Un proveedor sufre una brecha. ¿Qué exige NIS 2 a la entidad?
El artículo 21(2)(d) NIS 2 sitúa la seguridad de la cadena de suministro en la entidad. El artículo 23 rige la notificación de incidentes. Ambos se aplican cuando un proveedor afectado expone los propios servicios de la entidad.
Qué cubre esta página
El artículo 21(2)(d) NIS 2 exige a las entidades que adopten medidas apropiadas y proporcionadas para abordar el riesgo de seguridad de la cadena de suministro para sus propias redes y sistemas de información. El deber recae en la entidad, no en el proveedor. La directiva no regula a los proveedores que están ellos mismos fuera del ámbito; regula cómo la entidad incluida en el ámbito los gestiona.
Cuando un proveedor directo sufre una brecha, se plantean dos cuestiones separadas. Primera, si se ha visto afectada la propia prestación de servicios de la entidad, lo que puede activar una notificación de incidente conforme al artículo 23 a nivel de la entidad. Segunda, si la cadena de notificación contractual conforme al artículo 21(2)(d) funciona, de modo que la entidad tenga conocimiento de la brecha dentro del plazo acordado y por el canal acordado.
Una brecha en el proveedor afectado no es, por sí sola, un incidente notificable para la entidad. Lo es cuando la brecha causa un incidente significativo en la entidad en el sentido del artículo 23(3) NIS 2.
Artículo 21(2)(d) NIS 2
seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad concernientes a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios.
El artículo aborda la relación con los proveedores directos, no el proveedor en sí. La entidad sigue siendo responsable de gestionar esa relación, incluso respecto de los incidentes que se propagan a partir de ella.
Considerando 90 NIS 2
las entidades deben evaluar y tener en cuenta la calidad y resiliencia generales de los productos y servicios, las medidas de gestión de riesgos de ciberseguridad integradas en ellos y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.
El considerando 90 explica la lógica de política que subyace al artículo 21(2)(d). Enmarca la seguridad de la cadena de suministro como una evaluación continua de la postura del proveedor, no como una comprobación puntual de incorporación.
Artículo 23(3) NIS 2
un incidente se considerará significativo si: a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas financieras para la entidad afectada; b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables.
El artículo 23(3) define el umbral de significatividad a nivel de la entidad. Un incidente de proveedor se juzga a través de esta óptica una vez que alcanza los propios servicios de la entidad.
Tener conocimiento de la brecha a tiempo
El artículo 21(2)(d) se operacionaliza en una cláusula contractual. El proveedor afectado debe notificar a la entidad dentro de un plazo definido y por un canal definido. Sin esa cláusula, la entidad se entera por las notas de prensa, lo que es demasiado tarde para un plazo del artículo 23.
Evaluar la propia exposición de la entidad
La cuestión no es si el proveedor está en apuros. La cuestión es si las propias redes y sistemas de información de la entidad, o los servicios que presta, se ven afectados. Es un ejercicio fáctico: qué datos, qué interfaz, qué dependencia, qué alternativa de reserva.
Decidir sobre la propia notificación de la entidad
Si los propios servicios de la entidad cruzan el umbral del artículo 23(3), la entidad presenta la alerta temprana en un plazo de 24 horas, la notificación del incidente en un plazo de 72 horas y el informe final en un plazo de un mes. La notificación la presenta la entidad por la entidad, aunque la causa raíz resida en el proveedor.
El deber recae en la entidad
El artículo 21 enumera medidas que la entidad debe adoptar. No regula al proveedor. Si el proveedor afectado está él mismo dentro del ámbito de NIS 2, tiene sus propios deberes. Esos deberes no sustituyen a los deberes de la entidad; corren en paralelo.
El contrato antes que la crisis
El considerando 90 espera que la relación con el proveedor se evalúe antes de que ocurra un incidente. La cadena de notificación, el deber de cooperación, el derecho a recibir pruebas: estos viven en el contrato. Después de una brecha es el momento equivocado para negociarlos.
§30 + §32 BSIG
El §30 BSIG traslada el deber de gestión de riesgos de la cadena de suministro al Derecho alemán. El §32 BSIG traslada la estructura de notificación de 24 h / 72 h / un mes. La entidad notifica a través del Meldeportal del BSI, con independencia de dónde se haya producido la brecha originaria.
ENISA Threat Landscape for Supply Chain
ENISA publica material anual sobre patrones de ataque a la cadena de suministro y prácticas de notificación. Es material de referencia para la metodología de riesgos de la entidad conforme al artículo 21(2)(d), no una obligación separada.
Orientación del CSIRT sectorial
Para las entidades de infraestructura digital, el Reglamento de Ejecución de la Comisión 2024/2690 concreta los requisitos de la cadena de suministro al siguiente nivel de detalle. Otros sectores siguen directamente el artículo 21(2)(d), afinado por la orientación nacional y los CSIRT sectoriales.
"Es el problema del proveedor."
El artículo 21(2)(d) sitúa el deber de la cadena de suministro en la entidad. El proveedor puede tener o no sus propios deberes de NIS 2 según esté o no dentro del ámbito. El deber de la entidad existe en cualquier caso.
"El proveedor notifica, así que la entidad no tiene que hacerlo."
Un proveedor dentro del ámbito de NIS 2 notifica su propio incidente significativo. Esa notificación no satisface el artículo 23 para la entidad. Si los propios servicios de la entidad alcanzan el umbral del artículo 23(3), la entidad notifica por separado a nivel de la entidad.
"TI vigila al proveedor, no hace falta implicar a la dirección."
El artículo 20 NIS 2 exige que el órgano de dirección apruebe las medidas de gestión de riesgos de ciberseguridad y supervise su implementación. La supervisión de la cadena de suministro es una de esas medidas. Un proceso silencioso de TI sin la aprobación del órgano de dirección no satisface el artículo 20.
La parte difícil rara vez es la notificación. La parte difícil es la evaluación de dependencias bajo presión de tiempo. Si la entidad no sabe ya qué proveedor toca qué servicio, qué datos y a través de qué interfaz, las primeras horas tras la brecha de un proveedor se gastan reconstruyendo ese mapa en lugar de actuar a partir de él.
Un inventario de activos y proveedores que enumere, por proveedor, el servicio afectado, la categoría de datos y el canal de notificación contractual convierte la brecha de un proveedor de una emergencia en una rutina. La directiva no prescribe el formato de ese inventario. Sí exige que exista en una forma que la entidad pueda usar realmente.
La plataforma mantiene un registro de proveedores vinculado a los servicios de la entidad y un campo de notificación contractual por proveedor. Cuando se registra la brecha de un proveedor, los servicios afectados afloran de inmediato y el temporizador de notificación del artículo 23 puede iniciarse sobre un mapa de dependencias limpio.
La aprobación del órgano de dirección sobre el enfoque de riesgos de la cadena de suministro se captura como una aprobación única con un registro de auditoría versionado. El mismo registro recoge cada brecha de proveedor y la decisión de significatividad del artículo 23(3) que la entidad adoptó, de modo que la evaluación sea revisable más adelante.
- Directiva (UE) 2022/2555 (NIS 2), artículo 20, artículo 21(2)(d), artículo 23, considerando 90. EUR-Lex.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, requisitos de la cadena de suministro para las entidades de infraestructura digital.
- BSIG (Alemania), §30 (medidas de gestión de riesgos), §32 (notificación de incidentes).
- ENISA Threat Landscape for Supply Chain Attacks, edición anual.