Los proveedores de entidades sujetas a NIS 2 no son automáticamente entidades sujetas a NIS 2
El artículo 2 de NIS 2 decide el ámbito de aplicación en función de lo que usted es, no de a quién vende. Las relaciones con clientes no le incluyen. Los deberes de su cliente llegan a su bandeja de entrada a través de su contrato de adquisición conforme al artículo 21, apartado 2, letra d).
La versión breve
Si NIS 2 se aplica a su empresa lo decide únicamente el artículo 2 de la Directiva. Dos pruebas. Su sector tiene que figurar en el anexo I o II. Y usted tiene que cumplir el umbral de tamaño (mediana empresa conforme a la Recomendación 2003/361/CE de la Comisión, con algunas excepciones con independencia del tamaño en el artículo 2, apartados 2 a 4). Quiénes son sus clientes no forma parte de la prueba.
Por tanto, vender a un cliente sujeto a NIS 2 no le incluye en el ámbito de aplicación. Usted pasa a ser una entidad sujeta a NIS 2 únicamente si su propio sector más su propio tamaño superan por sí mismos el artículo 2. Si no lo hacen, usted queda fuera del ámbito de aplicación, incluso si todos los clientes de su lista están dentro.
Lo que sí recorre la cadena de suministro es contractual, no jurídico. El artículo 21, apartado 2, letra d), ordena a las entidades sujetas a NIS 2 gestionar la seguridad de sus proveedores directos. La herramienta que utilizan es el contrato de adquisición: cláusulas, cuestionarios, solicitudes de pruebas. Usted siente la presión porque su cliente quiere la respuesta, no porque un regulador esté hablando con usted.
Directiva NIS 2 (UE) 2022/2555, artículo 2, apartado 1
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
El ámbito de aplicación se vincula a dos hechos relativos a la propia entidad: el sector del anexo I o II y el umbral de tamaño. Las relaciones con clientes, los contratos y los vínculos de cadena de suministro no figuran en el texto y no amplían el ámbito de aplicación. El artículo 2, apartados 2 a 4, añade algunas excepciones con independencia del tamaño para tipos de entidad específicos, pero ninguna de ellas se desencadena por ser proveedor de alguien.
Artículo 21, apartado 2, letra d), de NIS 2 + Reglamento de Ejecución (UE) 2024/2690 de la Comisión §5
supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers.
El artículo 21, apartado 2, letra d), impone el deber a la entidad sujeta a NIS 2 (el comprador), no al proveedor. El CIR 2024/2690 §5 lo convierte en una política de seguridad de proveedores con criterios de selección por escrito y un registro de riesgos de proveedores. El proveedor hace lo que diga el contrato. El regulador solo habla con el comprador.
BSIG §30 (Alemania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
Alemania copia el artículo 21, apartado 2, letra d), casi palabra por palabra en el §30 BSIG. El deber recae sobre la entidad sujeta al ámbito de aplicación. No declara a sus proveedores sujetos al ámbito. Otros Estados miembros transponen el mismo artículo 21 con el mismo mecanismo del lado del comprador (Cyberbeveiligingswet de los Países Bajos, NISG de Austria, sucesora de la LPM de Francia).
¿Está su sector en el anexo I o II?
Anexo I (de alta criticidad): energía, transporte, banca, infraestructuras de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio. Anexo II (crítico): servicios postales, residuos, productos químicos, alimentación, fabricación de productos sanitarios y maquinaria, proveedores digitales, investigación. Si su negocio no encaja en uno de estos, usted queda fuera, sin importar a quién venda. Una pequeña imprenta que suministra a un hospital sigue siendo una imprenta.
¿Es usted una mediana empresa o mayor?
El umbral es la definición de pyme de la Recomendación 2003/361/CE de la Comisión: al menos 50 empleados y al menos 10 millones EUR de volumen de negocio o balance, o mayor. Si está por debajo, usted queda fuera, salvo que alguna de las excepciones con independencia del tamaño del artículo 2, apartados 2 a 4, le incluya de todos modos (p. ej., usted es el único prestador de un servicio esencial, un prestador cualificado de servicios de confianza o un prestador de servicios de DNS).
