar, a los servicios que les presta.

Para un proveedor no designado, la consecuencia práctica es sencilla: necesita su propio proceso de incidentes, con una escalada interna clara y una forma definida de informar a los clientes afectados, para que un problema de su lado no se convierta en un plazo incumplido del de ellos. Un proveedor que detecta, contiene y comunica bien es mucho más fácil de conservar que uno que se queda callado.

Un requisito que conviene tratar como una ventaja

Es fácil leer todo esto como una carga impuesta por la regulación de otro. Los proveedores que mejor lo hacen lo leen al revés. A medida que más compradores quedan sujetos a NIS2 y endurecen sus controles de cadena de suministro, la capacidad de responder un cuestionario de seguridad con rapidez y con pruebas se convierte en un motivo para ganar y conservar negocio, no en un obstáculo que salvar.

Lo contrario también es cierto y más silencioso: a los proveedores que no pueden demostrar su postura se les descarta cada vez más en las compras, a menudo sin que se les diga por qué. Anticiparse a las preguntas, antes de que un cliente las haga, convierte NIS2 de un coste de cumplimiento en un activo de ventas.

Cómo responder de forma creíble

No necesita convertirse en una entidad esencial de la noche a la mañana. Necesita estar listo para las preguntas y poder respaldar sus respuestas. Una vía proporcionada:

  • Conozca primero su propia postura externa: dominios, certificados, autenticación del correo, servicios expuestos y vulnerabilidades conocidas, es decir, lo mismo que examinará la evaluación de un cliente.
  • Cierre las brechas habituales que señalan cuestionarios y análisis: imponga TLS 1.2+, publique SPF, DKIM y DMARC, parchee con rapidez, exija MFA y elimine las interfaces de administración expuestas.
  • Ponga por escrito lo básico: una política breve de seguridad de la información, un proceso de incidentes y un registro de quién es responsable de la seguridad. La prueba vence a la afirmación.
  • Mantenga sus respuestas al día. Trate la garantía como continua, porque cada vez más así la tratan sus clientes.
  • Si atiende a compradores más grandes o regulados, considere ISO 27001 o equivalente como atajo reconocido, pero no espere a tenerlo para empezar.

Fuente: Directiva (UE) 2022/2555 (NIS2), artículo 21, apartado 2 Los Estados miembros transponen NIS2 mediante su legislación nacional, así que confirme las expectativas exactas hacia los proveedores con sus clientes y, si es necesario, con su autoridad competente.

Cómo ayuda norppa.io

norppa.io ofrece a un proveedor no designado la misma visión continua y respaldada por pruebas de su seguridad que un cliente NIS2 espera ver ahora. Sus dominios se comprueban en más de cien puntos de control a diario, los más sensibles cada seis horas, y cada hallazgo se asigna al artículo NIS2 al que corresponde, de modo que puede responder un cuestionario con pruebas actuales en lugar de afirmaciones.

El cuestionario de autoevaluación recoge sus controles de proceso y contractuales, y cada respuesta se contrasta con el perfil técnico en vivo, de modo que cuando el equipo de compras de un cliente pida pruebas, podrá entregar una imagen clara y corroborada en lugar de una hoja de cálculo que era cierta la primavera pasada.

Esté listo antes de que sus clientes pregunten

Vea un informe de proveedor de ejemplo (hallazgos, mapeo de artículos NIS2 y pruebas) en unos dos minutos.

Ver informe de ejemplo
Ver el panel de ejemplo

Última revisión: 19 de junio de 2026

Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.