Una pyme puede recibir exigencias NIS2 aunque no esté directamente dentro del ámbito. Las entidades esenciales e importantes deben gestionar la seguridad de su cadena de suministro y trasladan requisitos a proveedores de software, nube, mantenimiento, comunicaciones y servicios gestionados. La respuesta no debe limitarse a un cuestionario: necesita controles, contratos, pruebas e incidentes verificables.
Aplicación directa e indirecta
La Directiva (UE) 2022/2555 cubre sectores críticos y exige a las entidades incluidas medidas de gestión de riesgos e incidentes. El proveedor debe distinguir:
- Aplicación directa: la propia entidad entra en el ámbito conforme a la transposición nacional.
- Exigencia contractual: un cliente incluido impone controles por cadena de suministro.
- Práctica voluntaria: se adoptan controles para acceso a mercado y resiliencia.
La clasificación jurídica debe revisarse por entidad, tamaño, sector y servicio. En España, a la fecha de corte, debe confirmarse en el BOE el estado y el texto definitivo de transposición antes de afirmar obligaciones nacionales concretas.
Por qué la cadena de suministro es central
El artículo 21 incluye la seguridad de la cadena de suministro y las relaciones con proveedores directos. Las entidades deben considerar vulnerabilidades específicas, calidad de prácticas y capacidad de desarrollo seguro.
Un proveedor pequeño puede convertirse en vía de acceso a clientes críticos por:
- Credenciales remotas.
- Actualizaciones.
- Software integrado.
- Copias y datos.
- Acceso de soporte.
- Dependencia operativa.
- Subproveedores.
El riesgo se valora por capacidad, no solo por tamaño.
Inventario de servicios y dependencias
Cada servicio necesita una ficha con:
- Cliente y servicio.
- Sistemas y datos.
- Acceso remoto.
- Disponibilidad comprometida.
- Ubicaciones.
- Personal privilegiado.
- Subproveedores.
- Componentes y software.
- RTO/RPO.
- Notificación de incidentes.
- Plan de salida.
Esto permite responder a los cuestionarios con evidencia coherente.
Medidas mínimas relevantes
NIS2 contempla un enfoque de todos los riesgos y medidas proporcionales, incluyendo:
- Políticas de análisis de riesgos y seguridad.
- Gestión de incidentes.
- Continuidad, copias y recuperación.
- Seguridad de la cadena de suministro.
- Adquisición, desarrollo y mantenimiento seguros.
- Evaluación de eficacia.
- Higiene y formación.
- Criptografía.
- Seguridad de personal, accesos y activos.
- MFA y comunicaciones seguras cuando proceda.
El proveedor debe mapear cada medida a control, responsable, evidencia y frecuencia.
Gobierno y dirección
Aunque la pyme responda por contrato, la dirección debe aprobar riesgos, recursos y excepciones. Se define un responsable de seguridad, escalado y revisión.
Una estructura mínima:
| Rol | Responsabilidad |
|---|---|
| Dirección | Riesgo, recursos y contratos |
| Seguridad/IT | Controles y monitorización |
| Operación | Continuidad y cambios |
| Legal/compliance | Alcance, cláusulas y notificación |
| Compras | Subproveedores |
| DPO | Datos personales y brechas RGPD |
NIS2 y RGPD pueden coincidir en un incidente, pero sus criterios y destinatarios son distintos.
Contratos con clientes
Cláusulas esenciales:
- Descripción y criticidad.
- Controles exigidos.
- Acceso y segregación.
- Cifrado y claves.
- Vulnerabilidades y parches.
- Desarrollo seguro.
- Subcontratación.
- Incidentes y plazos operativos.
- Cooperación y evidencias.
- Auditoría proporcional.
- Continuidad y pruebas.
- Devolución, portabilidad y salida.
No se acepta «cumplir NIS2» sin delimitar qué significa. Las obligaciones deben ser medibles.
Notificación de incidentes
La directiva prevé un esquema escalonado para incidentes significativos, pero el proveedor debe comunicar al cliente mucho antes de que este agote sus plazos. El contrato define canal urgente, información inicial, actualizaciones y cierre.
Contenido mínimo:
- Qué ocurrió y cuándo.
- Servicios afectados.
- Impacto y alcance.
- Indicadores y causa conocida.
- Medidas de contención.
- Datos personales potenciales.
- Próximos hitos.
- Contacto operativo.
No se espera certeza total para alertar. Se actualiza conforme avanza la investigación.
Vulnerabilidades y parches
El proceso cubre:
- Recepción y triaje.
- Severidad y exposición.
- Mitigación temporal.
- Desarrollo y prueba.
- Comunicación coordinada.
- Despliegue.
- Confirmación y métricas.
Se mantiene inventario de activos y versiones. Para software, el SBOM y las dependencias facilitan evaluar el impacto, pero deben mantenerse actualizados.
Accesos remotos
Los accesos de soporte son de alto riesgo. Controles:
- Identidad individual.
- MFA resistente cuando sea viable.
- Aprobación temporal.
- Bastión o acceso controlado.
- Mínimo privilegio.
- Grabación o logs proporcionados.
- Restricción geográfica/horaria.
- Revocación inmediata.
- Revisión periódica.
No deben permanecer cuentas genéricas de proveedor abiertas.
Continuidad
El proveedor define RTO y RPO realistas y prueba copias, restauración, personal, comunicaciones y dependencia de terceros.
Una prueba de escritorio no sustituye restaurar. El informe incluye tiempo, datos recuperados, fallos y acciones.
Subproveedores
El cliente debe conocer las dependencias críticas. Antes de incorporar un subproveedor se evalúa seguridad, localización, continuidad, incidentes y salida. El contrato permite notificar cambios y trasladar controles.
No se responde «sin subcontratación» si nube, soporte o librerías son dependencias relevantes.
Evidencias para cuestionarios
- Política y evaluación de riesgos.
- Inventario de activos.
- Matriz de accesos.
- Formación.
- Vulnerabilidades y parches.
- Copias y restauración.
- Pruebas de continuidad.
- Incidentes y lecciones.
- Evaluación de proveedores.
- Certificaciones y alcance.
- Auditorías y acciones.
Las evidencias se comparten con minimización y bajo confidencialidad. No se entregan secretos ni informes completos si basta un extracto.
Certificaciones y marcos
ISO/IEC 27001, ENS u otros marcos pueden aportar evidencia, pero no equivalen automáticamente a NIS2. Debe mapearse el alcance y los controles.
Un certificado que excluye el servicio contratado no responde al riesgo del cliente.
Plan de 90 días
Días 1–30
- Clasificar entidad y servicios.
- Inventariar clientes y dependencias.
- Analizar brechas frente al artículo 21.
- Corregir accesos críticos.
Días 31–60
- Actualizar políticas, contratos e incidentes.
- Probar copias y continuidad.
- Evaluar subproveedores.
- Preparar evidencias.
Días 61–90
- Ejecutar simulacro con el cliente.
- Cerrar acciones prioritarias.
- Aprobar riesgos residuales.
- Implantar revisión periódica.
Errores frecuentes
- Afirmar que no aplica por ser pyme.
- Responder cuestionarios sin evidencia.
- Prometer notificación con plazos incompatibles.
- Mantener cuentas compartidas.
- No conocer los subproveedores.
- Confundir copia con recuperación.
- Presentar un certificado fuera de alcance.
- Ocultar incidentes hasta tener certeza.
- Aceptar auditorías ilimitadas.
- Esperar a la transposición para empezar.
Checklist
- Alcance directo e indirecto analizado.
- Servicios y dependencias inventariados.
- Riesgos y controles del artículo 21 mapeados.
- Dirección y responsables definidos.
- Contratos medibles.
- Incidentes con canal y plazos.
- Accesos remotos protegidos.
- Vulnerabilidades y parches al día.
- Copias y continuidad probadas.
- Subproveedores evaluados.
- Evidencias actualizadas.
Preguntas frecuentes
¿NIS2 se aplica a todas las pymes proveedoras?
No directamente en todos los casos. Pero los clientes incluidos en el ámbito deben gestionar su cadena de suministro y pueden trasladar requisitos contractuales.
¿Basta con tener ISO 27001?
Ayuda, pero hay que comprobar el alcance y mapear los requisitos frente a NIS2.
¿Qué plazo debe asumir el proveedor para avisar de un incidente?
Debe ser suficientemente rápido para que el cliente cumpla sus propios plazos legales. El contrato define un aviso inicial operativo inmediato y actualizaciones posteriores.
¿Hay que esperar a la ley española?
No para mejorar controles y responder a los clientes. Las obligaciones nacionales concretas sí deben verificarse en el texto publicado.
Fuentes oficiales consultadas
Summum Consultoría puede mapear alcance, contratos y evidencias, coordinando NIS2 con ENS, ISO 27001 y RGPD.