NIS-2 cadena suministro: deberes del jefe de planta

La directiva NIS-2 ha convertido la cadena de suministro en asunto de la dirección. Los jefes de planta que hasta ahora dejaban la seguridad de proveedores en manos de compras asumen, desde 2024, un riesgo de responsabilidad personal. La obligación no es delegable. Quien deja entrar a un servicio técnico al recinto asume sus brechas de seguridad en el propio expediente de cumplimiento.

Este texto se dirige a jefes de planta de entidades esenciales e importantes según NIS-2. Indica cifras, plazos y pasos concretos. Promesas de marketing no las hay aquí.

NIS-2 cadena de suministro: qué exige el artículo 21

El artículo 21, apartado 2, letra d, de la directiva NIS-2 recoge la seguridad de la cadena de suministro como medida autónoma de gestión de riesgos. La obligación tiene el mismo rango que la gestión de parches, el control de accesos y el tratamiento de incidentes.

El ámbito de aplicación es más amplio de lo que se suele asumir. Incluye proveedores directos, prestadores de servicios con acceso físico al recinto y suministradores de componentes relevantes para la seguridad. Un servicio de limpieza con llave maestra entra. Una empresa de transporte con entrada diaria por puerta entra. Una firma de mantenimiento informático con acceso remoto entra.

La obligación no es delegable. El operador responde, incluso si el proveedor falla. El BSI es la autoridad supervisora competente y revisa la evidencia. La gestión de riesgos debe estar documentada, revisarse anualmente y ser demostrable ante el BSI. Muestreos no bastan. Hace falta un registro permanente.

El control físico de accesos en el perímetro de planta forma parte del aseguramiento de la cadena de suministro. Quien entiende NIS-2 solo como tema de TI omite la mitad del catálogo de obligaciones. Puertas, rampas de carga y esclusas de mantenimiento son los vectores subestimados.

Siguiente paso: leer el resumen de cumplimiento NIS-2 antes de crear el registro de proveedores.

Qué proveedores caen bajo la obligación NIS-2

La pregunta no es quién es contraparte contractual. La pregunta es quién tiene acceso físico o digital.

Las empresas de mantenimiento con acceso por llave o tarjeta al recinto están incluidas. Esto vale para técnicos de ascensores igual que para el servicio de climatización. Las empresas de transporte con entradas regulares por puerta cuentan como interfaz de riesgo, sobre todo en entregas nocturnas sin acompañamiento del Wachschutz.

Los servicios de limpieza en turno de noche sin acompañamiento son puntos de contacto sujetos a documentación. Tienen acceso a oficinas, servidores y naves de producción, a menudo entre las 22 y las 6 horas. Los prestadores de TI con acceso remoto o mantenimiento in situ entran en el registro de cadena de suministro, aun cuando el contrato se gestione desde la TI del grupo.

Los subcontratistas de proveedores deben quedar equiparados contractualmente. De lo contrario surge una brecha de control. Si la empresa de limpieza incorpora a corto plazo personal de un subcontratista, la obligación sigue siendo del jefe de planta. Cláusulas contractuales sobre transmisión de los requisitos de seguridad no son opcionales aquí.

Siguiente paso: solicitar la lista de proveedores al departamento de compras y filtrar por tipo de acceso.

Evaluación de riesgos en cadena de suministro: siete pasos operativos

Paso 1: elaborar lista completa de todos los proveedores con acceso físico o digital. La lista comprende típicamente entre 80 y 200 entradas por planta.

Paso 2: clasificación por criticidad. Tres dimensiones: relevancia para paro de producción, acceso a datos, alcance de acceso físico. Una matriz 3x3 basta.

Paso 3: incorporar cláusulas contractuales sobre estándares de seguridad, derecho de auditoría y obligaciones de notificación. En contratos vigentes mediante anexo, en nuevos contratos directamente en el cuerpo.

