Evaluaciones coordinadas de riesgos conforme al artículo 22 NIS 2
El artículo 22 es la forma en que la UE evalúa el riesgo estratégico de la cadena de suministro para cosas como el 5G, la nube y los proveedores de servicios gestionados. El Grupo de Cooperación realiza la evaluación. ENISA y la Comisión la apoyan. Las entidades tienen entonces que tener en cuenta los resultados cuando eligen proveedores conforme al artículo 21(2)(d).
La versión corta
El artículo 22 NIS 2 otorga al Grupo de Cooperación, junto con la Comisión y ENISA, la facultad de realizar evaluaciones coordinadas de riesgos sobre la seguridad de las cadenas de suministro de servicios, sistemas o productos de TIC críticos específicos. La 5G Toolbox de 2020 fue el primer ejemplo desarrollado. La nube, los proveedores de servicios gestionados, los proveedores de identidad y otros pueden evaluarse de la misma manera.
Estas evaluaciones son a nivel de la UE y estratégicas. Cubren factores de riesgo técnicos y, cuando es necesario, también no técnicos. No técnico significa geopolítica, entorno regulatorio, propiedad y control de los proveedores. La 5G Toolbox trató el riesgo de proveedores de alto riesgo de fuera de la UE exactamente bajo ese epígrafe.
El artículo 22 no vincula a las entidades directamente. El artículo 21(3) sí. Las entidades incluidas en el ámbito deben tener en cuenta los resultados de las evaluaciones coordinadas cuando eligen sus medidas de seguridad de proveedores conforme al artículo 21(2)(d). Ese es el puente entre la estrategia a nivel de la UE y la contratación a nivel de entidad.
Artículo 22(1) y (2) Directiva NIS 2 (2022/2555)
(1) El Grupo de Cooperación, en cooperación con la Comisión y ENISA, podrá realizar evaluaciones coordinadas de riesgos de seguridad de cadenas de suministro de servicios, sistemas o productos de TIC críticos específicos, teniendo en cuenta factores de riesgo técnicos y, cuando proceda, no técnicos. (2) La Comisión, previa consulta al Grupo de Cooperación y a ENISA, y cuando proceda a las partes interesadas pertinentes, determinará los servicios, sistemas o productos de TIC críticos específicos que puedan ser objeto de la evaluación coordinada de riesgos de seguridad mencionada en el apartado 1.
El artículo 22 establece el mecanismo. El Grupo de Cooperación realiza la evaluación. La Comisión elige qué productos, sistemas y servicios de TIC se evalúan. ENISA apoya a ambos. Las evaluaciones son a nivel de la UE y estratégicas, no entidad por entidad.
Artículo 21(3) NIS 2 + CIR (UE) 2024/2690 §5
Artículo 21(3): Los Estados miembros velarán por que, al estudiar qué medidas a que se refiere la letra d) del apartado 2 del presente artículo son adecuadas, las entidades tengan en cuenta las vulnerabilidades específicas de cada proveedor directo y prestador de servicios, así como la calidad general de los productos y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. Los Estados miembros velarán asimismo por que, al estudiar qué medidas a que se refiere dicha letra son adecuadas, se exija a las entidades que tengan en cuenta los resultados de las evaluaciones coordinadas de riesgos de seguridad de las cadenas de suministro críticas realizadas de conformidad con el artículo 22, apartado 1.
El artículo 21(3) es el efecto a nivel de entidad. Si está incluido en el ámbito y elige proveedores conforme al artículo 21(2)(d), tiene que tener en cuenta los resultados del artículo 22. El CIR §5 establece después el detalle operativo de la seguridad de proveedores a nivel de entidad, y la profundidad de la evidencia de contratación se rige por la cláusula de proporcionalidad del artículo 21(1).
§30(2)(4) BSIG y participación en el Grupo de Cooperación (Alemania)
Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.
Alemania copia el deber de seguridad de proveedores en el §30(2)(4) BSIG. El BMI y el BSI participan en el Grupo de Cooperación en nombre de Alemania, de modo que los resultados del artículo 22 alimentan la guía nacional. El BSI publica resúmenes en sus Infopakete y guía sectorial. No hay un estatuto alemán separado para el propio artículo 22: es un mecanismo del Grupo de Cooperación, y el efecto a nivel de entidad ya pasa por el §30 BSIG.
Quién lo ejecuta
El Grupo de Cooperación, trabajando con la Comisión y ENISA. El Grupo de Cooperación es el foro permanente de las autoridades de los Estados miembros conforme al artículo 14 NIS 2. ENISA aporta el apoyo técnico y redacta gran parte del análisis subyacente. La Comisión convoca y dirige.
Qué cubre
La Comisión elige los productos, sistemas y servicios de TIC críticos específicos que se evalúan. Tras consultar al Grupo de Cooperación, a ENISA y, cuando proceda, a otras partes interesadas. El 5G fue el primero. La nube, los proveedores de identidad, los proveedores de servicios gestionados y otros pueden seguirle. Nada en el texto lo limita a una sola tecnología.
Cómo aterriza a nivel de entidad
Las entidades incluidas en el ámbito deben tener en cuenta los resultados de la evaluación cuando eligen proveedores conforme al artículo 21(2)(d). Ese es el mango operativo. No «cumpla con el artículo 22». «Tenga en cuenta los resultados del artículo 22 al elegir y gestionar sus proveedores».
Estratégico a nivel de la UE, operativo a nivel de entidad
El artículo 22 se sitúa en la capa estratégica de la UE. El Grupo de Cooperación, la Comisión y ENISA lo ejecutan. El resultado es una lectura coordinada de una cadena de suministro concreta. Las entidades operacionalizan después esa lectura a través del artículo 21(2)(d) y el CIR §5, escalada por la cláusula de proporcionalidad del artículo 21(1). Las dos capas no se colapsan en una.
Factores de riesgo técnicos y no técnicos
El artículo 22(1) nombra explícitamente ambos. Los factores técnicos son la superficie de ciberseguridad habitual: vulnerabilidades conocidas, prácticas de desarrollo seguro, comportamiento de parcheo. Los factores no técnicos son la geopolítica, la exposición regulatoria, la propiedad y el control del proveedor. La 5G Toolbox trató los perfiles de proveedores de alto riesgo de fuera de la UE exactamente bajo este epígrafe. El artículo 22 es el único artículo de NIS 2 en el que el riesgo no técnico se nombra en el texto.
BMI y BSI a través del Grupo de Cooperación
El BMI y el BSI representan a Alemania en el Grupo de Cooperación. Cuando se publica una evaluación coordinada, el BSI integra el fondo en sus Infopakete y guía sectorial. El §30(2)(4) BSIG lleva el deber de seguridad de proveedores a nivel de entidad. El resultado del artículo 22 es uno de los insumos para cómo un auditor alemán lee «adecuado» conforme al §30.
Apoyo técnico de ENISA
ENISA está nombrada en el artículo 22(1) como el socio técnico. Realiza gran parte del trabajo analítico de las evaluaciones coordinadas y lo aporta al Grupo de Cooperación. ENISA también mantiene la Technical Implementation Guidance del CIR, que las entidades usan después para operacionalizar los deberes de seguridad de proveedores conforme al artículo 21(2)(d).
Transposiciones nacionales del artículo 21(3)
Cada Estado miembro transpone el artículo 21(3) a su propia ley de NIS 2 (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El deber de tener en cuenta los resultados de la evaluación coordinada es el mismo en toda la UE. Lo que difiere es qué autoridad nacional publica la guía y cómo las reglas de contratación recogen los resultados de la evaluación.
El artículo 22 es solo la regla del 5G.
El 5G fue el primer ejemplo desarrollado, no el único. El artículo 22(2) otorga a la Comisión una facultad abierta para elegir qué productos, sistemas y servicios de TIC críticos se evalúan. La nube, los proveedores de servicios gestionados, los proveedores de identidad y otros pueden incluirse todos bajo él. Tratar el artículo 22 como un artículo solo para el 5G subestima el ámbito por un amplio margen.
Estamos por debajo del umbral de tamaño, así que el artículo 22 no se nos aplica.
El artículo 22 en sí mismo no se aplica a las entidades directamente. Se aplica a nivel de la UE. Lo que sí se le aplica, si es una entidad incluida en el ámbito de NIS 2, es el artículo 21(3): debe tener en cuenta los resultados de la evaluación coordinada en sus elecciones de proveedores conforme al artículo 21(2)(d). Su tamaño no cambia ese deber una vez que está en el ámbito.
El artículo 22 es la forma en que la UE aplica NIS 2 contra los proveedores.
El artículo 22 es un mecanismo de evaluación de riesgos, no una herramienta de aplicación. No impone obligaciones a los proveedores. Produce una lectura coordinada de la UE que las entidades tienen entonces que tener en cuenta conforme al artículo 21(3). La aplicación contra las entidades pasa por los supervisores nacionales conforme a los artículos 31 a 37. La aplicación contra los proveedores pasa indirectamente por las cláusulas de contratación a nivel de entidad conforme al artículo 21(2)(d).
Vigile los resultados del Grupo de Cooperación. El BSI los resume en los Infopakete. ENISA los referencia en las actualizaciones de la TIG. Si una evaluación coordinada recae sobre una tecnología de la que depende (5G, nube, proveedores de servicios gestionados), actualice en consecuencia su política de seguridad de proveedores y su registro de proveedores. Cite la evaluación en el registro para que un auditor vea el vínculo.
La 5G Toolbox es el ejemplo desarrollado. Ciertas restricciones a proveedores de alto riesgo se trasladaron a las reglas nacionales de contratación y de ahí a las elecciones de proveedores a nivel de entidad. Cuente con el mismo patrón cuando se publiquen nuevas evaluaciones. No necesita leer el documento completo del Grupo de Cooperación. El resumen del BSI más una entrada de una línea sobre los proveedores afectados en su registro basta para demostrar que tuvo en cuenta los resultados.
El registro de proveedores vincula cada proveedor con los resultados pertinentes del artículo 22 cuando proceda. Si una evaluación coordinada clasifica a un proveedor o a una categoría de proveedores, usted etiqueta al proveedor con esa clasificación. Su auditor ve tanto la referencia de la evaluación como su decisión de tratamiento en un solo lugar.
El registro de riesgos recoge las mismas etiquetas. Un proveedor bajo una evaluación coordinada aparece como una entrada de riesgo con la evaluación como su fuente. El tratamiento, la firma y la revisión continua pasan por el flujo estándar del CIR §2. Ningún flujo de trabajo separado para los insumos del artículo 22. La misma forma que cualquier otro riesgo de proveedor, solo que con una cita externa más sólida.
- Directiva (UE) 2022/2555 (NIS 2), artículos 21 y 22 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo §5 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- EU Cybersecurity Toolbox of risk mitigating measures for 5G networks (2020) — digital-strategy.ec.europa.eu
- Ley BSI (BSIG), §30(2)(4) en su versión modificada por la NIS2 Implementation and Cybersecurity Strengthening Act
- ENISA Technical Implementation Guidance para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)