Cadena de Suministro y NIS2, ¿Cómo le afecta a tu Organización?

por | ISO 27001 | 0 Comentarios

En este artículo, quiero analizar cómo la Directiva NIS2 impacta en los proveedores y en la gestión de la cadena de suministro.

Te hablaré de los nuevos sectores y entidades incluidas bajo su ámbito de aplicación, entre los cuales quizás se encuentre tu empresa.

Y también describiré lo que debes hacer para garantizar una cadena de suministro segura en tu organización.

Contents

La Importancia de la Cadena de Suministro en el NIS2

En el ámbito de la NIS2, podemos definir «cadena de suministro» como el conjunto de procesos y organizaciones, que participan en la entrega de un producto o servicio TIC utilizado por las entidades esenciales o importantes.

Esto incluye proveedores, subcontratistas y cualquier entidad que influya en la funcionalidad y seguridad de los sistemas de información de una organización considerada como esencial o importante según la NIS2.

Por lo tanto, en este contexto, las cadenas de suministro se han convertido en estructuras muy interconectadas y dependientes de la tecnología.

La NIS2 obliga a las entidades esenciales e importantes a gestionar los riesgos de seguridad no solo en sus propios sistemas, sino también en los de sus proveedores y prestadores de servicios.

Y aquí es donde entran en juego muchas empresas que son proveedoras de la cadena de suministro de un servicio esencial o importante según la NIS2.

Algunas de las empresas que participan en la cadena de suministro, dentro de las organizaciones que se consideran esenciales e importantes, te las detallo a continuación.

Ampliación del Ámbito de Aplicación de la NIS2

La Directiva NIS2 amplió el alcance de su anterior directiva NIS para incluir una variedad más amplia de sectores y entidades que desempeñan actividades esenciales e importantes en la sociedad y la economía.

Si quieres saber cuál es la diferencia entre la NIS y la NIS2, en el enlace anterior tienes un artículo explicado con detalle.

Lo que busca la Unión Europea es hacer más robustas las organizaciones públicas y privadas desde el punto de vista de la ciberseguridad y garantizar la continuidad de los servicios fundamentales.

Hay un estudio realizado por INCIBE (Instituto Nacional de Ciberseguridad) muy esclarecedor respecto a esta necesidad.

En uno de sus apartados dice…  se registraron 1.673 incidentes referentes a universidades, instituciones sanitarias y otras entidades de la RedIRIS.

Te dejo el estudio en este enlace por si te interesa.

Estudio INCIBE ataques cibernéticos a sectores esenciales e importantes

Y esto aplica por lo tanto, también a la cadena de suministro de ciertos productos y servicios que ofrecen subcontratas y otras organizaciones que trabajan para estos sectores esenciales e importantes.

A continuación, te voy a poner algunos ejemplos de organizaciones esenciales e importantes y cómo les afecta también a los proveedores que forman la cadena de suministro.

Organizaciones Esenciales y su cadena de suministro a las que le aplica la NIS2

Sector Energético:

Dentro de este sector se incluyen las empresas responsables de la generación, transmisión y distribución de energía eléctrica, gas y petróleo.

Bien, pero ¿y que organizaciones pueden estar dentro de la cadena de suministro en este sector energético?

Te pongo dos ejemplos de subcontratistas afectados:

  • Proveedores de Sistemas de Control Industrial (ICS): Empresas que suministran y mantienen sistemas de automatización, utilizados para supervisar y controlar procesos industriales en plantas energéticas.
  • Empresas de Mantenimiento de Infraestructuras Energéticas: Contratistas especializados en el mantenimiento y reparación de redes eléctricas, oleoductos y gasoductos.

Sector del Transporte:

En este sector están los operadores de infraestructuras y servicios de transporte, como el aéreo, ferroviario, marítimo y por carretera.

¿Qué organizaciones pueden estar dentro de la cadena de suministro en este sector del transporte?

Te pongo dos ejemplos de subcontratistas afectados:

  • Proveedores de Sistemas de Gestión del Tráfico: Empresas que desarrollan y gestionan software y hardware para el control y monitoreo del tráfico en redes de transporte.
  • Empresas de Servicios Logísticos: Compañías que ofrecen servicios de almacenamiento, distribución y gestión de inventarios para operadores de transporte.

Sector Sanitario:

Este sector está claro: incluye hospitales, clínicas y otros proveedores de atención médica.

¿Qué organizaciones pueden estar dentro de la cadena de suministro en este sector del sanitario?

Te doy dos ejemplos de subcontratistas afectados:

  • Proveedores de Equipamiento Médico Conectado: Empresas que suministran equipos de diagnóstico y que son suministrados a centros médicos. Dispositivos y equipos que pueden ser actualizados y mantenidos por parte de la empresa que los suministra.
  • Empresas de Servicios de Software Médico: Proveedores de software que son contratados por los centros médicos para llevar la gestión de sus hospitales y centros médicos.

Organizaciones importantes y su cadena de suministro a las que le aplica la NIS2

Servicios Postales y de Mensajería:

Este sector también esta claro, se trata de empresas que ofrecen servicios de recogida, clasificación, transporte y entrega de correspondencia y paquetes.

¿Qué organizaciones pueden estar dentro de la cadena de suministro en este sector de servicios postales y mensajería?

Dos ejemplos de posibles subcontratistas afectados podrían ser:

  • Proveedores de Software de Gestión Logística: Empresas que desarrollan sistemas para la gestión de rutas, seguimiento de envíos y optimización de entregas y que tienen contratado las organizaciones de servicios postales y de mensajería.
  • Empresas de Transporte Terrestre Subcontratadas: Compañías que operan en nombre de la empresa principal y proporcionan vehículos y personal para la entrega de paquetes en áreas específicas.

Fabricación de Productos Químicos:

Incluye empresas dedicadas a la producción, almacenamiento y distribución de sustancias químicas.

Existen sustancias químicas que se consideran esenciales para la sociedad como son:

  • Poliuretanos: Utilizados en la fabricación de espumas para muebles, colchones y aislamiento térmico en construcciones.
  • Benceno: Utilizado en la fabricación de detergentes, plásticos y medicamentos
  • Polipropileno: Utilizado en envases, textiles y componentes para vehículos.

¿Qué organizaciones pueden estar dentro de la cadena de suministro en este sector de la fabricación de productos químicos?

Dos ejemplos de posibles subcontratistas afectados podrían ser:

  • Proveedores de Materias Primas Químicas: Empresas que suministran los compuestos básicos necesarios para la producción de estos productos químicos.
  • Empresas de Transporte de Materiales Peligrosos: Compañías especializadas en el traslado seguro de sustancias químicas, cumpliendo con normativas específicas de seguridad.

Como ves, no solo las organizaciones que se consideran esenciales e importantes se encuentran afectadas por la NIS2, sino también las empresas que componen la cadena de suministro de éstas.

Se trata de tejer una red de organizaciones como mayor robustez desde el punto de vista de la seguridad de la información y garantizar los productos y servicios mínimos a la sociedad.

Si quieres saber si tu empresa puede verse afectada por la NIS2 he escrito este artículo con todo detalle ¿NIS2 Aplica a tu PYME?

Requisitos de Seguridad en la Cadena de Suministro según la Directiva NIS2

Este es el apartado más importante de todo este artículo.

Ya hemos visto cómo una empresa subcontratista y/o proveedora de un sector esencial o importante según la NIS2 se ve afectado por esta normativa. Y te he puesto algunos ejemplos para verlo más claro.

Pues bien, ahora vamos a ver qué deben hacer estas empresas subcontratistas o proveedores de estos sectores esenciales e importantes para fortalecer la cadena de suministros de estos productos o servicios.

Evaluación de riesgos de terceros

El artículo 21 apartado 2 letra d) hace referencia a la seguridad que deben tener las empresas que operan en sectores esenciales e importantes desde el punto de vista de la cadena de suministro.

Y dice exactamente que se deben tener en cuenta aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.

Por lo tanto, los subcontratistas y proveedores deben:

  • Permitir ser evaluados de sus riesgos de seguridad de la información de forma periódica por parte de las organizaciones esenciales e importantes.
  • Disponer de una gestión activa y documentada de riesgos relacionados con ciberseguridad.
  • Ser capaces de proporcionar evidencias documentadas del cumplimiento de estándares mínimos de seguridad, por ejemplo, resultados de auditorías, pruebas de penetración o evaluaciones de vulnerabilidades.

Medidas de seguridad contractuales

El “considerando lo siguiente” que está en el párrafo 85 de la NIS2 indica que las entidades esenciales e importantes deben incorporar medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.

¿Qué implica esto en la práctica para los subcontratistas?

Pues que los subcontratistas deben estar preparados para:

  • Firmar contratos donde se especifiquen claramente sus responsabilidades en materia de ciberseguridad.
  • Implementar medidas técnicas específicas requeridas por la entidad contratante (por ejemplo, cifrado, autenticación multifactor, controles de acceso robustos).
  • Comunicar de forma inmediata cualquier incidente de seguridad significativo que pudiera afectar a la cadena de suministro.

Obligaciones de notificación de incidentes en las empresas que componen la cadena de suministro

Esta obligación directa de notificación es exclusiva para las entidades esenciales e importantes.

