norppa.io
Todas las guías

Guía · 12 min de lectura

NIS2 y el requisito de cadena de suministro — qué significa en la práctica

La directiva NIS2 ha redefinido las obligaciones de ciberseguridad en toda Europa. Uno de los requisitos más concretos concierne la cadena de suministro: debe gestionar los ciberriesgos de sus proveedores, no solo los propios. Esto no se reduce a un cuestionario enviado una vez al año. El plazo de transposición (17 de octubre de 2024) ha vencido y las obligaciones ya se aplican; los Estados miembros incorporan NIS2 a su legislación nacional a distinto ritmo, y la supervisión ha comenzado.

¿A quién se aplica el requisito?

NIS2 divide las entidades en dos categorías según el sector y el tamaño:

Entidades esenciales

Energía, transporte, mercados bancarios y financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, TIC gubernamentales y espacio.

Entidades importantes

Servicios postales y de mensajería, gestión de residuos, productos químicos, producción de alimentos, fabricación, servicios digitales y organizaciones de investigación.

El umbral de tamaño es generalmente de 50 empleados o 10 millones de euros de facturación anual. Las empresas que superen este umbral quedan automáticamente sujetas a NIS2.

Es importante destacar que las empresas más pequeñas también pueden quedar sujetas a los requisitos por vía contractual — si presta servicios críticos a un cliente obligado por NIS2, este probablemente impondrá requisitos de cumplimiento en el contrato.

Fuente oficial: Directiva NIS2 en EUR-Lex — véanse especialmente los considerandos 80–90 y el art. 21.

¿Qué exige concretamente el art. 21(2)(d)?

El artículo 21(2)(d) impone medidas para la seguridad de la cadena de suministro y las relaciones con proveedores. Según las orientaciones de la ENISA y las interpretaciones de las autoridades de supervisión nacionales, el requisito tiene cuatro elementos fundamentales:

1

Evaluación de riesgos del proveedor antes de la contratación

Antes de incorporar a un nuevo proveedor, debe evaluar su postura de ciberseguridad. No es solo un cuestionario — implica una evaluación verificable: ¿ha sufrido este proveedor una brecha de seguridad, tiene vulnerabilidades conocidas en su infraestructura, son válidos sus certificados? La evaluación debe abarcar toda la huella expuesta a Internet del proveedor — no solo el dominio principal, sino también las direcciones IP e infraestructura ajenas a él (p. ej. pasarelas VPN, relés de correo, hosts dedicados).

2

Cláusulas contractuales y obligaciones de notificación

Los contratos deben incluir una cláusula que obligue a los proveedores a notificar incidentes de seguridad sin dilación indebida. Sin esta cláusula, no podrá cumplir su propia obligación de notificación inicial en 24 horas a la autoridad supervisora si un incidente de un proveedor afecta a sus servicios.

3

Supervisión continua durante la vigencia del contrato

Aquí es donde la mayoría de las organizaciones aún están rezagadas. El estándar de 'medidas apropiadas' de NIS2 exige en la práctica una supervisión continua — no solo una verificación anual. La situación de un proveedor puede cambiar radicalmente en un día: ransomware, una brecha, una vulnerabilidad crítica. Una evaluación anual difícilmente detecta estos cambios a tiempo.

4

Pruebas documentadas para la auditoría

La autoridad supervisora puede solicitar pruebas de cómo ha gestionado los riesgos de los proveedores. «Hemos estado supervisando la situación» no es suficiente — necesita documentación con marca de tiempo de los hallazgos, las medidas adoptadas y los riesgos aceptados.

Por qué las evaluaciones anuales por sí solas son insuficientes

Una auditoría tradicional de proveedores — un cuestionario una vez al año, quizás un certificado — satisface la intención básica de NIS2, pero no cumple la obligación de supervisión continua. Considere estos escenarios reales:

!

Su proveedor sufre un ataque de ransomware en enero. Su revisión anual se completó en marzo. Se entera en junio cuando un proyecto se retrasa.

!

Las credenciales de los empleados de su proveedor se filtran a mercados del dark web. No sabe nada hasta que un atacante las utiliza para acceder a sistemas a los que el proveedor tiene acceso.

