ISGroup Consultoría de Ciberseguridad

¿Cómo aborda la Directiva NIS2 la cuestión de la ciberseguridad en las cadenas de suministro?

La Directiva NIS2 otorga una importancia significativa al fortalecimiento de la ciberseguridad dentro de las cadenas de suministro, reconociendo que las vulnerabilidades de los proveedores y prestadores de servicios pueden representar riesgos sustanciales para las entidades esenciales e importantes. Si deseas comprender mejor cuál es el objetivo principal de la Directiva NIS2, puedes profundizar en el artículo dedicado.

[Callforaction-NIS2]

Así es como la directiva aborda esta problemática:

Medidas Obligatorias para la Seguridad de la Cadena de Suministro

  • Requisitos de Gestión de Riesgos: La directiva impone que las entidades esenciales e importantes implementen medidas apropiadas y proporcionadas de gestión de riesgos de ciberseguridad, que incluyen explícitamente abordar los riesgos en sus cadenas de suministro y en las relaciones con los proveedores.
  • Evaluación de Proveedores: Las entidades están obligadas a evaluar las prácticas de ciberseguridad de sus proveedores y prestadores de servicios, analizando el impacto potencial de los proveedores en la seguridad de sus propios sistemas de red e información.

Enfoque Basado en el Riesgo para la Seguridad de la Cadena de Suministro

  • Medidas Personalizadas: Las entidades deben adoptar un enfoque basado en el riesgo en la seguridad de sus cadenas de suministro, considerando factores como la sensibilidad de los datos gestionados por los proveedores, la criticidad de los servicios prestados y el acceso de los proveedores a los sistemas de la entidad.
  • Priorización: Al identificar y priorizar los riesgos asociados a los diferentes proveedores, las entidades pueden asignar eficazmente los recursos para mitigar las amenazas más significativas.

Evaluaciones de Riesgo Coordinadas

  • Evaluaciones a Nivel de la UE: La directiva prevé evaluaciones coordinadas de la seguridad de las cadenas de suministro críticas a nivel de la UE. Estas evaluaciones, realizadas en colaboración con los Estados miembros y ENISA, tienen como objetivo identificar riesgos y dependencias sistémicas que podrían afectar a múltiples entidades o sectores.
  • Decisiones Políticas Informadas: Los resultados de estas evaluaciones ayudan a fundamentar las decisiones políticas y el desarrollo de directrices para mejorar la seguridad de la cadena de suministro en toda la UE.

Gestión y Divulgación de Vulnerabilidades

  • Divulgación Coordinada de Vulnerabilidades: La NIS2 introduce un marco para la divulgación coordinada de vulnerabilidades, alentando a las entidades a informar sobre vulnerabilidades en productos y servicios TIC a un CSIRT nacional designado o a los proveedores afectados.
  • Rol de los CSIRT: Los Estados miembros deben designar un CSIRT nacional para actuar como intermediario confiable en los procesos de divulgación de vulnerabilidades, facilitando la comunicación entre entidades y proveedores para garantizar que las vulnerabilidades se aborden de manera oportuna.
  • Base de Datos Europea de Vulnerabilidades: ENISA tiene la tarea de establecer y mantener una base de datos europea de vulnerabilidades, que recopila y comparte información sobre vulnerabilidades, mejorando la transparencia y la concienciación entre entidades y proveedores.

Intercambio de Información y Cooperación

  • Esfuerzos Colaborativos: La directiva alienta a las entidades a participar en actividades de intercambio de información, incluso con sus proveedores y prestadores de servicios. Este enfoque colaborativo tiene como objetivo mejorar la conciencia colectiva sobre las amenazas de ciberseguridad y las mejores prácticas.
  • Comunidades Confiables: Al participar en comunidades confiables de intercambio de información, las entidades pueden recibir actualizaciones oportunas sobre amenazas emergentes que pueden afectar a sus cadenas de suministro.

Requisitos de Ciberseguridad en las Contrataciones

  • Inclusión de la Seguridad en los Contratos: Se alienta a las entidades a incorporar requisitos de ciberseguridad en los acuerdos contractuales con los proveedores. Esto puede implicar establecer estándares de seguridad, exigir el cumplimiento de certificaciones específicas o estipular obligaciones de notificación de incidentes. Para las organizaciones que deben estructurar este proceso, iniciar un camino estructurado de adecuación a la NIS2 ayuda a traducir estas obligaciones en acciones concretas y documentables.
  • Due Diligence: Antes de contratar proveedores, las entidades deben realizar una debida diligencia (due diligence) para evaluar su postura de ciberseguridad, asegurándose de que los proveedores cumplan con los criterios de seguridad necesarios.

Concienciación y Formación

  • Concienciación en la Cadena de Suministro: Las entidades deben promover la concienciación sobre la ciberseguridad no solo dentro de su organización, sino también a lo largo de sus cadenas de suministro. Esto incluye proporcionar directrices y formación a los proveedores sobre las expectativas y prácticas de seguridad.

Vigilancia Regulatoria

  • Autoridades de Supervisión: Las autoridades nacionales competentes tienen el poder de supervisar el cumplimiento de las entidades con respecto a las obligaciones de seguridad de la cadena de suministro, incluyendo la realización de auditorías e inspecciones relacionadas con las prácticas de la cadena de suministro. En Italia, la ACN gestiona la lista de sujetos NIS2 y los plazos de cumplimiento.
  • Medidas de Ejecución: La falta de una gestión adecuada de los riesgos de ciberseguridad en la cadena de suministro puede dar lugar a acciones de ejecución, incluidas sanciones administrativas.

A través de la incorporación de estas medidas, la Directiva NIS2 tiene como objetivo fortalecer la postura general de ciberseguridad de las entidades esenciales e importantes, asegurando que los riesgos de la cadena de suministro se gestionen eficazmente. La directiva promueve una cultura de seguridad que se extiende más allá de las organizaciones individuales para abarcar toda la cadena de suministro, reconociendo que la ciberseguridad es una responsabilidad compartida en un ecosistema digital interconectado. Para consultar el texto íntegro, está disponible el documento oficial de la Directiva NIS2.

Preguntas frecuentes sobre la seguridad de la cadena de suministro en la NIS2

  • ¿Qué proveedores entran en el ámbito de las obligaciones NIS2 sobre la cadena de suministro?
  • La directiva no establece un umbral de tamaño para los proveedores, pero requiere que las entidades esenciales e importantes evalúen a todos los proveedores y prestadores de servicios que tengan acceso a sus sistemas o que gestionen datos sensibles. La prioridad recae en los proveedores críticos para la continuidad operativa o para la seguridad de la información.
  • ¿Cómo se demuestra el cumplimiento de las obligaciones de seguridad de la cadena de suministro?
  • Las entidades deben documentar las evaluaciones de riesgo de los proveedores, los requisitos de seguridad incluidos en los contratos y las actividades de debida diligencia realizadas. Las autoridades competentes pueden solicitar esta documentación durante auditorías o inspecciones.
  • ¿Qué sucede si un proveedor no cumple con los requisitos de seguridad exigidos?
  • La entidad sujeta a la NIS2 sigue siendo responsable de su propia postura de seguridad incluso en caso de incumplimiento por parte del proveedor. Puede ser necesario revisar el contrato, exigir medidas correctivas o, en los casos más graves, interrumpir la relación con el proveedor para reducir la exposición al riesgo.

[Callforaction-NIS2-Footer]

In