La Directiva NIS2, en vigor en España desde octubre de 2024, marca un antes y un después en la ciberseguridad europea. Esta normativa, pieza clave del nuevo marco regulatorio comunitario, amplía el alcance y las obligaciones de las empresas para mejorar su resiliencia frente a ciberataques, con especial foco en la seguridad de la cadena de suministro.

Uno de los aspectos más relevantes de NIS2 es que no solo afecta a compañías esenciales, como las que operan en sectores críticos, como energía, transporte, sanidad, banca o administraciones, sino también a empresas importantes, como las de fabricación o proveedores digitales. Aunque las pymes quedan, en principio, fuera del ámbito directo de la norma, la realidad es que se verán impactadas indirectamente, ya que los grandes actores exigirán garantías de seguridad a todos sus socios y proveedores.

El énfasis en la cadena de suministro no es casual. Los cibercriminales han aprendido que atacar a un proveedor con menos medidas de protección puede ser la puerta perfecta para comprometer empresas críticas. Según el ENISA Threat Landscape 2024, los ataques a la cadena de suministro crecieron un 19% en el último año, consolidándose como una de las principales preocupaciones en Europa. Por su parte, Statista indica que unas 183.000 organizaciones se vieron afectadas por ataques dirigidos a esta cadena durante 2024.

Cumplir con NIS2: ¿qué implica?

El artículo 21 establece que las empresas deben adoptar medidas técnicas, operativas y organizativas adecuadas no solo para proteger sus propios sistemas, sino también para garantizar la seguridad en las relaciones con proveedores y prestadores de servicios. Esto implica auditorías, evaluaciones de riesgo y la adopción de estándares internacionales que acrediten la implantación de controles adecuados para proteger ecosistemas amplios.

Entre los marcos de referencia más utilizados se encuentran ISO 27036, que establece directrices para la gestión segura con proveedores y la compartición de datos; ISO 28000, que aborda la seguridad de toda la cadena de suministro, incluyendo continuidad del negocio; y NIST SP 800-161, considerada una guía detallada para proteger estas cadenas frente a amenazas y ciberriesgos.

El impacto de la normativa también se refleja en el mercado. Según Gartner, el 60% de las organizaciones exigirá certificaciones de ciberseguridad a sus proveedores antes de 2026, dato que confirma la creciente presión regulatoria y el riesgo reputacional que implica un fallo en terceros. Además, IDC prevé que el gasto en seguridad en Europa crezca un 11,8% en 2025, impulsado por la tensión geopolítica, el auge de la ciberdelincuencia y un entorno regulatorio cada vez más estricto. La inversión seguirá al alza hasta 2028, cuando rozará los 97.000 millones de dólares.

Ecosistema de proveedores más robusto

Para reforzar la seguridad del ecosistema, las organizaciones no pueden limitarse al cumplimiento interno. Necesitan planes estructurados de gestión del riesgo que permitan evaluar vulnerabilidades, identificar amenazas y desplegar contramedidas. Certificaciones como ISO 27001 son esenciales para acreditar buenas prácticas, mientras que la tecnología se convierte en un aliado clave.

Herramientas avanzadas que permitan una protección proactiva, controlen la superficie de exposición y evalúen vulnerabilidades en tiempo real, junto a servicios de inteligencia de amenazas o centros de operaciones de seguridad (SOC) 24/7, son críticas para reducir riesgos. Del mismo modo, resulta imprescindible contar con planes de respuesta a incidentes para garantizar una actuación rápida y coordinada ante cualquier ataque.

El cumplimiento de NIS2 no es solo un requisito legal, sino también una oportunidad para fortalecer la confianza entre empresas y proveedores. Partiendo de la premisa de que la ciberseguridad de una organización es tan sólida como el eslabón más débil de su cadena, resulta imprescindible evaluar y gestionar adecuadamente los riesgos asociados a terceros.

Así, en un contexto donde la seguridad ya no es una ventaja competitiva, sino un requisito indispensable, solo las organizaciones que actúen con anticipación evitarán sanciones y estarán mejor preparadas para enfrentar un panorama de amenazas en constante evolución.

Andrey Yankovskiy

Coordinador preventa de ReeVo