!

El certificado TLS de su proveedor caduca y su servicio deja de funcionar. Lo descubre a través de reclamaciones de clientes.

Los tres son escenarios reconocibles — formas típicas en que el riesgo de proveedor se materializa. La supervisión continua significa detectar estos cambios en días, no meses.

Clasificación de proveedores: cómo priorizar

No todos los proveedores deben supervisarse con la misma intensidad. La clasificación basada en el riesgo es tanto práctica como coherente con el espíritu de la directiva:

Nivel 1 — Proveedores críticos

Acceso directo a sus sistemas, datos o entornos de producción. Mayor nivel de supervisión, SAQ completo, supervisión técnica continua. Ejemplos: proveedores de nube, proveedores de ERP, servicios de seguridad gestionados.

Nivel 2 — Proveedores importantes

Papel significativo en las operaciones pero acceso directo limitado a sistemas críticos. Supervisión técnica regular, SAQ simplificado. Ejemplos: software de RRHH, herramientas de marketing, socios logísticos.

Nivel 3 — Proveedores de bajo riesgo

Acceso directo limitado o nulo a datos críticos. La revisión anual es suficiente. Ejemplos: material de oficina, servicios de limpieza, catering.

Riesgo de cuarta parte — la capa frecuentemente ignorada

NIS2 no se limita a sus proveedores directos. Los propios proveedores de sus proveedores pueden suponer un riesgo para usted. Si su proveedor de nube utiliza un subcontratista para servicios de centro de datos y ese subcontratista sufre un ataque, el impacto puede propagarse por toda la cadena.

Por eso la evaluación de proveedores debe incluir la pregunta: ¿conoce el proveedor a sus propios subcontratistas críticos y los evalúa a su vez?

Art. 23: notificación de incidentes en proveedores

Si un incidente de seguridad de un proveedor causa una interrupción significativa de sus propios servicios, tiene una obligación de notificación inicial a la autoridad supervisora nacional en 24 horas, seguida de una notificación completa en 72 horas y un informe final en un mes.

El problema práctico: para conocer un incidente de un proveedor a tiempo, necesita visibilidad en tiempo real de su estado. Los proveedores no siempre notifican incidentes de forma proactiva — o lo hacen demasiado tarde. La supervisión continua salva esta brecha.

Orientaciones de la ENISA: Recursos de implementación NIS2 de la ENISA — directrices sobre notificación de incidentes y medidas de seguridad.

¿Qué buscan las autoridades supervisoras?

Las autoridades supervisoras nacionales evalúan el cumplimiento mediante pruebas prácticas, no declaraciones. Los documentos útiles en una auditoría incluyen:

  • Registro de proveedores con clasificación por niveles y riesgo
  • Respuestas SAQ con fechas
  • Registros de supervisión técnica — qué se verificó, cuándo, qué se encontró
  • Documentación de riesgos aceptados — una decisión escrita para riesgos que han sido identificados y aceptados
  • Historial de respuestas — cómo se actuó ante los hallazgos y en qué plazo

Estos documentos deben poder aportarse a requerimiento. La documentación compilada de forma retroactiva tras una solicitud rara vez es suficiente en la práctica.

Cómo ayuda norppa.io

norppa.io está diseñado para abordar exactamente estos desafíos. Cada dominio de proveedor supervisado se verifica en más de 100 puntos de control a diario, los eventos críticos cada seis horas — automáticamente, sin esfuerzo manual. Los hallazgos se mapean automáticamente a los artículos de NIS2, el informe PDF mensual está en formato apto para la dirección, y el historial completo puede exportarse como CSV para auditores.

El cuestionario de autoevaluación (SAQ) se envía a los proveedores directamente desde norppa.io, y las respuestas se combinan con el perfil de riesgo técnico — una vista unificada de las capas técnica y de proceso.

¿Quiere ver cómo es el informe en la práctica?

norppa.io automatiza la supervisión técnica y produce pruebas de auditoría NIS2. Vea el informe de ejemplo — formato real, datos ficticios.

Ver informe de ejemplo

Guías relacionadas

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.