En la última década, la seguridad extendida a la cadena de suministro (Supply Chain Security) se ha convertido en una prioridad para muchas organizaciones, pero si hasta ayer esta necesidad se traducía en buenas prácticas de gestión, hoy –con la directiva NIS 2 formalmente en vigor– se convierte en una obligación normativa. En este artículo descubrimos los detalles de esta evolución y qué hacer, concretamente, para cumplir con la norma. 

Supply Chain Security y la interdependencia tecnológica 

Cualquier organización estructurada forma parte de una red de proveedores, socios y proveedores de servicios a menudo conectados entre sí no solo a nivel relacional, sino también digital. API, plataformas colaborativas, módulos ERP y soluciones digitales compartidas (portales B2B, plataformas de facturación…) crean una verdadera interdependencia tecnológica que, si por un lado habilita eficiencia e innovación, por otro expone cada nodo de la cadena a vulnerabilidades que pueden crear un efecto dominó devastante.

En los últimos años, no han faltado ejemplos clamorosos. Uno de los más conocidos es el ataque a la plataforma Orion de SolarWinds, utilizada en redes gubernamentales y empresariales de alto nivel: la compromiso de una actualización de software permitió a los hackers infiltrarse en las redes de miles de organizaciones y acceder de este modo a datos sensibles. Más reciente es el caso de 3CX, proveedor de software VoIP, comprometido en 2023 debido a una vulnerabilidad introducida en un componente de software de terceros que permitió a los ciberdelincuentes difundir código malicioso a través de actualizaciones legítimas, alcanzando así a toda la base de clientes.

Estos ejemplos, que podrían continuar, demuestran que los atacantes ya no apuntan directamente a su objetivo, sino que prefieren sondear la red en busca del eslabón débil: una pequeña empresa con escasas defensas, un socio tecnológico descuidado o un software no actualizado. Por eso, proteger la supply chain es un deber estratégico y, con la NIS 2, también una obligación de ley.

NIS 2, supply chain security y la responsabilidad de las empresas 

El vínculo entre la NIS 2 y la seguridad de la cadena de suministro está sancionado de modo explícito por el artículo 21 de la Directiva, que establece el principio fundamental en la base del nuevo marco normativo: “Los Estados miembros se asegurarán de que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de los sistemas de redes e información que dichas entidades utilizan en sus actividades o en la prestación de sus servicios, así como para prevenir o reducir al mínimo el impacto de los incidentes para los destinatarios de sus servicios y para otros servicios”.

Estas medidas, basadas en un enfoque que el legislador define como multirriesgo, incluyen explícitamente, siempre según el artículo 21, también la “seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios”.

Con la NIS 2, por tanto, la responsabilidad de la seguridad informática no se agota dentro de los confines empresariales, sino que se extiende aguas arriba y aguas abajo de la cadena. La Directiva atribuye un rol activo y central a las entidades esenciales e importantes (operadores públicos y privados en sectores críticos), que se vuelven responsables también de las potenciales vulnerabilidades introducidas por sus propios proveedores.

Esta responsabilidad distribuida genera un doble efecto: obliga a las organizaciones directamente sujetas a la Directiva a equiparse con procesos estructurados para evaluar y monitorear la postura de seguridad de sus socios, así como (indirectamente) a notificar incidentes que, aun no golpeándoles directamente, tengan un impacto significativo en su capacidad de prestar servicios.

Al mismo tiempo, la normativa empuja a los proveedores –incluso de pequeñas dimensiones– a elevar su propio nivel de seguridad, bajo pena de exclusión de contratos y licitaciones. En otros términos, la NIS 2 introduce un mecanismo sistémico en el que también las pymes, aunque no estén obligadas en primera instancia, se ven en la necesidad de adecuarse para seguir siendo competitivas en un ecosistema digital cada vez más conectado.

Cómo gestionar la seguridad de la supply chain para cumplir con la NIS 2 

Ahora nos preguntamos qué significa, concretamente, asegurar la cadena de suministro para ser compliant con la nueva Directiva europea. La NIS 2 es un acto normativo de alto nivel y ciertamente no prescribe modalidades operativas o herramientas, sino que fija los principios, las responsabilidades y requiere que las empresas adopten un enfoque estructurado y proporcionado a su propio perfil de riesgo. He aquí cómo hacerlo. 

