nis²insights.com

En vigor desde el 17 oct 2024·Día 565·

Cadena de suministro9 abr. 20257 min

Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedores

El artículo 21(2)(d) de la Directiva 2022/2555 exige expresamente la seguridad de la cadena de suministro. Aquí tiene 5 cláusulas contractuales concretas para incluir en todo contrato con proveedor crítico.

Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedoresCadena de suministro

El artículo 21 de la Directiva (UE) 2022/2555 enumera las medidas de gestión del riesgo de ciberseguridad que las entidades esenciales e importantes deben adoptar. De las diez categorías listadas, el apartado 2, letra d) es la que más revisiones retroactivas de contratos ha disparado en los consejos europeos durante 2025: la seguridad de la cadena de suministro.

El texto es breve. El artículo 21, apartado 2, letra d) obliga a las entidades a poner en marcha medidas que cubran «la seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos». El considerando 85 desarrolla la intención: una entidad no puede subcontratar su salida de las obligaciones de NIS2, y el riesgo de proveedor debe medirse, contractualizarse y supervisarse.

La pregunta a nivel de consejo no es si hay que actuar — es qué meter en los contratos con proveedores para que la «seguridad de la cadena de suministro» sea demostrable ante un regulador. Estas son cinco cláusulas en las que convergen las directrices publicadas por las autoridades nacionales competentes europeas y el documento Good Practices for Supply Chain Cybersecurity de ENISA.

1. Alineación con un nivel base de seguridad

La primera cláusula exige al proveedor implementar, como mínimo, las medidas de ciberseguridad listadas en el artículo 21, apartado 2 de NIS2 — adaptadas a su rol y a los datos que toca.

En la práctica, el contrato debe referenciar un nivel base definido. Funcionan tres opciones:

  • Una referencia directa a ISO/IEC 27001 con una declaración de aplicabilidad (Anexo A) compartida con la entidad.
  • Una referencia a un marco nacional reconocido en la jurisdicción del proveedor (IT-Grundschutz del BSI en Alemania, PSSI tipo ANSSI en Francia, Esquema Nacional de Seguridad del CCN-CERT en España).
  • Una enumeración directa de las categorías relevantes del artículo 21, apartado 2 (MFA en accesos críticos, cifrado, gestión de vulnerabilidades, respuesta a incidentes, etc.).

La cláusula también debe incluir un compromiso de gestión del cambio: el proveedor notifica por escrito a la entidad si el nivel base se debilita sustancialmente durante el contrato.

2. Cadena de notificación de incidentes

La segunda cláusula aprieta la obligación de notificación de incidentes del proveedor para que encaje dentro del propio reloj de 72 horas de la entidad bajo el artículo 23.

El umbral defendible extraído de las directrices regulatorias es:

  • El proveedor notifica a la entidad en las 24 horas siguientes a tener conocimiento de cualquier incidente significativo que afecte a los servicios que presta a la entidad.
  • La notificación contiene como mínimo los mismos elementos que la propia entidad debe a su CSIRT en la fase de alerta temprana: causa ilícita o malintencionada sospechada, posible impacto transfronterizo, información mínima de identificación.
  • El proveedor proporciona actualizaciones al menos cada 24 horas mientras el incidente esté en curso, y un informe final en el mes siguiente a la resolución.

Menos de 24 horas es preferible para proveedores cloud y de servicios gestionados — la directriz de ENISA sugiere una ventana de 6 a 12 horas para esos casos —, pero 24 horas es el suelo que permite a la entidad cumplir sus propias obligaciones NIS2.

3. Transparencia sobre subcontratistas y notificación de cambios de control

El artículo 21, apartado 2, letra d) cubre a los proveedores directos, pero la mayor parte de los ataques sobre la cadena de suministro pivotan a través de un subcontratista del proveedor. La cláusula debe:

  • Exigir al proveedor que divulgue, a petición, la lista de subcontratistas críticos que tocan los sistemas o datos de la entidad, junto con su nivel base de seguridad.
  • Exigir consentimiento previo por escrito antes de que el proveedor añada, sustituya o retire un subcontratista crítico.
  • Exigir notificación en 30 días de cualquier cambio de control del propio proveedor (adquisición, fusión, cambio de propiedad), con derecho de la entidad a rescindir sin penalización si el nuevo propietario es incompatible con su registro de riesgos.

Aquí el equipo jurídico y el de seguridad deben coordinarse. Las ventanas de notificación se negocian; el principio, no.

4. Derecho de auditoría y prueba de certificación

El artículo 21 espera que las entidades verifiquen, no solo confíen. La cláusula debe conceder a la entidad el derecho a auditar las prácticas de seguridad del proveedor — directamente o a través de terceros acreditados — al menos una vez al año, y de manera ad hoc tras cualquier incidente significativo que afecte a los servicios.

Por eficiencia operativa, la cláusula debe aceptar informes de auditoría estándar como sustitutivos de las auditorías directas in situ:

  • Un certificado ISO/IEC 27001 vigente, con la declaración de aplicabilidad (Anexo A).
  • Un informe SOC 2 Type II que cubra al menos los criterios Seguridad y Disponibilidad.
  • Una evaluación TISAX para cadenas de suministro del sector automoción.
  • Para proveedores cloud, una atestación CSA STAR nivel 2.

Los derechos de auditoría directa solo se ejercen entonces cuando los informes estándar no cubren el alcance pertinente, o tras un incidente material. Esto protege los costes del proveedor sin debilitar la supervisión de la entidad.

5. Asistencia en reversibilidad, devolución y borrado seguro de datos

La última cláusula es la que cierra el bucle cuando la relación termina — voluntariamente o no. Debe exigir:

  • Asistencia a la continuidad durante un periodo acordado (típicamente 30 a 90 días tras la terminación) para que la entidad migre sin interrupción de servicio.
  • Devolución de datos en un formato documentado y procesable por máquina, con un calendario definido.
  • Borrado seguro de todos los datos de la entidad de los sistemas del proveedor y de los de sus subcontratistas, certificado por escrito en 30 días desde la finalización.
  • Una excepción clara para las copias de seguridad que el proveedor esté legalmente obligado a conservar, con límites explícitos de acceso y un calendario de fin de vida.

Sin esta cláusula, la entidad arrastra un riesgo residual sobre datos que ya no ve, alojados por una contraparte que ya no está bajo contrato — exactamente el escenario al que se refieren los reguladores cuando preguntan si la seguridad de la cadena de suministro fue efectivamente implementada o solo declarada.

Un contrato con proveedor conforme a NIS2 no es un contrato más largo. Es un contrato más preciso — cinco cláusulas precisas baten cada vez cincuenta páginas blandas de condiciones generales.

¿Quién es un proveedor «crítico»?

Las cláusulas anteriores se aplican a los proveedores críticos. NIS2 no define el término. El test defendible, extraído de las directrices publicadas por las autoridades nacionales competentes europeas, tiene tres componentes:

  1. El proveedor procesa, aloja o transmite datos personales, datos de negocio confidenciales o datos operativos cuyo compromiso desencadenaría el propio umbral de incidente significativo de la entidad.
  2. El proveedor presta un servicio cuya interrupción más allá del objetivo de tiempo de recuperación de la entidad provocaría una perturbación operativa grave.
  3. El proveedor tiene acceso privilegiado (administrador, root, claves de firma) a sistemas del perímetro NIS2 de la entidad.

Cualquier proveedor que cumpla cualquiera de estos tests es crítico. El consejo no necesita debatir el marco — necesita confirmar que la lista existe, que está titularizada al nivel ejecutivo y que se revisa al menos una vez al año.

Cómo se ve cuando está bien hecho

En las notas post-inspección de los reguladores aparecen tres señales con regularidad:

  1. Un registro fechado de proveedores que clasifica críticos vs. no críticos y registra la referencia de versión del contrato para cada uno.
  2. Prueba de inclusión de cláusulas — las mismas cinco cláusulas, en forma sustancial, en cada contrato con proveedor crítico ejecutado desde la transposición.
  3. Prueba de ejercicio de cláusulas — al menos un informe de auditoría, una notificación de incidente correctamente trasladada en menos de 24 horas, o un proveedor rescindido con devolución documentada de datos por ciclo de auditoría.

Nada de esto es exótico. Es lo que los equipos de compras maduros ya hacen en los contratos de TI críticos. El artículo 21, apartado 2, letra d) lo convierte en una expectativa regulatoria más allá de la mera buena práctica.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 21, apartado 2, letra d) (seguridad de la cadena de suministro).
  2. Directiva (UE) 2022/2555, considerando 85 (intención y alcance de las medidas sobre la cadena de suministro).
  3. Directiva (UE) 2022/2555, artículo 23 (obligaciones de notificación de incidentes) — el reloj de 72 horas en el que debe encajar la cláusula de notificación del proveedor.
  4. ENISA, Good Practices for Supply Chain Cybersecurity.
  5. Grupo de Cooperación NIS, directrices publicadas sobre gestión del riesgo de cadena de suministro.
  6. Marcos de autoridades nacionales competentes citados como nivel base: BSI IT-Grundschutz (DE), ANSSI PSSI (FR), CCN-CERT Esquema Nacional de Seguridad (ES), guías ACN (IT), guías NCSC-IE (IE).

Otros artículos

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegarGobernanza

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegar

18 abr. 2025·Leer · 10 min
Notificación de incidentes NIS2: la guía práctica de las 72 horasGestión de incidentes

Notificación de incidentes NIS2: la guía práctica de las 72 horas

11 abr. 2025·Leer · 9 min
Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2Gestión de riesgos

Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2

2 abr. 2025·Leer · 6 min