NIS2.it.com
Volver al blog
Cadena de suministro
NIS2 y la cadena de suministro: 5 cláusulas que exigir a sus proveedores

NIS2 y la cadena de suministro: 5 cláusulas que exigir a sus proveedores

7 min de lectura
SM

Sophie Martin

Analista jurídica — Derecho digital europeo

A principios de 2024, una empresa manufacturera europea sufrió una violación significativa. El atacante no apuntó directamente a la empresa — explotó las credenciales VPN de un contratista de mantenimiento. La empresa cumplía con NIS2 en sus propios sistemas. El proveedor no. El resultado: 18 días de interrupción de la producción, 3,5 millones de euros en pérdidas y una investigación formal de la autoridad competente.

Este es exactamente el escenario que el artículo 21(2)(d) de la directiva 2022/2555 busca prevenir.

Lo que NIS2 exige para la seguridad de la cadena de suministro

El artículo 21 de la directiva 2022/2555 obliga a las entidades esenciales e importantes a implementar medidas de gestión de riesgos que cubran explícitamente la seguridad de la cadena de suministro. Esto incluye proveedores directos y prestadores de servicios — no solo sistemas internos.

Cuatro obligaciones concretas se derivan de este artículo. Primero: evaluar los riesgos de proveedores directos y prestadores de servicios, con especial atención a los proveedores de servicios TIC (MSP, cloud, SaaS). Segundo: incorporar cláusulas de ciberseguridad en los contratos con proveedores. Tercero: supervisar continuamente la postura de seguridad de los proveedores críticos. Cuarto: mantener evidencias documentadas de estas evaluaciones para inspecciones (artículo 21, directiva 2022/2555).

El CCN-CERT especifica en sus guías que las entidades deben constituir un registro de riesgos de terceros y estar en condiciones de presentarlo durante una inspección.

Por qué sus proveedores son su mayor superficie de ataque

Según la ENISA, el 62% de los incidentes de seguridad significativos en 2023 implicaron acceso de terceros. Los MSP y proveedores de servicios en la nube representan la mayoría de estos vectores de ataque. Un proveedor sin autenticación multifactor (MFA) obligatoria para accesos compartidos es una puerta abierta. Un subcontratista que almacena sus datos fuera de la UE sin garantías contractuales crea simultáneamente una exposición a NIS2 y al RGPD.

El riesgo normativo es considerable: una brecha originada en un proveedor no protegido se tratará como su propio fallo de cumplimiento.

5 cláusulas contractuales concretas

Cláusula 1: Derecho de auditoría de seguridad

El contrato debe otorgar a su organización (o a un auditor externo designado) el derecho a realizar auditorías de seguridad del proveedor, con un preaviso máximo de 30 días. El proveedor debe cooperar plenamente y proporcionar acceso a sistemas, documentación y registros de eventos relevantes. Sin esta cláusula, no puede verificar que se estén cumpliendo los compromisos contractuales de seguridad.

Cláusula 2: Obligación de notificación de incidentes — 24 horas

El proveedor debe notificarle cualquier incidente de seguridad que pueda afectar a sus sistemas o datos en un plazo de 24 horas desde su detección. Esto refleja directamente el artículo 23 de la directiva 2022/2555. Usted mismo tiene 24 horas para alertar al CCN-CERT — ese plazo es imposible de cumplir si su proveedor espera 72 horas para informarle.

Cláusula 3: Estándares mínimos de seguridad

Defina requisitos técnicos precisos: MFA obligatoria para todos los accesos a sus sistemas, cifrado de datos en tránsito (mínimo TLS 1.2) y en reposo (AES-256), parches de seguridad críticos aplicados en 72 horas desde su publicación, y una política documentada de gestión de accesos privilegiados. Estos estándares deben ser verificables — el proveedor debe poder aportar evidencias como certificación ISO 27001, informes SOC 2 Tipo II o resultados de análisis independientes de vulnerabilidades.

Cláusula 4: Localización de datos y soberanía

Especifique contractualmente dónde se almacenan y tratan sus datos. Las transferencias fuera de la UE deben cumplir los mecanismos de transferencia del RGPD (cláusulas contractuales tipo, decisiones de adecuación). Prohíba explícitamente el subtratamiento de sus datos sin consentimiento previo por escrito. Para sectores sensibles (salud, finanzas, infraestructuras críticas), considere exigir residencia de datos exclusivamente en la UE.

Cláusula 5: Responsabilidad y penalizaciones

Defina penalizaciones contractuales por incumplimiento de las obligaciones de seguridad: una penalización fija por incidente no notificado en los plazos requeridos, indemnización por daños directos derivados del fallo de seguridad del proveedor, y derecho a rescisión sin penalización en caso de violación grave de las obligaciones de seguridad. Estas penalizaciones deben ser proporcionales — suficientes para incentivar el cumplimiento, pero no tan elevadas que impidan la firma del contrato.

Cómo el CCN-CERT verificará la gestión de proveedores

Durante una auditoría o investigación, los auditores del CCN-CERT pueden solicitar sus contratos con proveedores, el registro de riesgos de terceros y evidencias de evaluaciones periódicas de proveedores. Se espera que las entidades esenciales dispongan de un proceso formalizado de evaluación de proveedores — al menos anualmente para los proveedores TIC críticos.

Su registro de riesgos de terceros debe documentar cada proveedor con acceso al sistema: la clasificación de riesgo asociada, las medidas de mitigación activas y la fecha de la última evaluación formal.

Por dónde empezar

Identifique sus 10 proveedores más críticos — aquellos con acceso a sus sistemas de información, que traten datos sensibles o cuya indisponibilidad bloquearía su actividad. Para cada uno, evalúe si su contrato actual contiene las 5 cláusulas descritas anteriormente.

Incorpore estas cláusulas en la próxima renovación contractual. Para contratos con más de 12 meses de vigencia restante, considere una modificación contractual.

La directiva NIS2 (artículo 21, directiva 2022/2555) no le exige certificar a todos sus proveedores de inmediato. Le exige demostrar una gestión activa del riesgo — mediante contratos, evaluaciones documentadas y un registro actualizado.

*Este artículo es solo informativo y no constituye asesoramiento jurídico. Para consultas específicas a su situación, consulte a un profesional jurídico cualificado.*

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico.