La gestión de la seguridad en la cadena de suministro es un elemento clave bajo NIS2

La reciente publicación del Anteproyecto de ley de coordinación y gobernanza de la ciberseguridad, que traspondrá la Directiva NIS2 en España, va a suponer un cambio relevante en la forma que las empresas gestionan los riesgos de ciberseguridad. Como en otras muchas regulaciones europeas que han visto la luz en los últimos años, se trata de un texto legal que genera una auténtica regulación jurídica, además, con un fuerte componente tecnológico. La única forma de afrontar este nuevo contexto normativo con garantías de éxito es combinar ambas aproximaciones, la legal y la tecnológica.

El aspecto más destacado del Anteproyecto es la amplitud de su ámbito de aplicación. A los sectores ya regulados en la Directiva NIS1, tales como el de la banca, telecomunicaciones o energía, se unen otros nuevos como el sanitario, alimentario, infraestructuras digitales o empresas de seguridad privada, entre otros muchos. En cuanto a la dimensión, todas las empresas incluidas en estos sectores de actividad, y que tengan más de 50 trabajadores y más de 10 millones de facturación, están potencialmente obligadas a seguir la norma, aunque no en igual medida.

Las estimaciones oficiales varían en cuanto al número de empresas incluidas en el ámbito de aplicación de la norma, oscilando entre las 5.000 y las 10.000. Entre las obligaciones que impone NIS2, se pueden citar como más destacadas la notificación a las autoridades de los ciber incidentes significativos, el despliegue de un conjunto de medidas técnicas que protejan a la organización y, sobre todo, el establecimiento de un modelo de gobernanza de la ciberseguridad dentro de la empresa.

Para garantizar el cumplimiento de la norma, se establece un sistema de sanciones que otorga más poder de supervisión a las autoridades responsables. Esto incluye medidas sancionadoras, como la suspensión temporal de directivos o representantes legales de las entidades esenciales. En los casos más graves, las multas pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual global. Para solventar los retos derivados de esta directiva, se debe poner en marcha un conjunto de políticas internas que preparen a la organización para gestionar los riesgos de ciberseguridad.

Entre estas medidas, es necesario repensar el rol del CISO (Chief Information Security Officer) dentro de la estructura corporativa. Hasta ahora, muchas empresas han considerado la ciberseguridad como una cuestión meramente técnica, delegada a equipos especializados sin una vinculación real con la toma de decisiones estratégicas. Sin embargo, la nueva normativa favorece que el CISO tenga una mayor interlocución con la Alta Dirección, facilitando la implementación de políticas de seguridad efectivas y alineadas con la estrategia global del negocio. Además, esta regulación otorga a los consejos de administración y a la Alta Dirección una responsabilidad directa en la gestión del riesgo digital, lo que implica que ya no puedan alegar desconocimiento en caso de incumplimiento o incidentes graves. Todo ello supone un cambio de paradigma: la ciberseguridad deja de ser un tema exclusivo del departamento de TI para convertirse en una prioridad de la agenda corporativa del CEO.

Por otro lado, las obligaciones derivadas del NIS2 determinan la necesidad de reforzar las capacidades de detección y respuesta ante incidentes, así como la implementación de herramientas eficaces para la notificación y compartición de inteligencia sobre amenazas. Además, la Directiva fomenta la cooperación entre sectores y actores clave, promoviendo la creación de ecosistemas de ciber inteligencia, en los que las empresas puedan intercambiar información sobre amenazas en tiempo real. Esto es especialmente crítico en un contexto en el que los ataques son cada vez más sofisticados y persisten durante meses antes de ser detectados. Las organizaciones ya no pueden limitarse a reaccionar ante los ciberataques, sino que deben anticiparse y fortalecer su capacidad de respuesta, adoptando un enfoque proactivo basado en la detección temprana y la resiliencia operativa.

Por último, la gestión de la seguridad en la cadena de suministro se convierte en un elemento clave bajo NIS2. Por ello, es aconsejable que las empresas refuercen sus controles sobre terceros. En un mundo hiperconectado, la ciberseguridad de una organización también depende de las prácticas de sus proveedores, socios y colaboradores. Esta norma ayudará a las empresas a desarrollar procedimientos de gestión de riesgo de terceros basados en un análisis de riesgo más continuo, reforzando los contratos de prestación de servicios e incluyendo requisitos de seguridad más claros y precisos.

De esta manera, las empresas pasarán de tener una confianza implícita en sus socios a contar con una verificación activa, reforzando los controles en toda la cadena de suministro. El crecimiento exponencial de los riesgos cibernéticos en los últimos años es una consecuencia directa del avance imparable de la digitalización. La ciberseguridad es un factor clave para garantizar que la transformación digital se desarrolle dentro del ecosistema empresarial sobre bases seguras.

En este contexto, la trasposición de la Directiva NIS2 representa una oportunidad única para que las empresas se fortalezcan frente a esta nueva realidad. Su cumplimiento debe entenderse como una herramienta de transformación que impulsa a las organizaciones en la dirección correcta, protegiéndolas no solo de amenazas tecnológicas, sino también de los riesgos operativos, legales y reputacionales asociados con la 'ciber inseguridad'. Aquellas compañías que sepan aprovechar esta directiva como una palanca de cambio no solo estarán mejor preparadas para hacer frente a un entorno digital cada vez más complejo, sino que también ganarán en competitividad, posicionándose como actores sólidos en un mercado que exige más seguridad, resiliencia y confianza.