NIS2 para proveedores: contratos y evidencias

·

Una pyme puede recibir exigencias NIS2 aunque no esté directamente dentro del ámbito. Las entidades esenciales e importantes deben gestionar la seguridad de su cadena de suministro y trasladan requisitos a proveedores de software, nube, mantenimiento, comunicaciones y servicios gestionados. La respuesta no debe limitarse a un cuestionario: necesita controles, contratos, pruebas e incidentes verificables.

Aplicación directa e indirecta

La Directiva (UE) 2022/2555 cubre sectores críticos y exige a las entidades incluidas medidas de gestión de riesgos e incidentes. El proveedor debe distinguir:

La clasificación jurídica debe revisarse por entidad, tamaño, sector y servicio. En España, a la fecha de corte, debe confirmarse en el BOE el estado y el texto definitivo de transposición antes de afirmar obligaciones nacionales concretas.

Por qué la cadena de suministro es central

El artículo 21 incluye la seguridad de la cadena de suministro y las relaciones con proveedores directos. Las entidades deben considerar vulnerabilidades específicas, calidad de prácticas y capacidad de desarrollo seguro.

Un proveedor pequeño puede convertirse en vía de acceso a clientes críticos por:

El riesgo se valora por capacidad, no solo por tamaño.

Inventario de servicios y dependencias

Cada servicio necesita una ficha con:

Esto permite responder a los cuestionarios con evidencia coherente.

Medidas mínimas relevantes

NIS2 contempla un enfoque de todos los riesgos y medidas proporcionales, incluyendo:

El proveedor debe mapear cada medida a control, responsable, evidencia y frecuencia.

Gobierno y dirección

Aunque la pyme responda por contrato, la dirección debe aprobar riesgos, recursos y excepciones. Se define un responsable de seguridad, escalado y revisión.

Una estructura mínima:

RolResponsabilidad
DirecciónRiesgo, recursos y contratos
Seguridad/ITControles y monitorización
OperaciónContinuidad y cambios
Legal/complianceAlcance, cláusulas y notificación
ComprasSubproveedores
DPODatos personales y brechas RGPD

NIS2 y RGPD pueden coincidir en un incidente, pero sus criterios y destinatarios son distintos.

Contratos con clientes

Cláusulas esenciales:

No se acepta «cumplir NIS2» sin delimitar qué significa. Las obligaciones deben ser medibles.

Notificación de incidentes

La directiva prevé un esquema escalonado para incidentes significativos, pero el proveedor debe comunicar al cliente mucho antes de que este agote sus plazos. El contrato define canal urgente, información inicial, actualizaciones y cierre.

Contenido mínimo:

No se espera certeza total para alertar. Se actualiza conforme avanza la investigación.

Vulnerabilidades y parches

El proceso cubre:

  1. Recepción y triaje.
  2. Severidad y exposición.
  3. Mitigación temporal.
  4. Desarrollo y prueba.
  5. Comunicación coordinada.
  6. Despliegue.
  7. Confirmación y métricas.

Se mantiene inventario de activos y versiones. Para software, el SBOM y las dependencias facilitan evaluar el impacto, pero deben mantenerse actualizados.

Accesos remotos

Los accesos de soporte son de alto riesgo. Controles:

No deben permanecer cuentas genéricas de proveedor abiertas.

Continuidad

El proveedor define RTO y RPO realistas y prueba copias, restauración, personal, comunicaciones y dependencia de terceros.

Una prueba de escritorio no sustituye restaurar. El informe incluye tiempo, datos recuperados, fallos y acciones.

Subproveedores

El cliente debe conocer las dependencias críticas. Antes de incorporar un subproveedor se evalúa seguridad, localización, continuidad, incidentes y salida. El contrato permite notificar cambios y trasladar controles.

No se responde «sin subcontratación» si nube, soporte o librerías son dependencias relevantes.

Evidencias para cuestionarios

Las evidencias se comparten con minimización y bajo confidencialidad. No se entregan secretos ni informes completos si basta un extracto.

Certificaciones y marcos

ISO/IEC 27001, ENS u otros marcos pueden aportar evidencia, pero no equivalen automáticamente a NIS2. Debe mapearse el alcance y los controles.

Un certificado que excluye el servicio contratado no responde al riesgo del cliente.

Plan de 90 días

Días 1–30

Días 31–60

Días 61–90

Errores frecuentes

  1. Afirmar que no aplica por ser pyme.
  2. Responder cuestionarios sin evidencia.
  3. Prometer notificación con plazos incompatibles.
  4. Mantener cuentas compartidas.
  5. No conocer los subproveedores.
  6. Confundir copia con recuperación.
  7. Presentar un certificado fuera de alcance.
  8. Ocultar incidentes hasta tener certeza.
  9. Aceptar auditorías ilimitadas.
  10. Esperar a la transposición para empezar.

Checklist

Preguntas frecuentes

¿NIS2 se aplica a todas las pymes proveedoras?

No directamente en todos los casos. Pero los clientes incluidos en el ámbito deben gestionar su cadena de suministro y pueden trasladar requisitos contractuales.

¿Basta con tener ISO 27001?

Ayuda, pero hay que comprobar el alcance y mapear los requisitos frente a NIS2.

¿Qué plazo debe asumir el proveedor para avisar de un incidente?

Debe ser suficientemente rápido para que el cliente cumpla sus propios plazos legales. El contrato define un aviso inicial operativo inmediato y actualizaciones posteriores.

¿Hay que esperar a la ley española?

No para mejorar controles y responder a los clientes. Las obligaciones nacionales concretas sí deben verificarse en el texto publicado.

Fuentes oficiales consultadas

Summum Consultoría puede mapear alcance, contratos y evidencias, coordinando NIS2 con ENS, ISO 27001 y RGPD.