¿Le excluye una exención?
Aunque las pruebas 1 y 2 sean afirmativas, el artículo 2, apartados 7 a 11, puede excluirle (seguridad nacional, seguridad pública, defensa, aplicación de la ley) o una norma de la UE más específica puede prevalecer (las entidades financieras sujetas a DORA omiten los artículos 21 y 23, pero siguen registrándose conforme al artículo 27). Ser proveedor de una entidad sujeta a NIS 2 nunca es una exención que le incluya. Tampoco es nunca un desencadenante que le incluya.
Ámbito por entidad
El artículo 2 vincula la Directiva a una entidad específica en función de sus propios atributos. No hay ámbito derivado. DORA funciona del mismo modo (entidades financieras por tipo y tamaño). La Directiva CER funciona del mismo modo (entidades críticas por sector). El CRA funciona del mismo modo (fabricantes de productos con elementos digitales). Cada instrumento delimita su ámbito por lo que es la parte regulada, no por a quién vende.
Los contratos se propagan, no la ley
El artículo 21, apartado 2, letra d), hace al comprador responsable de gestionar el riesgo de seguridad de sus proveedores. La herramienta del comprador es el contrato. Por tanto, los proveedores sienten presión comercial, no presión regulatoria. La cláusula de proporcionalidad del artículo 21, apartado 1, rige cuántas pruebas puede pedir el comprador: un proveedor de software de alto riesgo recibe un cuestionario más profundo, un SaaS de oficina de bajo riesgo recibe uno más ligero. Su tarea como proveedor es leer esas solicitudes como condiciones comerciales, no como órdenes de un regulador.
BSI / BMI: los §28 y §30 BSIG separan comprador y proveedor
El §28 BSIG enumera los tipos de entidad sujetos al ámbito y aplica la prueba de tamaño a la propia entidad. El §30 BSIG (el deber de cadena de suministro) hace a una besonders wichtige o wichtige Einrichtung concreta responsable de sus relaciones con proveedores. Ninguna de las dos secciones incluye en el ámbito a un proveedor que no cumpla los requisitos. La comprobación de aplicabilidad del BSI (Betroffenheitsprüfer) prueba el sector más el tamaño de quien ejecuta la comprobación, no de sus clientes.
ENISA: ámbito conforme al artículo 2, riesgo de proveedores conforme al artículo 21
La guía de implementación de ENISA trata el ámbito de aplicación y las medidas de cadena de suministro como dos cuestiones separadas. El ámbito es el anexo I o II más el tamaño. La seguridad de proveedores es uno de los controles que la entidad sujeta al ámbito ejecuta como parte de su propia gestión de riesgos. No incluye a los proveedores en NIS 2. El registro de ENISA conforme al artículo 27 solo enumera entidades que están ellas mismas sujetas al ámbito.
Otros Estados miembros aplican la misma prueba por entidad
La Cyberbeveiligingswet neerlandesa, la NISG austriaca y la transposición francesa (que sustituye a la LPM para los sectores civiles) leen el artículo 2 del mismo modo. Una empresa neerlandesa de gestión de residuos que suministra a un operador energético belga está sujeta al ámbito únicamente si la gestión de residuos es una de sus propias actividades y cumple el umbral de tamaño en los Países Bajos. Las autoridades nacionales no pueden estirar la Directiva mediante derecho nacional para cubrir a empresas que no cumplen los requisitos por sí mismas.
Nuestro cliente está sujeto al ámbito, así que nosotros también.
No. El artículo 2, apartado 1, le aplica la Directiva en función de su sector y su tamaño. La condición de su cliente no forma parte de la prueba. Puede que aun así tenga que cumplir cláusulas de seguridad contractuales que el cliente le presente. Eso no le convierte en una entidad sujeta a NIS 2. Le convierte en parte contratante.
NIS 2 se propaga por la cadena de suministro.
No. Los contratos se propagan. La Directiva no. El artículo 21, apartado 2, letra d), hace al comprador responsable de gestionar la seguridad de sus proveedores directos. El comprador lo traslada a los contratos de adquisición. Usted le debe al comprador (por contrato), no al regulador (conforme a NIS 2). La misma lógica para los subproveedores: solo la relación directa está sujeta al ámbito del artículo 21, apartado 2, letra d), no el proveedor del proveedor.
