Cláusulas de contratos con proveedores NIS 2
El artículo 21(2)(d) NIS 2 obliga a las entidades a abordar la seguridad en sus relaciones con proveedores directos y prestadores de servicios. El artículo 21(1) decide hasta dónde alcanza esa obligación.
Qué exige el artículo 21(2)(d)
El artículo 21(2)(d) NIS 2 enumera la seguridad de la cadena de suministro como una de las diez medidas mínimas de gestión de riesgos de ciberseguridad. La directiva es específica sobre el ámbito: cubre los aspectos relacionados con la seguridad de la relación entre una entidad y sus proveedores directos o prestadores de servicios. No regula la cadena de suministro entera, y no exige una cláusula genérica de relleno.
La cláusula complementaria es el artículo 21(1). Todas las medidas conforme al artículo 21(2), incluida la seguridad de la relación con proveedores, deben ser adecuadas y proporcionadas a los riesgos a los que se enfrenta la entidad. El coste de implementación, el tamaño de la entidad, la probabilidad de incidentes y su gravedad entran todos en la prueba de proporcionalidad. No se espera la misma profundidad contractual de una empresa de gestión de residuos de 60 personas y de un proveedor de nube de nivel uno.
La pregunta práctica para una entidad incluida en el ámbito no es, por tanto, qué cláusulas copiar de una plantilla, sino qué aspectos relacionados con la seguridad de cada relación con un proveedor importan, qué evidencia necesita la entidad para gestionar el riesgo residual, y cómo dejar constancia de que la elección basada en el riesgo se hizo de forma deliberada.
Artículo 21(2)(d) NIS 2
la seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad referentes a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios
Una de las diez medidas mínimas enumeradas en el artículo 21(2). Obsérvese la limitación deliberada a los proveedores directos y prestadores de servicios. La directiva no extiende la cláusula a los subproveedores de enésimo nivel. Los considerandos 85 y 90 confirman que la evaluación está basada en el riesgo y considera las vulnerabilidades específicas de cada proveedor y la calidad general de sus prácticas de ciberseguridad.
CIR 2024/2690, Anexo Sección 5
Las entidades pertinentes establecerán, implementarán y aplicarán una política de seguridad de la cadena de suministro que rija las relaciones con sus proveedores directos y prestadores de servicios.
El Reglamento de Ejecución (UE) 2024/2690 de la Comisión especifica la medida de cadena de suministro únicamente para las entidades de infraestructura digital (DNS, registros de TLD, nube, centros de datos, CDN, servicios gestionados y servicios de seguridad gestionados, mercados en línea, motores de búsqueda, redes sociales, prestadores de servicios de confianza). La Sección 5 del Anexo enumera criterios de selección, requisitos contractuales, deberes de seguimiento y gestión de la salida. Para otros sectores, se aplica la legislación nacional de transposición.
§30(2) Nr. 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
La NIS2UmsuCG alemana transpone el artículo 21(2)(d) uno a uno al §30(2) Nr. 4 BSIG. El §30(1) BSIG lleva adelante la cláusula de proporcionalidad. La guía del BSI hasta la fecha trata la seguridad de la relación con proveedores como una obligación de política más contrato más seguimiento, no como una lista de cláusulas.
Qué proveedores están en el ámbito
El artículo 21(2)(d) se dirige a los proveedores directos y prestadores de servicios, no a toda la cadena ascendente. Se espera que una entidad identifique qué proveedores tratan, transmiten o almacenan datos de los que la entidad depende, o cuya interrupción del servicio afectaría a su servicio esencial o importante. Los proveedores de material de oficina quedan fuera del ámbito, el hoster en la nube de la base de datos de clientes está en el ámbito. El criterio de selección es el riesgo que introduce el proveedor, no el valor del contrato.
Qué cubre típicamente la capa contractual
La guía del BSI y la Sección 5 del CIR describen una política de relación con proveedores que se traduce en requisitos contractuales. Los elementos comunes que buscan los reguladores incluyen una referencia a una línea base de seguridad, una obligación de notificación de incidentes alineada con los plazos del artículo 23, transparencia sobre los subencargados de tratamiento relevantes, un derecho de auditoría o de evidencia proporcionado al riesgo, y derechos de resolución por motivos de seguridad. La profundidad se calibra por clase de riesgo del proveedor, no se aplica de manera uniforme.
Cómo verifica la entidad al proveedor
La directiva es neutral en cuanto a tecnología y certificado. La evidencia puede ser un cuestionario al proveedor, una certificación reconocida como la ISO 27001 o SOC 2, un informe reciente de pruebas de penetración, o una cláusula de auditoría contractual ejercida sobre una base de muestreo. El CIR 2024/2690 Sección 5 enumera explícitamente múltiples formas de evidencia aceptables. La entidad decide qué forma es adecuada para la clase de riesgo de cada proveedor y documenta esa decisión.
Solo proveedores directos, sin traslado automático en cascada
El artículo 21(2)(d) nombra a los proveedores directos y prestadores de servicios. No impone un traslado contractual en cascada a cada subproveedor de enésimo nivel. Cuando el riesgo de subencargado es relevante, la entidad lo aborda a través del contrato directo, normalmente exigiendo transparencia sobre los subencargados críticos y derechos de aprobación para los cambios relevantes. Una cláusula de traslado generalizado en cascada no es un requisito de la directiva y generalmente es inexigible frente a partes sin contrato directo.
Proporcionada al riesgo, no un estándar fijo
El artículo 21(1) exige que las medidas sean adecuadas y proporcionadas, teniendo en cuenta el estado de la técnica, el coste de implementación, el tamaño de la entidad, la exposición, la probabilidad de incidentes y su gravedad. La misma proporcionalidad se aplica a la cláusula de relación con proveedores. Un pedido de compra estándar no necesita una cláusula de auditoría completa si el riesgo del proveedor es bajo. Un proveedor de servicios de seguridad gestionados justifica una cláusula más profunda que un proveedor de hardware. La decisión se documenta, no se estandariza.
BSI IT-Grundschutz OPS.2 y ORP.4
Los bloques de construcción de la línea base IT-Grundschutz del BSI OPS.2 (externalización para usuarios de servicios) y CON.7 (externalización para prestadores de servicios) más ORP.4 (identidad y acceso) describen un proceso de relación con proveedores compatible con el artículo 21(2)(d). Para las entidades que usan el atajo Grundschutz del §44(2) BSIG, la aplicación de estos bloques de construcción se trata como evidencia de la medida de relación con proveedores.
ENISA Threat Landscape for Supply Chain Attacks
Los reiterados informes de ENISA sobre ataques a la cadena de suministro enmarcan el cuadro de riesgo al que responde la directiva. ENISA no publica una plantilla de contrato. Su trabajo se referencia en los considerandos de la directiva sobre el riesgo de la cadena de suministro e informa la metodología de riesgo de proveedores del Grupo de Cooperación, pero no es un estándar contractual vinculante.
CIR 2024/2690 Anexo Sección 5
Para los once tipos de entidades de infraestructura digital incluidas en el ámbito del CIR 2024/2690, la Sección 5 del Anexo establece una especificación de política de proveedores más concreta: criterios de selección, requisitos contractuales, seguimiento a lo largo del ciclo de vida del contrato, condiciones de salida. Para todos los demás sectores, esto sigue siendo una orientación útil pero no directamente vinculante; rigen la transposición nacional y la guía de la autoridad.
Un único anexo de proveedor, firmado por todos, cierra el artículo 21(2)(d).
La directiva obliga a las entidades a abordar los aspectos relacionados con la seguridad de la relación, que el artículo 21(1) vincula a una prueba de proporcionalidad por proveedor. Un único anexo aplicado de manera uniforme contradice la proporcionalidad y crea o bien pequeños proveedores sobrecontratados o bien proveedores críticos infracontratados. El artefacto defendible es la política de riesgo de proveedores más la clasificación de riesgo por proveedor, con las cláusulas contractuales derivadas de esa clasificación.
La certificación ISO 27001 del lado del proveedor sustituye todos los derechos de auditoría y evidencia.
Una certificación reconocida es evidencia aceptable para muchas clases de riesgo de proveedores, pero el artículo 21(2)(d) no nombra la ISO 27001 y no delega la obligación en un certificador. La entidad sigue siendo responsable de la relación conforme al §30 BSIG. Cuando el riesgo del proveedor es alto o el alcance de la certificación excluye el servicio consumido, los derechos de verificación adicionales siguen siendo adecuados. La Sección 5 del CIR enumera explícitamente múltiples formas de evidencia en paralelo.
Los pequeños proveedores quedan fuera del ámbito de la obligación de seguridad de proveedores de la entidad.
El artículo 21(2)(d) no exime a los pequeños proveedores. El propio ámbito NIS 2 del proveedor conforme al artículo 2 es una cuestión separada. La obligación de la entidad es abordar los aspectos relacionados con la seguridad de su relación con el proveedor directo con independencia del tamaño del proveedor, calibrada al riesgo que ese proveedor introduce. Un hoster de copias de seguridad de dos personas que maneja datos críticos atrae más atención que un proveedor de catering de mil personas.
Los auditores que examinan la seguridad de proveedores en las entidades NIS 2 piden típicamente tres artefactos por orden: la política de riesgo de proveedores que fija la lógica de clasificación, el inventario de proveedores con la clasificación aplicada, y una muestra de contratos de cada clase de riesgo que muestre cómo se refleja la política. Las propias cláusulas contractuales son la última capa, no la primera.
Cuando la entidad usa la vía Grundschutz del §44(2) BSIG, los bloques de construcción OPS.2 y CON.7 ya estructuran la política de riesgo de proveedores y la capa contractual. Las entidades fuera de Alemania se apoyan en la guía equivalente de la autoridad nacional o, para las entidades de infraestructura digital, en la Sección 5 del Anexo del CIR 2024/2690. La propia directiva no impone una lista de cláusulas uniforme.
El módulo de proveedores de la plataforma captura los artefactos que un auditor espera: un inventario de proveedores con clasificación de riesgo, el servicio o activo vinculado, la forma de evidencia acordada por proveedor (cuestionario, referencia de certificación, cláusula de auditoría, evidencia puntual), y la vía de notificación de incidentes de vuelta al propio flujo de trabajo de notificación del artículo 23 de la entidad.
El portal de proveedores permite a los proveedores directos responder a cuestionarios y subir evidencia bajo un acceso basado en token, de modo que la conversación queda documentada en un solo lugar. La plataforma no publica plantillas de contrato. Deja constancia de que la medida de relación con proveedores conforme al §30(2) Nr. 4 BSIG está implementada y evidenciada por proveedor.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21(2)(d) y artículo 21(1), EUR-Lex
- Considerandos 85 y 90, Directiva (UE) 2022/2555, EUR-Lex
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo Sección 5, EUR-Lex
- BSIG §30(2) Nr. 4 y §30(1), gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, módulos OPS.2 y CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA