Guía NIS2 · 8 min
Cláusulas contractuales para proveedores NIS2: qué exigir a sus proveedores
NIS2 le hace responsable del ciberriesgo que portan sus proveedores (artículo 21, apartado 2, letra d), y esa responsabilidad no puede externalizarse. El contrato es donde la obligación se vuelve real: es lo que le permite pedir pruebas, ser informado de incidentes a tiempo para cumplir sus propios plazos de notificación, y mantener a un proveedor en un mínimo de seguridad. Esta es una lista práctica de las cláusulas que importan: por qué existe cada una y cómo hacerlas exigibles en lugar de decorativas.
Puntos clave
- • La obligación de cadena de suministro es suya; el contrato es cómo la traslada cadena abajo.
- • La cláusula de plazo de notificación protege sus propios plazos del artículo 23.
- • Una cláusula firmada no es una garantía: combínela con una forma de verificar al proveedor de forma continua.
Por qué cláusulas contractuales, no solo un cuestionario
Un cuestionario capta las afirmaciones de un proveedor en un único día. Un contrato crea obligaciones sobre las que puede actuar: un mínimo que debe cumplir, el deber de avisarle cuando algo falla, y el derecho a comprobar. El artículo 21, apartado 2, letra d de NIS2 espera que gestione la seguridad de la relación con sus proveedores directos, y el artículo 23 puede convertir el incidente de un proveedor en su plazo de notificación. Ninguno funciona solo con buena fe; ambos deben quedar por escrito.
Fuente oficial: Directiva NIS2 en EUR-Lex — artículo 21, apartado 2, letra d (medidas de cadena) y artículo 23 (notificación de incidentes).
Las cláusulas a incluir
Adapte la redacción a su sector y a su asesoría, pero cubra cada una de ellas. Se corresponden directamente con las medidas que NIS2 espera y los plazos que impone.
Mínimo de seguridad alineado con las medidas NIS2
Exija que el proveedor mantenga las medidas del artículo 21, apartado 2 relevantes para el servicio: gestión de riesgos, control de acceso, MFA, cifrado, gestión de vulnerabilidades y parcheo, y copias de seguridad probadas. Referencie las medidas explícitamente para que el estándar sea objetivo, no una vaga «buena práctica del sector».
Ventana de notificación de incidentes
Fije un plazo firme (habitualmente 24 horas) para que el proveedor le notifique un incidente de seguridad que afecte a su servicio, un contacto designado que responda fuera de horario, y los datos mínimos que debe contener el aviso. Esto es lo que le permite cumplir su propia alerta temprana de 24 horas y notificación de 72 horas del artículo 23.
Derecho a solicitar pruebas y a auditar
Resérvese el derecho a solicitar pruebas de los controles (certificados, resultados de pruebas, salidas de escaneo) y, para proveedores de mayor riesgo, a auditar o encargar una evaluación independiente. Sin él, «somos seguros» es inverificable.
Traslación a subcontratistas (cuarta parte)
Exija que el proveedor imponga obligaciones equivalentes de seguridad y notificación a sus propios subcontratistas, y que revele los que procesan de forma significativa sus datos o sostienen el servicio. Su riesgo no termina en su proveedor directo.
Compromisos de vulnerabilidades y parcheo
Defina los plazos esperados para remediar vulnerabilidades activamente explotadas y críticas en los sistemas que le sirven, y la obligación de informarle si una vulnerabilidad relevante no puede corregirse a tiempo.
Ubicación de datos y transparencia de subencargados
Exija que se revele dónde se procesan y almacenan sus datos y qué subencargados se usan, con preaviso antes de cambios importantes. Esto apoya tanto su visión de cadena de suministro NIS2 como sus obligaciones del RGPD.
Cooperación, remediación y derecho de intervención
Obligue al proveedor a cooperar con su respuesta a incidentes y con cualquier autoridad, a remediar los hallazgos en los plazos acordados, y otórguese remedios (plan de remediación, escalado y, en último término, resolución) si no lo hace.
Supervivencia y devolución de datos al término
Asegure que la confidencialidad, las obligaciones de prueba y la devolución o eliminación segura de sus datos sobrevivan a la resolución, para que un proveedor saliente no se convierta en una exposición no supervisada.
Vea cómo puntúan realmente sus proveedores
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Fírmelo, luego verifíquelo de forma continua
Una cláusula contractual fija la obligación; no le dice si el proveedor la cumple hoy. La brecha entre la firma y la realidad es donde ocurren los incidentes de cadena de suministro. Combine las cláusulas con una monitorización externa y continua de la postura de cada proveedor para que, cuando algo se desvíe (un certificado que caduca, credenciales filtradas, un servicio recién expuesto), lo vea y pueda invocar la cláusula, en lugar de enterarse por la notificación del incidente.
Errores comunes
- ✕Un estándar vago de «medidas de seguridad apropiadas» sin nada objetivo que exigir.
- ✕Sin plazo de notificación, de modo que se entera del incidente de un proveedor cuando su propio reloj ya ha empezado a correr.
- ✕Cláusulas que se detienen en el proveedor directo e ignoran a los subcontratistas.
- ✕Firmar una vez y no verificar nunca, tratando el contrato como el final de la diligencia y no su inicio.
Vea monitorización de proveedores de nivel NIS2
Un informe de proveedor de ejemplo (hallazgos, asignación NIS2 y evidencias) en dos minutos.
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Guías relacionadas
Cómo cumplir NIS2: una hoja de ruta paso a paso
Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.
¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño
Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.
NIS2 para proveedores: usted no está designado, pero sus clientes sí
La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.
NIS2 y el requisito de la cadena de suministro: qué significa en la práctica
NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.
Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado
Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.
NIS2 Art. 21(2): lista de verificación de seguridad para proveedores
Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.
Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita
Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.
Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados
Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.
NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber
Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.
ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no
Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.
Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas
Qué son las sanciones NIS2: los topes del artículo 34 (10 M€ / 2 % para entidades esenciales, 7 M€ / 1,4 % para importantes), la responsabilidad personal de la dirección (art. 20, art. 32), las medidas no pecuniarias y cómo evitarlas.
NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica
En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.
RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos
En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.
El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro
Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.
El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)
Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.
Estado de transposición de NIS2: en qué países de la UE está en vigor
Cuáles de los 27 Estados miembros de la UE han incorporado NIS2 a la ley nacional y cuáles aún la ultiman, y por qué las diferencias alcanzan su cadena de suministro igualmente.
Última revisión: 19 de junio de 2026
Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.