Assessment de los proveedores: evaluar el riesgo, ante todo 

Hacer un assessment de los proveedores significa analizar el nivel de exposición al riesgo ciber que cada socio externo puede representar para la organización. Las criticidades principales en esta fase se refieren a la complejidad de la red de suministro, a menudo compuesta por decenas o cientos de sujetos heterogéneos distribuidos a escala global y no sujetos al mismo marco normativo, así como carencias a nivel de transparencia. Para afrontar estos desafíos, las organizaciones pueden adoptar una mezcla de instrumentos diferentes.

1. Los cuestionarios de autoevaluación son uno de los primeros pasos: permiten recoger información sobre prácticas de seguridad, gestión de credenciales, incidentes previos, uso de frameworks o estándares específicos.En presencia de proveedores críticos o estratégicos, se puede recurrir a assessments on-site, realizados directamente por el equipo interno o por terceros cualificados. Un modelo del que tomar ejemplo es el del Clusit. 
2. Otro elemento clave es la verificación de las certificaciones como ISO 27001 o SOC 2, que constituyen un excelente indicador de madurez. No obstante, pueden integrarse con datos provenientes de fuentes externas, como análisis automáticos de la superficie expuesta a internet o señales de amenazas detectadas por plataformas de threat intelligence.

Integrar la gestión del cyber risk en los contratos 

Una vez medido el riesgo, es necesario traducir los resultados del assessment en compromisos contractuales claros y vinculantes, un paso decisivo para hacer de la seguridad una responsabilidad compartida.

En términos prácticos, esto se traduce en definir, negro sobre blanco, qué estándares deben respetarse, cuáles son las expectativas mínimas en términos de protección de datos y continuidad operativa, y qué ocurre en caso de no conformidad. Entre las cláusulas más eficaces están las que imponen la adopción de frameworks de seguridad específicos, la notificación obligatoria de eventuales incidentes o vulnerabilidades, y la posibilidad para la empresa cliente de realizar auditorías periódicas. Todo esto contribuye a mantener alta la atención a lo largo de todo el ciclo de vida de la relación. 

Tecnologías y herramientas para el monitoreo continuo 

Para cumplir con los principios de la NIS 2 es necesario un paso ulterior: el monitoreo continuo de la seguridad de la cadena de suministro.

Hoy existen tecnologías capaces de ofrecer una visibilidad dinámica y actualizada sobre el riesgo ciber de los proveedores, sin tener que esperar a una nueva ronda de auditorías o a la cumplimentación de cuestionarios cada vez más específicos. Como siempre ocurre en estos casos, el panorama de las soluciones es inmenso: se parte de las plataformas de gestión de riesgos de terceros (TPRM), que centralizan el ciclo de vida del supplier risk, cubriendo las fases que van desde el onboarding hasta la due diligence, pasando por el monitoreo continuo. Estas plataformas facilitan la redacción y recopilación de cuestionarios de seguridad, ayudan a identificar brechas y el seguimiento de las acciones correctivas, además de integrar los flujos de trabajo para la notificación y gestión de incidentes.

Cabe destacar también las plataformas de security rating, que evalúan la postura de seguridad de un proveedor desde una perspectiva externa, analizando datos públicamente disponibles como configuraciones de red, vulnerabilidades conocidas y eventual información presente en la dark y deep web. Estos servicios proporcionan un scoring objetivo y son complementarios a todas las demás medidas orientadas a identificar los proveedores en riesgo y a monitorear las tendencias en el tiempo.

Hacia un enfoque integrado y escalable 

Para ser realmente eficaces, todas estas actividades deben integrarse en una estrategia sistémica de gestión de riesgos. Es necesaria una coordinación entre las funciones legales, procurement, seguridad IT y compliance: solo así es posible afrontar correctamente la complejidad de las cadenas de suministro y garantizar la conformidad con los requisitos normativos sin dispersar recursos o generar cuellos de botella que reduzcan la productividad.

Visita nuestro sitio web para descubrir todos los servicios de Kirey en el ámbito manufacturing y contáctanos para más información.