El artículo 21 de la Directiva NIS2 obliga a las entidades esenciales e importantes a tomar medidas técnicas y organizativas para gestionar los riesgos de seguridad de su cadena de suministro. No es una recomendación: es una obligación regulatoria que afecta a más de 160.000 entidades en toda Europa según estimaciones de ENISA. Esas entidades deben evaluar y, en muchos casos, exigir evidencias formales de seguridad a sus proveedores de TIC y servicios digitales.
Para las empresas que venden a ese universo de entidades, esto cambia las reglas del mercado. El cumplimiento de la normativa de ciberseguridad ha pasado de ser una cuestión interna a convertirse en un criterio de selección en licitaciones, procesos de procurement y due diligence de clientes. Ignorarlo ya tiene un coste comercial directo.
Por qué NIS2 crea presión de compra sobre los proveedores
El artículo 21(2)(d) de NIS2 enumera la seguridad de la cadena de suministro como una de las diez medidas de seguridad obligatorias. Esto incluye explícitamente «la seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades» y los aspectos relativos a «las relaciones entre la entidad y sus proveedores directos o proveedores de servicios».
En la práctica, las entidades NIS2 deben:
- Identificar qué proveedores TIC y de servicios digitales son críticos para su funcionamiento.
- Evaluar el nivel de seguridad de esos proveedores antes y durante la relación contractual.
- Incluir cláusulas contractuales que les permitan verificar el cumplimiento del proveedor y exigir notificación en caso de incidente.
- Documentar esa evaluación ante sus autoridades supervisoras nacionales.
El resultado es un efecto cascada: cada entidad NIS2 convierte en criterio de selección lo que antes era solo una pregunta del departamento de IT. Si un proveedor no puede demostrar un nivel de seguridad aceptable, la entidad NIS2 no puede incluirlo en su cadena de suministro sin asumir un riesgo regulatorio.
Lo que las entidades NIS2 exigen a sus proveedores en la práctica
Los departamentos de procurement y los equipos de seguridad de las entidades NIS2 no siempre tienen un proceso estandarizado, pero los requisitos que aparecen repetidamente en procesos de homologación de proveedores son:
- Certificación ISO 27001 vigente o, en su defecto, un informe de auditoría de seguridad reciente realizado por tercero independiente.
- Resultados de tests de penetración con antigüedad no superior a 12-24 meses, acompañados del plan de remediación de los hallazgos.
- Política de seguridad de la información documentada y aprobada por dirección.
- Plan de continuidad de negocio y plan de recuperación ante desastres que incluyan escenarios de ciberincidente.
- Procedimiento de notificación de incidentes: el proveedor debe comprometerse a notificar a su cliente en plazos concretos si sufre un incidente que pueda afectar los servicios prestados.
- Cuestionarios de seguridad (CAIQ, SIG, o cuestionarios propios del cliente) completados y actualizados.
- DPA (Acuerdo de Tratamiento de Datos) cuando el servicio implica acceso a datos personales.
La exigencia de cada uno de estos elementos varía según el tipo de entidad NIS2, su sector y la criticidad del servicio que presta el proveedor. Sin embargo, un proveedor que llega a un proceso de homologación sin ninguna de estas evidencias tiene pocas probabilidades de superar la fase de due diligence técnico.
2 posiciones distintas frente al mercado
No todas las empresas se relacionan con NIS2 de la misma manera. Hay dos posiciones comercialmente relevantes:
- Posición 1: eres una entidad NIS2 tú mismo. Si tu empresa opera en un sector cubierto por NIS2 (energía, transporte, salud, infraestructura digital, servicios TIC gestionados, entre otros) y superas los umbrales de tamaño, probablemente seas una entidad importante o esencial. En ese caso, el cumplimiento de NIS2 es obligatorio, pero también es una señal de mercado: estás sometido a supervisión regulatoria, tienes que demostrar un nivel de seguridad auditado y tus clientes pueden citarlo como razón de confianza. Es el equivalente de lo que significa para una empresa de servicios financieros estar regulada por el BCE o la CNMV.
- Posición 2: vendes a entidades NIS2 sin ser una tú mismo. Aquí el argumento no es «cumplimos NIS2 porque nos obliga» sino «nuestro programa de seguridad está alineado con los requisitos que tu normativa te exige verificar en tus proveedores». Para empresas SaaS que venden a sectores regulados, esta posición es la más común y, bien articulada, es un diferenciador real frente a competidores que no han formalizado su seguridad.
Qué evidencias piden los compradores B2B
La pregunta que más confunde a los equipos de ventas es: «¿qué exactamente demuestra NIS2 compliance?». La respuesta honesta es que NIS2 no tiene un esquema de certificación propio. No existe un sello «NIS2 certificado» emitido por ningún organismo acreditado. Lo que existen son:
ISO 27001: La norma de seguridad de la información más reconocida globalmente y la que mayor aceptación tiene como evidencia de alineación con NIS2 en procesos de procurement europeos. Una certificación ISO 27001 vigente cubre la mayor parte de los controles del artículo 21 de NIS2 y es entendida por compradores de todos los sectores. Para una comparación detallada con otros estándares de auditoría, el análisis de ISO 27001 vs SOC 2 para empresas en la UE explica las diferencias de reconocimiento en el mercado europeo.
SOC 2 Type II: Más común en empresas de origen estadounidense. Reconocido en la UE pero con menor especificidad respecto a NIS2. Funciona bien como evidencia complementaria pero raramente satisface por sí solo los requisitos de due diligence de una entidad NIS2 europea.
Documentación NIS2 propia: Si la empresa es una entidad NIS2, puede aportar la documentación de su programa de cumplimiento: política de seguridad, evaluación de riesgos, resultados de auditorías. Esto es la evidencia más directa pero también la menos estandarizada.
Declaración de conformidad con cuestionarios estándar: El CAIQ (Cloud Security Alliance Cloud Controls Matrix) o el SIG (Standardized Information Gathering Questionnaire) son instrumentos reconocidos que muchos compradores aceptan como evidencia de due diligence.
El punto práctico para un equipo de ventas: llegar con la carpeta de evidencias preparada, sin esperar a que el cliente la pida, recorta semanas en el ciclo de ventas enterprise y elimina uno de los motivos más frecuentes de estancamiento en procurement.
Cómo articular NIS2 como argumento de venta sin sobredeclarar
La frontera entre un argumento sólido y una sobredeclaración que puede crear problemas legales o de reputación es más fina de lo que parece. Estas son las formulaciones que funcionan y las que hay que evitar:
Lo que se puede decir con fundamento:
- «Operamos como entidad importante bajo NIS2 y estamos sujetos a supervisión regulatoria en materia de ciberseguridad.»
- «Nuestro programa de seguridad está diseñado para cumplir con los requisitos del artículo 21 de NIS2, documentado y auditado por [nombre del auditor].»
- «Contamos con certificación ISO 27001, que cubre los controles de seguridad que NIS2 exige verificar en los proveedores de sus entidades en alcance.»
- «Incluimos en nuestros contratos las cláusulas de notificación de incidentes y derechos de auditoría que su programa NIS2 le requiere incluir en contratos con proveedores críticos.»
Lo que hay que evitar:
- «Somos NIS2 certificados» (no existe esa certificación).
- «Cumplimos NIS2» como declaración sin respaldo documental: puede interpretarse como representación contractual si el cliente lo incluye en el contrato.
- Equiparar ISO 27001 con NIS2 compliance de forma total, ignorando que hay aspectos de NIS2 (notificación de incidentes a autoridades, gobernanza directiva específica) que ISO 27001 no cubre de forma directa.
5 Errores frecuentes al usar el cumplimiento como argumento comercial
Basándonos en lo que vemos en los procesos de homologación y licitación, estos son los errores que más dificultan convertir el cumplimiento en ventaja comercial real:
1. No saber si el cliente es entidad NIS2: La argumentación es completamente distinta si el comprador es una entidad esencial bajo NIS2 (con obligaciones de due diligence sobre sus proveedores) que si es una empresa mediana fuera de alcance. Entrar en la conversación sin ese dato hace que el argumento sea genérico y poco convincente.
2. Confundir obligación con diferenciación: Para los compradores que ya han madurado sus requisitos de seguridad, ISO 27001 es un umbral mínimo, no un diferenciador. El diferenciador real es la calidad de la documentación, la transparencia sobre hallazgos y remediaciones, y la fluidez del proceso de respuesta a cuestionarios.
3. Presentar evidencias desactualizadas: Un test de penetración de tres años o una certificación ISO 27001 caducada generan más dudas que confianza. Los compradores sofisticados revisan las fechas y piden el plan de remediación de los hallazgos, no solo el informe.
4. No tener un interlocutor técnico preparado: En fases avanzadas de procurement enterprise, los compradores quieren hablar con el CISO o el responsable de seguridad, no solo con el equipo de ventas. Si ese interlocutor no está alineado con el argumentario comercial, el proceso pierde consistencia.
5. Tratar el cumplimiento como un destino, no como un proceso: Decirle a un cliente que «ya cumplimos NIS2» implica que el programa está terminado, lo cual ningún auditor o supervisor va a validar. La formulación correcta enfatiza el proceso continuo: gestión de riesgos activa, auditorías periódicas, mejora documentada.
Cómo puede ayudar PrivaLex
La mayoría de los programas de cumplimiento se diseñan pensando en la autoridad supervisora como único destinatario. PrivaLex trabaja con empresas que además necesitan que ese programa de cumplimiento sea legible y convincente para sus clientes B2B, sin que eso implique sobredeclarar ni crear riesgos contractuales.
El trabajo específico que hacemos en este contexto incluye:
- Auditoría de la posición actual. Evaluamos qué evidencias tiene la empresa hoy (certificaciones, informes de auditoría, políticas, resultados de pen tests) y las contrastamos con lo que piden los compradores NIS2 más exigentes del sector. El resultado es un mapa claro de brechas: qué falta, qué está desactualizado y qué existe pero no está documentado en un formato que funcione en procurement.
- Diseño del paquete de evidencias. Construimos o actualizamos la documentación de seguridad en el formato que realmente se usa en due diligence enterprise: resumen ejecutivo de seguridad, ficha de controles alineada con NIS2 Art. 21, respuestas predefinidas a los cuestionarios más frecuentes (CAIQ, SIG, cuestionarios propios de grandes clientes del sector).
- Alineación del argumentario comercial. Trabajamos con el equipo de ventas para definir qué se puede decir, cómo decirlo y qué documentación entrega cada afirmación. El objetivo es que el equipo de ventas tenga confianza para hablar de seguridad en las primeras conversaciones y sepa escalar correctamente cuando el proceso llegue a la fase técnica.
- Preparación para auditorías de clientes. Cuando un cliente NIS2 ejerce su derecho de auditoría sobre un proveedor, la preparación previa marca la diferencia entre una auditoría que refuerza la relación comercial y una que la pone en riesgo. Acompañamos en la preparación de la auditoría NIS2 tanto cuando el cliente es el auditado como cuando es el auditor.
- Cláusulas contractuales. Revisamos los contratos de prestación de servicios para asegurarnos de que incluyen las cláusulas que los clientes NIS2 necesitan incorporar (notificación de incidentes, derechos de auditoría, subcontratación, continuidad del servicio) y que esas cláusulas son asumibles operativamente para la empresa que presta el servicio.
Conclusión
NIS2 ha convertido la ciberseguridad en un criterio de compra para decenas de miles de empresas europeas. Las empresas que venden a ese mercado tienen dos opciones: esperar a que los clientes les exijan evidencias en el peor momento del ciclo de ventas, o construir ese paquete proactivamente y usarlo como herramienta comercial. La diferencia entre las dos posiciones no es solo operativa: en sectores donde los ciclos de procurement son largos y los criterios de selección incluyen cada vez más la seguridad de los proveedores, llegar preparado recorta tiempo y elimina obstáculos que en ocasiones hacen perder contratos frente a competidores más ordenados en su documentación.
Si quieres saber dónde está exactamente tu empresa en relación con los requisitos que tus clientes NIS2 van a pedirte, solicita tu risk assessment gratuito o reserva una sesión con nuestro equipo.
Preguntas Frecuentes
No existe ninguna certificación oficial denominada «NIS2». NIS2 es una directiva europea que establece obligaciones para las entidades en su ámbito de aplicación, pero no crea un esquema de certificación con sello propio como sí lo hace ISO 27001, por ejemplo. Lo que existe es la obligación de cumplir los requisitos del artículo 21 y demostrarlo ante las autoridades supervisoras nacionales. El estándar más reconocido como evidencia de alineación con NIS2 en procesos de procurement es ISO 27001, complementado con documentación específica de los aspectos que ISO 27001 no cubre de forma directa (notificación de incidentes a autoridades, gobernanza directiva).
