norppa.io
Todas las guías

Guía · 9 min de lectura

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Una lista de verificación práctica para equipos de adquisición y seguridad. Úsela tanto para la incorporación de nuevos proveedores como para las revisiones anuales — qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple.

NIS2 Art. 21(2)(d) le obliga a evaluar la postura de ciberseguridad de sus proveedores como parte de su propia gestión de riesgos de la cadena de suministro. El requisito cubre tanto los nuevos proveedores como las relaciones existentes — una revisión anual es el mínimo.

Esta lista de verificación cubre las seis subcláusulas del art. 21(2) más relevantes para la seguridad de la cadena de suministro. Cada sección incluye tres preguntas, una breve explicación de su importancia y un documento de evidencia sugerido.

Nota: Esta lista de verificación es orientativa — su autoridad competente o auditor puede requerir medidas adicionales según su sector o tamaño de organización. Para requisitos contractuales, consulte a un abogado.

Art. 21(2)(a)Gestión de riesgos

NIS2 exige que sus proveedores gestionen los riesgos de ciberseguridad de forma sistemática — no solo anualmente, sino de forma continua. Solicite evidencia del proceso, no solo una respuesta de sí/no.

  • El proveedor dispone de un proceso documentado de gestión de riesgos de ciberseguridad (p. ej. SGSI o certificación ISO 27001)
  • La gestión de riesgos es revisada regularmente por la alta dirección o el consejo — fecha de la última revisión registrada
  • Los sistemas de información críticos y las responsabilidades de tratamiento de datos están inventariados y clasificados

Documentos de evidencia sugeridos:

  • · Política de gestión de riesgos o documentación del SGSI
  • · Certificado ISO 27001 o informe de auditoría equivalente

Art. 21(2)(b)Gestión de incidentes

NIS2 Art. 23 exige que los incidentes significativos se reporten a la autoridad supervisora en 24 horas. En la práctica, esto solo es posible si su proveedor le notifica a tiempo — razón por la que la obligación de notificación debe estar escrita en el contrato.

  • El proveedor tiene un proceso documentado de respuesta a incidentes con un plan de RI probado
  • El proveedor se compromete contractualmente a notificarle en las 24 horas siguientes a la detección de un incidente significativo
  • Un contacto de incidentes designado (enlace CSIRT) está nombrado y disponible las 24 horas

Documentos de evidencia sugeridos:

  • · Resumen del plan de respuesta a incidentes
  • · Compromiso escrito de notificación en 24 horas en el contrato

Art. 21(2)(d)Cadena de suministro

NIS2 se extiende a los proveedores de sus proveedores — el llamado riesgo de cuarta parte. Debe saber quién accede a sus datos o sistemas, incluso indirectamente a través de subcontratistas.

  • El proveedor conoce a sus propios subcontratistas críticos que tienen acceso a datos o sistemas
  • El proveedor dispone de un proceso para evaluar la seguridad de sus propios subcontratistas al menos anualmente
  • Los requisitos de seguridad están escritos en los propios contratos del proveedor — no solo una referencia general

Documentos de evidencia sugeridos:

  • · Registro de subcontratistas o resumen de 4as partes críticas
  • · Descripción del proceso de evaluación de 4as partes

Art. 21(2)(e)Adquisición y desarrollo

Las vulnerabilidades conocidas y el software en fin de vida se encuentran entre los vectores de ataque más comunes. El proveedor debe demostrar una gestión activa de vulnerabilidades.

  • No se ejecutan versiones de software en fin de vida o fin de soporte en el entorno de producción
  • Las vulnerabilidades críticas (CVSS ≥ 9,0) se parchean en los 30 días siguientes a su divulgación pública
  • Las vulnerabilidades listadas en la CISA KEV se remedian en las 48 horas siguientes a su inclusión en la lista

Documentos de evidencia sugeridos:

  • · Descripción del proceso de gestión de vulnerabilidades
  • · Informe de parches más reciente o instantánea del estado de vulnerabilidades

Art. 21(2)(h)Criptografía

Los certificados TLS caducados, las redirecciones HTTPS ausentes y la seguridad de correo electrónico mal configurada son brechas técnicas que norppa.io comprueba automáticamente cada día.

  • Todos los servicios públicos utilizan un certificado TLS válido y no caducado — sin certificados auto-firmados o caducados
  • La redirección HTTPS se aplica en todas las propiedades web y puntos finales de API
  • La seguridad del correo electrónico está correctamente configurada: SPF (hardfail), DKIM (firmado) y DMARC (política de cuarentena como mínimo)

Documentos de evidencia sugeridos:

  • · Descripción del proceso de gestión de certificados TLS
  • · Informe DMARC o impresión de la configuración DNS

Art. 21(2)(i)Control de acceso

Las credenciales robadas son el punto de partida más común de los ciberataques. El proveedor debe demostrar tanto la prevención del uso indebido de credenciales como una detección rápida.

  • La AMF se aplica en todos los sistemas críticos y cuentas de administrador — sin excepciones permitidas
  • La supervisión de fugas de credenciales está en marcha (fuentes dark web, HIBP o servicio equivalente)
  • Las credenciales comprometidas se rotan inmediatamente al detectarlas y el incidente se documenta

Documentos de evidencia sugeridos:

  • · Captura de pantalla de la configuración de aplicación de AMF o política
  • · Proveedor de supervisión de fugas de credenciales o descripción del proceso

¿Qué hacer cuando un proveedor no supera la lista de verificación?

Una sola brecha no significa automáticamente el fin de la relación con el proveedor. Lo importante es responder sistemáticamente y documentar los pasos tomados.

1–2 brechas: documentar y aceptar

Registre las brechas en su registro de proveedores, pida al proveedor que proporcione un plan de remediación en 90 días y haga un seguimiento en la próxima revisión anual.

3–5 brechas o una brecha en Art. 21(2)(b): supervisión reforzada

Eleve al proveedor a un nivel de riesgo superior. Solicite un plan de remediación escrito con plazos. Considere restringir el acceso a los sistemas más críticos hasta que las brechas estén resueltas.

6+ brechas o una vulnerabilidad técnica crítica: escalar

Escale al CISO o a la alta dirección. Evalúe el uso de recursos contractuales. Si el proveedor tiene acceso a datos o sistemas de producción, considere suspender el acceso hasta que la situación esté resuelta.

¿Qué elementos pueden automatizarse?

Seis elementos de esta lista de verificación son de naturaleza técnica — cambian con el tiempo sin que el proveedor necesariamente le informe. La evaluación manual anual difícilmente satisface el estándar de 'medidas apropiadas' de NIS2 para la supervisión continua.

norppa.io comprueba estos elementos automáticamente cada día para todos sus proveedores:

  • Art. 21(2)(h): validez de certificados TLS y redirecciones HTTPS, configuración SPF/DKIM/DMARC, DNSSEC
  • Art. 21(2)(i): fugas de credenciales de fuentes dark web y bases de datos de brechas HIBP
  • Art. 21(2)(e): supervisión de inscripciones CISA KEV, hallazgos de vulnerabilidades basados en puntuación CVE/EPSS
  • Art. 21(2)(b): inscripciones en listas de víctimas de ransomware — alerta inmediata si un proveedor aparece en una lista

Los elementos de nivel de proceso (Art. 21(2)(a), (b), (d)) están cubiertos por el cuestionario de autoevaluación SAQ de norppa.io, que puede enviar a los proveedores directamente desde el portal.

Fuentes oficiales

Automatice las comprobaciones técnicas con norppa.io

norppa.io comprueba automáticamente los elementos técnicos de esta lista de verificación diariamente — para todos sus proveedores simultáneamente. Los hallazgos se mapean automáticamente a las subcláusulas NIS2 Art. 21(2).

Ver informe de ejemploCompletar SAQ

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.