ISGroup Consultoría de Ciberseguridad

Cómo la Directiva NIS2 define y aborda la “seguridad de la cadena de suministro”

La Directiva NIS2 reconoce la importancia de la seguridad de la cadena de suministro para garantizar un alto nivel de ciberseguridad. Este artículo analiza cómo la Directiva define y aborda este aspecto, con referencia a los artículos específicos que regulan las obligaciones para las entidades esenciales e importantes. Para obtener un panorama completo sobre la finalidad general de la Directiva NIS2, es útil partir del objetivo que la norma se propone.

[Callforaction-NIS2]

Las fuentes proporcionan información sobre cómo la Directiva define y aborda este aspecto crucial:

Definición de la Seguridad de la Cadena de Suministro:

Aunque la Directiva NIS2 no proporciona una definición autónoma de “seguridad de la cadena de suministro”, sus requisitos relativos a la gestión del riesgo de ciberseguridad incluyen claramente la seguridad de las cadenas de suministro.

  • El Artículo 21, apartado 2, letra d) establece que las entidades designadas como “esenciales” o “importantes” deben implementar medidas de gestión del riesgo de ciberseguridad, que incluyan también la “seguridad de la cadena de suministro”.
  • Este apartado especifica además que dichas medidas deben tener en cuenta “aspectos relacionados con la seguridad de las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios”.
  • Este lenguaje destaca cómo la Directiva reconoce la interconexión de los riesgos de ciberseguridad dentro de una cadena de suministro y subraya la necesidad de que las entidades gestionen proactivamente los riesgos derivados de sus proveedores y prestadores de servicios.

Modalidades de Gestión de la Seguridad de la Cadena de Suministro:

La Directiva NIS2 emplea un enfoque multifactorial para mejorar la seguridad de la cadena de suministro:

  1. Gestión del Riesgo a Nivel de Entidad:
  • Debida Diligencia sobre los Proveedores: El Artículo 21, apartado 3, subraya la importancia de la debida diligencia cuando las entidades evalúan la adecuación de las medidas de seguridad adoptadas en la cadena de suministro. Las entidades deben tener en cuenta las vulnerabilidades específicas de cada proveedor directo y prestador de servicios, considerando:
    * Vulnerabilidades Específicas del Proveedor Individual.
    * Prácticas Generales de Ciberseguridad de los Proveedores: Incluidos sus procedimientos de desarrollo seguro.
    * Resultados de las Evaluaciones del Riesgo Coordinado: Las entidades deben considerar los resultados de cualquier evaluación del riesgo coordinada realizada a nivel de la UE, como se indica en el Artículo 22, apartado 1.
  • Gestión del Incumplimiento: Si una entidad detecta un incumplimiento de las medidas de seguridad requeridas, incluidos los aspectos relacionados con la seguridad de la cadena de suministro, el Artículo 21, apartado 4, impone la obligación de implementar acciones correctivas apropiadas de manera oportuna. Esto destaca la naturaleza continua de la gestión del riesgo en la cadena de suministro y la necesidad de un monitoreo y mejora constantes.
  1. Evaluaciones del Riesgo Coordinado:
  • Evaluaciones a Nivel de la UE: El Artículo 22, apartado 1, permite al Grupo de Cooperación NIS, en colaboración con la Comisión y la ENISA, emprender “evaluaciones del riesgo coordinadas para la seguridad de cadenas de suministro críticas específicas de servicios TIC, sistemas TIC o productos TIC”.
  • Enfoque en las Cadenas de Suministro Críticas: Esta disposición otorga a la UE la capacidad de identificar y evaluar proactivamente las vulnerabilidades en las cadenas de suministro que son cruciales para la ciberseguridad de la Unión.
  • Consideración de Factores Técnicos y No Técnicos: Estas evaluaciones del riesgo coordinadas deben tener en cuenta tanto factores técnicos como no técnicos, subrayando la importancia de un enfoque holístico para la seguridad de la cadena de suministro.
  • Identificación de Productos y Servicios TIC Críticos: El Artículo 22, apartado 2, aclara que la Comisión, en consulta con las partes interesadas pertinentes, determinará qué servicios, sistemas o productos TIC se consideran críticos hasta el punto de justificar una evaluación del riesgo coordinada para su seguridad.
  1. Promoción de Prácticas de Desarrollo Seguro:
  • Seguridad desde el Diseño y por Defecto (Secure by Design and Default): Aunque no se menciona explícitamente en el contexto de la seguridad de la cadena de suministro, el Artículo 21, apartado 2, letra e), hace referencia a la seguridad en la “adquisición, desarrollo y mantenimiento” de los sistemas TIC. Esto promueve indirectamente la adopción de los principios de “seguridad desde el diseño y por defecto” a lo largo de toda la cadena de suministro.
  • Fomento del Uso de Certificaciones: El Artículo 24 promueve el uso de los esquemas de certificación de ciberseguridad establecidos por la Ley de Ciberseguridad (Reglamento (UE) 2019/881). Al promover el uso de productos, servicios y procesos certificados en materia de ciberseguridad, la Directiva incentiva indirectamente la adopción de prácticas de seguridad más sólidas entre los proveedores dentro de la cadena de suministro.

En conclusión, la Directiva NIS2 integra la seguridad de la cadena de suministro como un elemento fundamental de su marco de gestión del riesgo de ciberseguridad. Subraya un enfoque proactivo y continuo, exigiendo a las entidades evaluar y abordar los riesgos derivados de sus propios proveedores y prestadores de servicios. La Directiva también otorga a la UE la capacidad de realizar evaluaciones del riesgo coordinadas de las cadenas de suministro críticas. Para las organizaciones que deben estructurar o verificar su propio camino de adaptación a la Directiva NIS2, es útil comenzar con un análisis de las medidas ya implementadas y de las brechas aún abiertas. También puede consultar el texto oficial de la Directiva NIS2 para verificar directamente las disposiciones citadas.

[Callforaction-NIS2-Footer]

In