Sí, especialmente si vendes a empresas que sí están en alcance. NIS2 obliga a las entidades esenciales e importantes a verificar la seguridad de sus proveedores críticos de TIC y servicios digitales. Si eres ese proveedor, el hecho de que tu empresa no sea formalmente una entidad NIS2 no te exime de tener que demostrar un nivel de seguridad aceptable para tus clientes. En la práctica, las empresas que alinean voluntariamente su programa de seguridad con NIS2 tienen ventaja en los procesos de homologación de proveedores de empresas energéticas, de salud, de infraestructura digital y del sector financiero, todos ellos sectores NIS2.
ISO 27001 es la evidencia más reconocida y la que mejor satisface la mayor parte de lo que piden los compradores NIS2. Sin embargo, no es suficiente por sí sola en todos los casos. Los aspectos que ISO 27001 no cubre directamente y que los clientes NIS2 exigentes suelen pedir adicionalmente son: el procedimiento documentado de notificación de incidentes con plazos concretos hacia el cliente, la política de gestión de la cadena de suministro del propio proveedor (qué exige él a sus subproveedores), y en algunos casos resultados de tests de penetración recientes. Un proveedor con ISO 27001 más esos complementos está bien posicionado para superar el due diligence de prácticamente cualquier entidad NIS2.
«NIS2 compliant» implica que la empresa está formalmente dentro del ámbito de la directiva y cumple con sus obligaciones regulatorias, incluyendo la supervisión de la autoridad nacional competente. Solo pueden decirlo con rigor las entidades que efectivamente son esenciales o importantes bajo NIS2 y tienen su programa de cumplimiento en regla. «Alineado con NIS2» indica que el programa de seguridad de la empresa está construido siguiendo los requisitos del artículo 21 de la directiva, aunque no haya obligación regulatoria directa. Esta segunda formulación es la adecuada para empresas que no son formalmente entidades NIS2 pero que han diseñado su seguridad de acuerdo con ese marco. La distinción importa porque usar «compliant» sin serlo puede generar responsabilidad contractual si el cliente lo hace constar en el contrato.
El punto de partida es el sector: los anexos I y II de NIS2 listan los sectores de alta criticidad y los sectores importantes. Si tu cliente opera en energía, transporte, salud, infraestructura digital, banca, agua o administración pública, casi con certeza es una entidad NIS2. Si opera en gestión de residuos, productos químicos, alimentación o servicios postales, probablemente sea una entidad importante. El tamaño también importa: en general, solo aplica a empresas medianas y grandes (más de 50 empleados y 10M€ de facturación), aunque hay excepciones para infraestructuras críticas independientemente del tamaño. En caso de duda, puedes preguntarle directamente a tu cliente en qué categoría se clasifica, lo que además abre una conversación comercial relevante sobre cómo puedes ayudarle con sus requisitos de gestión de proveedores.
Las cláusulas que los clientes NIS2 incorporan habitualmente en sus contratos con proveedores TIC y de servicios digitales son: obligación de notificar incidentes de seguridad que afecten a los servicios prestados en un plazo concreto (generalmente 24-72 horas desde la detección), derecho del cliente a realizar o encargar auditorías de seguridad al proveedor, restricciones o requisitos para la subcontratación (el proveedor debe informar de subproveedores críticos y asumir responsabilidad por su seguridad), obligación de mantener vigente la certificación ISO 27001 o equivalente durante la vigencia del contrato, y protocolos de cooperación en caso de incidente que afecte al cliente. Incluir estas cláusulas proactivamente en los borradores de contrato que envía el proveedor acelera la negociación y es una señal de madurez que los compradores NIS2 valoran.
Depende del punto de partida. Una empresa que ya tiene políticas de seguridad documentadas, procesos básicos de gestión de incidentes y un test de penetración reciente puede tener un paquete de evidencias aceptable para la mayoría de due diligence en 4-8 semanas, fundamentalmente documentando y estructurando lo que ya tiene. Una empresa que parte desde cero necesita entre 3 y 6 meses para construir un programa mínimo creíble: evaluación de riesgos, políticas aprobadas por dirección, plan de continuidad, test de penetración y respuestas a cuestionarios estándar. La certificación ISO 27001 completa lleva habitualmente entre 6 y 18 meses según la complejidad de la organización, aunque es posible tener un programa en línea con NIS2 sin haber completado la certificación formal.
