Seguridad en la cadena de suministro: la obligacion de NIS2 que mas empresas ignoran

El riesgo que viene de fuera

La mayoria de incidentes de ciberseguridad significativos de los ultimos anos no empezaron en la empresa afectada — empezaron en un proveedor. NIS2 responde a esto con una obligacion explicita: las entidades esenciales e importantes deben gestionar los riesgos de seguridad de su cadena de suministro.

Que dice exactamente el articulo 21

El articulo 21 de NIS2 incluye entre las medidas obligatorias la seguridad de la cadena de suministro, incluyendo los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.

Que debes hacer en la practica

El primer paso es identificar tus proveedores criticos — aquellos que tienen acceso a tus sistemas, a tus datos o que prestan servicios de los que dependes para operar. El segundo, evaluar su postura de seguridad. El tercero, documentar esa evaluacion como evidencia de cumplimiento.

Como evaluar a tus proveedores

Hay tres enfoques: cuestionarios de seguridad enviados al proveedor, revision de sus certificaciones existentes como ISO 27001 o SOC 2, y clausulas contractuales de seguridad. El enfoque mas eficiente para una PYME es combinar cuestionarios estandarizados con la revision de certificaciones.

El Trust Center como solucion para los proveedores

Si eres proveedor de una entidad bajo NIS2, tu Trust Center publico de Kardu puede responder las preguntas de seguridad de tus clientes sin necesidad de rellenar cuestionarios manuales. Tu Compliance Score y tus frameworks activos son visibles en tiempo real.