Paso 4: asegurar técnicamente los puntos físicos de entrega (puertas, rampas, esclusas de mantenimiento). Aquí confluyen contrato y realidad. Sin documentación íntegra en la entrega, la cláusula contractual no vale nada.

Paso 5: integrar las notificaciones de incidentes procedentes de la cadena de suministro en el propio reporte al BSI. El plazo de 24 horas según NIS-2 empieza con el conocimiento del operador, no del proveedor (directiva NIS-2 art. 23).

Paso 6: auditoría anual al menos del 20 por ciento más crítico de los proveedores. Visita in situ, no cuestionario.

Paso 7: trasladar los resultados al registro de riesgos y presentarlos por escrito a la dirección. La presentación forma parte de la exoneración de responsabilidad.

Siguiente paso: Checklist KRITIS-Dachgesetz 2026 para el cruce con la obligación de resiliencia física.

Control físico: dónde convergen cadena de suministro y protección de perímetro

Más del 60 por ciento de los incidentes de seguridad asociados a proveedores se originan en puertas, rampas y accesos de mantenimiento. La cadena de suministro de TI está bien documentada; la cadena de suministro física suele funcionar sin asegurar. Esa es la brecha que los auditores NIS-2 abren primero.

Un Wachschutz clásico para un Posten 24/7 cuesta entre 15.000 y 25.000 euros al mes. Los datos sectoriales del BDSW confirman alta rotación de personal y presión salarial conforme al Manteltarifvertrag. Las rondas entre las 22 y las 6 horas son el turno más caro y la situación documental más débil.

La patrulla autónoma con QR-2 documenta cada movimiento de proveedor con marca de tiempo e imagen térmica. La cuota mensual está en 3.500 euros en el modelo Robotics-as-a-Service. QR-2 entrega audit trails sin lagunas, rutas reproducibles y escalado inmediato ante anomalías. Recepción, escalado de conflictos con personas y servicio de cierre siguen en manos humanas.

Audit trails sin lagunas son decisivos en auditorías NIS-2, no muestras puntuales. Un auditor del BSI pregunta por la documentación de los últimos doce meses. Si el Wachschutz manual olvidó dos de cada diez rondas, falta el 20 por ciento de las evidencias.

Siguiente paso: cotejar el comparativo TCO de Wachschutz con la propia cuenta de costes.

Cláusulas contractuales que deben estar en cada contrato con proveedor

Seis cláusulas no son negociables. Sin ellas, el contrato no es conforme a NIS-2.

Primera: obligación de notificar incidentes de seguridad al operador en un plazo de 24 horas. El plazo es estrecho porque el operador tiene a su vez 24 horas frente al BSI.

Segunda: derecho de auditoría sin aviso previo en caso de sospecha fundada. Las auditorías anunciadas son políticamente más fáciles, pero rara vez descubren brechas reales.

Tercera: obligación de transmitir los requisitos de seguridad a subcontratistas. Por escrito, con evidencia. Sin esta cláusula, el operador responde por cada subcontratista que no conoce.

Cuarta: prueba de un sistema propio de gestión de seguridad de la información. ISO 27001 o equivalente. Para proveedores pequeños, una autodeclaración con checklist es aceptable, siempre que se actualice anualmente.

Quinta: obligación de devolución de todos los medios de acceso en un plazo de 48 horas tras finalizar el contrato. Llaves, tarjetas, accesos VPN, herramientas. La mayoría de brechas surge por medios de acceso no devueltos de antiguos prestadores.

Sexta: cláusula de responsabilidad por daños derivados de incumplimientos de seguridad, con independencia del grado de culpa. La responsabilidad estándar del BGB no basta, ya que presupone culpa.

Siguiente paso: revisar los contratos vigentes de los cinco proveedores más críticos contra esta lista.

Sanciones, responsabilidad del consejo y responsabilidad personal

Los marcos sancionadores son considerables. Las entidades esenciales se exponen a hasta 10 millones de euros o el 2 por ciento de la facturación del grupo, lo que sea mayor (directiva NIS-2 art. 34). Las entidades importantes se exponen a hasta 7 millones de euros o el 1,4 por ciento. Los umbrales y la asignación sectorial resultan de la KritisV.