Pero la Directiva NIS2 establece que estas entidades deben garantizar contractualmente que sus proveedores y subcontratistas les reporten cualquier incidente significativo.

¿Esto que quiere decir en la práctica?

Pues que los proveedores o subcontratistas no tienen la obligación directa de notificar incidentes al CSIRT o autoridades.

Pero sí tienen una obligación indirecta mediante cláusulas contractuales de informar inmediatamente a la entidad principal con la que mantienen una relación comercial.

Por tanto, en la práctica, las empresas de la cadena de suministro deben:

  • Disponer de mecanismos para detectar incidentes cibernéticos.
  • Informar inmediatamente sobre cualquier incidente significativo a la entidad esencial o importante a la que suministran, detallando el impacto y las acciones que se estén tomando para resolverlo.
  • Asegurar que los incidentes se reportan conforme a lo especificado en sus acuerdos contractuales, siguiendo estrictamente los procedimientos establecidos.

Si quieres conocer más sobre los tiempos de respuesta y los protocolos que deben seguir las empresas esenciales e importantes he escrito este artículo “como implementar la NIS2”

Sanciones por incumplimiento

El aspecto más doloroso para las empresas a las cuales les aplica la NIS2 es el régimen sancionador que establece para aquellas entidades que no cumplan adecuadamente con sus obligaciones de ciberseguridad.

Este régimen también afecta indirectamente a los proveedores y subcontratistas de las empresas esenciales e importantes, debido al papel crucial que juegan en la cadena de suministro.

A continuación, te resumo las consecuencias de incumplir las obligaciones derivadas de la Directiva NIS2 desde la perspectiva de las empresas proveedoras y subcontratistas.

Multas y penalizaciones

Las sanciones de la NIS2 incluyen multas económicas altas para las entidades esenciales e importantes en caso de incumplimiento de sus obligaciones en materia de ciberseguridad.

No obstante, estas multas no son aplicables directamente a los proveedores o subcontratistas.

Pero su impacto puede trasladarse indirectamente a los proveedores o subcontratistas mediante cláusulas contractuales específicas con la empresa esencial o importante con la que tienen relación.

Y es que, en realidad, esto tiene sentido.

Las empresas esenciales e importantes establezcan cláusulas en sus contratos para definir medidas de seguridad en su cadena de suministro y procedimiento de notificación de incidentes de ciberseguridad.

Por lo tanto, cualquier proveedor o subcontratista que no cumpla con las cláusulas contractuales establecidas, puede estar expuesto indirectamente a consecuencias por parte de la empresa principal contratante.

Responsabilidad compartida

Aunque la Directiva NIS2 no establece sanciones directas a los proveedores o subcontratistas, sí reconoce claramente una responsabilidad compartida en la gestión de la ciberseguridad dentro de la cadena de suministro.

Esto se refleja específicamente en el Artículo 21, apartado 3, así como en el “considerando lo siguiente” que está en el párrafo 85.

Se menciona expresamente que, las entidades esenciales e importantes deben trasladar a sus proveedores y subcontratistas obligaciones claras mediante acuerdos contractuales robustos y bien definidos.

Bien entonces, en términos prácticos, ¿qué implica esto para los proveedores y subcontratistas?

Pues que deben cumplir estrictamente con las obligaciones de seguridad acordadas en los contratos con sus clientes, es decir, las empresas esenciales e importantes según la NIS2.

Por lo tanto, los incumplimientos o no conformidades con estos requisitos podrían dar lugar a:

  • Rescisión anticipada de contratos.
  • Exigencia de indemnizaciones económicas.
  • Penalización económica específica.
  • Suspensión temporal de los servicios contratados.
  • Negativa a renovación o prórroga de contratos.

Evidentemente todo ello debería estar por escrito y acordado en los contratos entre los proveedores o subcontratistas y la empresa esencial o importante.

¿Algunos ejemplos de responsabilidad compartida para entenderlo mejor?

Aquí tienes algunos:

  1. Un proveedor de software hospitalario que retrasa intencionadamente las actualizaciones de críticas de seguridad: provocando vulnerabilidades explotables por los atacantes.
  2. Un proveedor de servicios de soporte técnico remoto que no notifica oportunamente un incidente significativo sufrido en su infraestructura:
  3. Una empresa de logística subcontratada que, por falta de controles de seguridad adecuados, expone información confidencial sobre rutas o inventarios.

Bueno, espero que ahora sí tengas claro cómo afecta la cadena de suministro en la NIS2.

Y recuerda que si necesitas ayuda para el cumplimiento de NIS2, nosotros podemos ayudarte.

Fecha : 23 de febrero de 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.