Nuestro cliente nos dijo que nos registráramos ante la autoridad nacional, así que debemos hacerlo.
No. El registro conforme al artículo 27 solo es obligatorio para las entidades que están ellas mismas sujetas al ámbito conforme al artículo 2 (con reglas adicionales para prestadores de DNS, proveedores de la nube, MSP y algunos otros). Un cliente no puede inventarle un deber de registro. Si un comprador insiste, pregúntele bajo qué entrada del anexo y qué umbral de tamaño cree que usted encaja. Si la respuesta no está en el artículo 2, el deber no existe.
Si usted es el comprador (una entidad sujeta a NIS 2), su tarea conforme al artículo 21, apartado 2, letra d), y al CIR §5 es redactar una política de seguridad de proveedores con criterios de selección, llevar un registro de riesgos de proveedores e incluir cláusulas de seguridad proporcionadas en los contratos de sus proveedores directos. Usted evalúa y gestiona. No delega eso en el regulador. El CIR §5 dice explícitamente que puede elegir pruebas apropiadas al riesgo: certificación ISO 27001, informes SOC 2, resúmenes de pruebas de penetración, atestaciones de desarrollo seguro. El artículo 21, apartado 1, le permite ajustar la profundidad de las pruebas al riesgo real del proveedor. Un proveedor de software de alto riesgo recibe una solicitud más profunda que la empresa que imprime sus tarjetas de visita.
Si usted es el proveedor y su cliente está sujeto al ámbito, aplíquese primero a usted mismo la prueba del artículo 2. Si no la supera, no es una entidad sujeta a NIS 2. Su cliente le seguirá enviando obligaciones de seguridad contractuales. Léalas como condiciones comerciales: negocie el alcance, la profundidad de las pruebas, los derechos de auditoría, los plazos de notificación de brechas. Si supera el artículo 2 por sí mismo, regístrese conforme al artículo 27 y cumpla los artículos 21 y 23 por derecho propio, con independencia de lo que pida cualquier cliente individual.
Para los compradores, la plataforma convierte el deber del artículo 21, apartado 2, letra d), y del CIR §5 en una herramienta operativa: un registro de proveedores con niveles de riesgo, una biblioteca de cláusulas, un flujo de trabajo de pruebas y un portal de proveedores donde sus proveedores responden el cuestionario. Usted conserva el registro. Su proveedor solo ve las preguntas dirigidas a él.
Para los proveedores, el portal de proveedores le permite responder el cuestionario de seguridad una vez y reutilizar la respuesta entre clientes. El portal hace visible la naturaleza comercial de la solicitud: usted responde a la política de adquisiciones de su cliente, no a un regulador. Si resulta que está sujeto al ámbito por sí mismo conforme al artículo 2, la misma plataforma gestiona su propio registro de obligaciones de NIS 2 desde el lado del comprador.
- Directiva (UE) 2022/2555 (NIS 2), artículo 2 (ámbito de aplicación), anexo I y anexo II (sectores), artículo 21, apartado 2, letra d) (seguridad de la cadena de suministro) y artículo 21, apartado 3 (consideración de las vulnerabilidades específicas del proveedor).
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, §5 (seguridad de la cadena de suministro): política de adquisiciones con criterios de selección, registro de riesgos de proveedores, obligaciones de seguridad contractuales.
- Recomendación 2003/361/CE de la Comisión, artículo 2 del anexo (definición de mediana empresa: al menos 50 empleados y al menos 10 millones EUR de volumen de negocio o total del balance).
- BSIG (Alemania) §28 (Einrichtungsarten und Größenkriterien) y §30 (Risikomanagementmaßnahmen, incluida la Lieferkettensicherheit), por los que se aplican los artículos 2 y 21 de NIS 2.
- Guía de implementación de NIS 2 de ENISA y la especificación del registro de entidades conforme al artículo 27: el ámbito conforme al artículo 2 rige si una entidad se registra; las medidas de cadena de suministro conforme al artículo 21 rigen qué hace una entidad sujeta al ámbito respecto de sus proveedores.