La dirección responde personalmente por la implementación de la gestión de riesgos (directiva NIS-2 art. 20). Esto es nuevo frente al ITSiG. El consejo no puede ampararse en el CISO o en el jefe de planta.

Un seguro D&O a menudo no cubre la culpa grave en omisiones documentadas. Si falta el registro de proveedores y un incidente deriva de ello, la aseguradora rechaza con regularidad. La póliza protege frente a errores, no frente a omisiones.

La prueba de un control funcional de la cadena de suministro exonera a la dirección en caso de auditoría. Quien lleva el registro, audita anualmente y documenta incidentes, dispone de un expediente sólido. Quien no lo tiene, en la duda no tiene argumento.

El proyecto de KRITIS-Dachgesetz endurece la obligación de resiliencia física en complemento a NIS-2. Ambos cuerpos normativos actúan de forma acumulativa.

Siguiente paso: responsabilidad del consejo bajo NIS-2 para la presentación ante la dirección.

Aseguramiento de la cadena de suministro NIS-2: plan de implementación a 14 semanas

Semanas 1 a 3: inventario de todos los proveedores con clasificación de riesgo. Fuente de datos: lista de acreedores de compras, contratos de TI y subcontratistas del Wachschutz.

Semanas 4 a 6: ajustes contractuales con el 20 por ciento más crítico de socios. Seis cláusulas, un anexo por contrato. Realistas son de diez a quince contratos por planta en esta fase.

Semanas 7 a 9: reequipamiento técnico de las interfaces físicas. Puertas con cámara y marca de tiempo, rampas con iluminación y patrulla, esclusas de mantenimiento con principio de cuatro ojos a partir de las 22 horas.

Semanas 10 a 11: integración en el sistema interno de notificación de incidentes. La portería debe saber qué incidentes van, en qué plazo, a quién.

Semanas 12 a 14: primera ronda de auditoría interna y documentación para el BSI. Dos auditorías por semana son factibles. La documentación corre en paralelo.

En paralelo: formación de la portería y de la jefatura del Wachschutz sobre la nueva obligación documental. Dos horas por turno bastan, siempre que exista una checklist.

Siguiente paso: evaluar QR-2 para perímetro exterior 24/7 como bloque para las semanas 7 a 9.

Medidas inmediatas para jefes de planta: los próximos 30 días

Cinco tareas. Ninguna requiere más de medio día de trabajo.

Primera: solicitar la lista de proveedores al departamento de compras y filtrar por acceso físico. Una exportación a Excel basta. La lista es la base de todo lo demás.

Segunda: cotejar los cinco proveedores más críticos con el estado contractual actual. ¿Qué cláusulas faltan? ¿Qué contratos vencen y pueden ajustarse en la renovación?

Tercera: contrastar el concepto de protección de perímetro con el riesgo de proveedores. ¿Dónde surgen lagunas a partir de las 22 horas? ¿Dónde entra un proveedor sin acompañamiento a una zona crítica? Una inspección con el jefe del Wachschutz lo muestra en dos horas.

Cuarta: acordar una conversación piloto sobre patrulla autónoma para las zonas de entrega. Un piloto a tres meses cuesta menos que un puesto adicional de vigilancia y entrega la documentación que NIS-2 exige.

Quinta: informar por escrito a la dirección sobre el estado de la obligación NIS-2 en cadena de suministro. Una página basta. La información escrita forma parte de la exoneración en caso de responsabilidad.

Quien complete estos cinco pasos en 30 días, ha entendido el catálogo de obligaciones y ha iniciado la evidencia. Quien espera, arriesga una brecha que ninguna auditoría del BSI cierra de forma retroactiva.

Para la implementación concreta en las interfaces físicas: solicitar piloto QR-2 para interfaces NIS-2. Entregamos el audit trail que puede presentar al BSI.