NIS2 y Terceros: Una Nueva Era de Responsabilidad Compartida en la Cadena de Suministro

¿Os preocupa la seguridad de la información en la cadena de suministro en vuestra Organización?

La cadena de suministro es preocupante en seguridad de la información porque amplía el riesgo más allá del perímetro propio de una empresa, y cualquier punto débil puede ser explotado para comprometer toda la red.

La cadena de suministro es un problema a nivel de seguridad de la información, ya que puede ser una vía de entrada para ciberataques, filtraciones de datos, vulnerabilidades conllevando a un gran listado de riesgos.

Qué riesgos puede generar no tener controlado la cadena de suministro:

Accesos no autorizados: los proveedores o externos podrían tener acceso a información, sistemas, redes… que no fueran necesarios para la prestación de servicio contratado.
Vulnerabilidades heredadas: el uso de componentes (software, firmware, librerías) con fallos de seguridad no parcheados provenientes de proveedores podría generar vulnerabilidades en nuestra organización.
Distribución de software o hardware alterado: si no se verifica la integridad de lo recibido, se pueden introducir productos con puertas traseras, espionaje o código malicioso preinstalado, pudiendo generar fuga de información o manipulación de los datos, conllevando a perdida de confidencialidad.
Respuestas ineficientes ante incidentes: Dificultad para coordinar una respuesta rápida con múltiples proveedores en caso de un incidente o brecha de seguridad.
Falta de cumplimiento normativo: si un proveedor no cumple con normas como NIS2, RGPD, ISO27001, Esquema Nacional de Seguridad, etc., la organización puede ser legalmente responsable.
Ataques en cadena: un proveedor comprometido puede ser el punto de entrada para atacar a todos sus clientes.
Riesgos reputacionales y financieros: un incidente causado por un tercero puede afectar la imagen pública, confianza de los clientes y provocar pérdidas económicas.
Dependencia de proveedores sin garantías de seguridad: si no se evalúa la seguridad antes de contratarlos, puedes estar confiando en proveedores sin controles adecuados o sin planes de contingencia.
Falta de trazabilidad y auditoría: imposibilidad de rastrear incidentes o de comprobar si un proveedor sigue buenas prácticas de seguridad.

Para ello, es conveniente implantar una serie de medidas de seguridad en la cadena de suministro como requieren algunas de las normativas más importantes como son NIS2, Esquema Nacional de Seguridad, ISO27001, RGPD, DORA, etc.

Área	Normativa	Alcance Principal
Ciberseguridad	NIS2, DORA, ENS	Riesgos TIC y continuidad en proveedores
Protección de Datos	RGPD	Encargados del tratamiento y cláusulas contractuales
Seguridad de la Información	ISO 27001, ISO 27036	Gestión formal de la cadena de suministro
Resiliencia digital	CRA, DORA	Seguridad en productos y servicios TIC
Sostenibilidad / RSC	CSRD, LkSG (Alemania)	Cumplimiento ético, social y ambiental

Las organizaciones deben disponer de una gestión proactiva de riesgos en toda la cadena de suministro.

A nivel Seguridad de la Información lo primero para tener en cuenta es la gestión de riesgos en la cadena de suministro. Las organizaciones deben:

Identificar y evaluar los riesgos relacionados con proveedores y terceros.
Incluir en sus análisis a proveedores críticos de TIC y otros socios tecnológicos.
Mantener inventarios actualizados de proveedores clave y servicios subcontratados.
Identificar los accesos de los proveedores a los sistemas, redes, comunicaciones…

Una vez realizado el ejercicio de identificación de riesgos en la cadena de suministro, es conveniente realizar Evaluaciones de seguridad a los proveedores como:

Realizar auditorías y evaluaciones de seguridad periódicas a proveedores críticos.
Establecer criterios mínimos de seguridad para seleccionar y mantener proveedores.
Supervisar el cumplimiento de estos requisitos durante toda la relación contractual.

A nivel Incidentes de Seguridad, las organizaciones deben de estar preparadas para: detectar incidentes relacionados con terceros, notificar en un plazo máximo de 24 horas si el incidente tiene impacto significativo y comunicar a la autoridad competente el incidente y a los interesados.

A nivel Continuidad del Negocio, las organizaciones deben incluir en sus planes de Continuidad a la cadena de suministro, identificando en qué servicios se encuentran prestando servicio junto con las rutas de respaldo para los servicios críticos. Asimismo, se debe verificar que los proveedores también tengan sus propios planes de continuidad.

A nivel Jurídico, las organizaciones deben incluir en los contratos cláusulas de ciberseguridad que el proveedor debe cumplir en la prestación del servicio contratado. Cómo mínimo se deberían incluir:

Obligaciones claras de seguridad, incluyendo notificación de incidentes.
Derechos de auditoría y acceso para evaluar la ciberseguridad del proveedor.
Planes de respuesta y recuperación en caso de incidente.

Para que nuestra organización disponga de un control, traza en la cadena de suministro debe integrar en su sistema de gestión de seguridad de la información la gestión de riesgos de terceros para poder desarrollar una mejora continua en ciberseguridad, se debe establecer una cultura de ciberseguridad que abarque toda la cadena de suministro.

Desde Perseus podemos apoyar a que la cadena de suministro no sea un problema si no una ayuda para vuestras organizaciones.

Victoria Dominguez Perona

Responsable del área de GRC

NIS2 y Terceros: Una Nueva Era de Responsabilidad Compartida en la Cadena de Suministro

Comparte!

Artículos relacionados

Model Context Protocol (MCP): Un Estándar para la Interoperabilidad de la IA

Más Allá del Cumplimiento: Evaluando y Fortaleciendo la Postura de Ciberseguridad Organizacional