norppa.io
Guías

Guía NIS2 · 9 min

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Un cuestionario de seguridad para proveedores es la columna vertebral de la diligencia debida del artículo 21.2.d de NIS2, pero la mayoría son demasiado largos, mal puntuados y nunca se verifican. Esta guía cubre qué preguntar realmente, cómo convertir las respuestas en decisiones, cómo responder cuando un proveedor no cumple y la única debilidad que comparten todos los cuestionarios. Termina con una plantilla lista para adaptar.

Qué preguntar — los seis ámbitos que importan

Un buen cuestionario es corto y orientado a la decisión. Cubre estos seis ámbitos; resiste la tentación de añadir cincuenta casillas más que nadie puntuará.

1

Gobernanza y responsabilidad

¿Quién es responsable de la seguridad y la dirección la supervisa de verdad? NIS2 hace responsable a la dirección, así que esta es la primera señal de madurez.

2

Control de acceso y autenticación

La autenticación débil es el vector de intrusión más común. La autenticación multifactor y el mínimo privilegio son una base, no un extra.

3

Respuesta a incidentes y notificación

Necesitas un proveedor que detecte, contenga y te avise rápido — el reloj de 24 horas (art. 23) puede arrancar con su incidente, no con el tuyo.

4

Continuidad de negocio y copias

Si el proveedor cae o sufre un ransomware, ¿en cuánto tiempo recuperas el servicio? Importan las copias probadas y un tiempo de recuperación declarado.

5

Cadena de suministro y riesgo de cuarta parte

Los proveedores de tu proveedor también son tu riesgo. Pregunta si evalúan a sus propios subcontratistas críticos y te notifican los cambios.

6

Técnica y protección de datos

Cifrado, cadencia de parches y ubicación de los datos — los controles concretos que un escaneo externo podrá corroborar después.

Cómo puntuar las respuestas — no te limites a recopilarlas

Un cuestionario solo aporta valor si las respuestas cambian una decisión. Puntúalas, no las archives sin más:

  • Pondera por criticidad — un 'no' a la MFA de un proveedor que maneja tus datos de cliente pesa más que un documento de política ausente de un proveedor menor. Pondera las preguntas antes de enviarlas.
  • Trata 'en curso' como 'no' — hasta que un control esté implantado y evidenciado, puntúalo como una brecha con fecha de remediación, no como aprobado.
  • Señala las no respuestas — las respuestas vagas o evasivas son en sí una señal. Exige concreción o evidencias en lugar de una casilla marcada.
  • Revisa la línea base según un calendario — las respuestas caducan. Un cuestionario anual refleja un solo día, no el año que le sigue.

Qué hacer cuando un proveedor no cumple

Una brecha no es automáticamente motivo para descartar a un proveedor, pero debe llevar a algún sitio. Acuerda un plan de remediación con responsables y fechas, regístralo y haz contractuales las brechas relevantes: derecho a evidencia, una fecha de corrección y una vía de escalado si se incumple.

Para proveedores críticos, vincula la remediación a la relación: reevaluación antes de la renovación, cláusulas de seguridad en el contrato y derecho a solicitar evidencia, no solo afirmaciones. Documenta la decisión en cualquier caso. Aceptar un riesgo residual es una opción legítima, pero solo cuando es una decisión registrada y asumida, no un descuido.

El punto ciego del cuestionario: la autodeclaración

Cada respuesta de un cuestionario es una afirmación que el proveedor hace sobre sí mismo. Algunas son honestas, otras optimistas, otras simplemente caducas cuando las lees. Un cuestionario te dice lo que un proveedor cree —o quiere que creas— sobre su seguridad, no lo que está realmente expuesto en internet.

Por eso los programas más sólidos combinan el SAQ con evidencia técnica externa. Si un proveedor responde 'sí, todo el tráfico está cifrado' pero un escaneo encuentra un certificado caducado o un formulario de inicio de sesión en texto plano, tienes una contradicción que merece una conversación. El cuestionario capta el proceso y la intención; la monitorización externa continua lo corrobora —o lo cuestiona—. Usa ambos.

Una plantilla de cuestionario gratuita para adaptar

Copia estas secciones en tu proceso. Mantén las respuestas en sí / no / en curso más un campo de evidencia, para que cada afirmación pueda respaldarse después.

1. Gobernanza y responsabilidad

  • ¿Existe una persona nombrada responsable de la seguridad de la información?
  • ¿La alta dirección ha aprobado una política de seguridad en los últimos 12 meses?
  • ¿El personal recibe formación de concienciación en seguridad al menos una vez al año?

2. Control de acceso y autenticación

  • ¿Se exige autenticación multifactor para el acceso remoto y administrativo?
  • ¿Se revisan los derechos de acceso y se revocan con prontitud al cambiar de rol?
  • ¿Se aplica el mínimo privilegio a los sistemas que contienen nuestros datos?

3. Respuesta a incidentes y notificación

  • ¿Existe un plan de respuesta a incidentes documentado y probado en los últimos 12 meses?
  • ¿Pueden notificarnos un incidente relevante en un plazo de 24 horas?
  • ¿Han tenido una brecha notificable en los últimos 24 meses? Si es así, ¿qué cambiaron?

4. Continuidad de negocio y copias

  • ¿Las copias de seguridad están cifradas, probadas y almacenadas sin conexión o de forma inmutable?
  • ¿Cuál es su objetivo de tiempo de recuperación (RTO) para el servicio que nos prestan?
  • ¿Disponen de un plan de recuperación ante desastres y cuándo lo probaron por última vez?

5. Cadena de suministro y riesgo de cuarta parte

  • ¿Evalúan la seguridad de sus propios subcontratistas críticos?
  • ¿Nos notificarán los cambios de subencargados que traten nuestros datos?
  • ¿Tienen certificaciones relevantes (p. ej. ISO 27001)? ¿Pueden compartir el alcance?

6. Técnica y protección de datos

  • ¿Los datos están cifrados en tránsito y en reposo según los estándares actuales?
  • ¿Realizan escaneos de vulnerabilidades periódicos y parchean según un calendario definido?
  • ¿En qué jurisdicciones se almacenan y tratan nuestros datos?

Fuente: Directiva (UE) 2022/2555 (NIS2), artículo 21.2.d — seguridad de la cadena de suministro — relaciona tus preguntas con las medidas del art. 21 y tu ley nacional de transposición.

Cómo ayuda norppa.io

norppa.io envía los cuestionarios de autoevaluación (SAQ) a tus proveedores directamente desde la plataforma — sin hojas de cálculo, sin perseguir hilos de correo. Las respuestas se rastrean, versionan y puntúan según la ponderación de riesgo anterior.

Lo decisivo: cada respuesta del SAQ se contrasta con el perfil técnico de riesgo en vivo del proveedor (más de 100 comprobaciones, a diario). Cuando una afirmación positiva contradice lo que observamos, norppa.io la marca como respaldada por evidencia — así ves no solo lo que dicen los proveedores, sino si se sostiene. El punto ciego del cuestionario, cerrado.

Envía tu primer SAQ — y míralo contrastado

Mira un informe de proveedor de ejemplo, o cómo funcionan los cuestionarios en norppa.io.

Ver informe de ejemplo Sobre el SAQ

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.