Proveedores NIS-2: programa de auditoría 2026 para operadores

Quien opere como entidad esencial o importante bajo NIS-2 audita a sus proveedores desde 2026 según reglas fijas. Este artículo entrega el programa de auditoría: ámbito de aplicación, clases de riesgo, cláusulas contractuales, desarrollo del audit y documentación. Una visión general se encuentra en Cumplimiento NIS-2 en resumen.

Proveedores NIS-2: qué exige el art. 21 ap. 2 lit. d en concreto

El artículo 21 apartado 2 letra d de la Directiva NIS-2 nombra la seguridad de la cadena de suministro como medida mínima autónoma. Está al mismo nivel que el análisis de riesgos, la gestión de incidentes y el control de acceso. No es un anexo, es obligación principal.

Quedan incluidos todos los proveedores y prestadores de servicios con acceso a los sistemas de red e información del operador. Acceso no significa solo login de administrador. También un técnico de mantenimiento con USB en el PC de ingeniería entra. También un servicio de Wachschutz con master-token en la sala de servidores.

El ámbito de aplicación abarca prestadores de servicios TI, empresas de mantenimiento, proveedores cloud y servicios físicos de seguridad. La separación entre cíber y físico se pierde en este punto. Un sistema de cierre con conexión cloud es ambas cosas.

Es obligatoria la evaluación de la calidad global de las prácticas de seguridad de cada proveedor. El texto exige una valoración completa de todas las prácticas de seguridad, no solo una revisión de certificados. Las vulnerabilidades específicas de cada proveedor deben integrarse en la gestión de riesgos del operador. El Ministerio Federal del Interior sitúa la gestión de proveedores y el riesgo de terceros como pieza central de la implementación NIS-2.

Qué proveedores entran en el alcance de auditoría

Los proveedores directos de TI entran en todo caso. Proveedores de software, Managed Service Providers, hosting cloud y herramientas SaaS con acceso a datos. También si el contrato es anterior a NIS-2.

Los proveedores OT se olvidan a menudo en la práctica. Fabricantes de PLC, empresas de mantenimiento de plantas de producción, proveedores de soluciones de acceso remoto. Un túnel de telemantenimiento de Siemens, ABB o un integrador de plantas es un canal de proveedor con acceso completo.

La seguridad física también entra en el alcance. Servicios de Wachschutz, sistemas de cierre, gestión de vídeo, proveedores de protección perimetral. En cuanto estos proveedores portan un manojo de llaves o introducen cámaras en la red del operador, son proveedores en el sentido de la Directiva.

Los socios críticos de suministro cierran la lista: electricidad, refrigeración, telecomunicaciones, energía de emergencia. Aquí cuenta la disponibilidad, no el acceso a datos. La KritisV define los umbrales a partir de los cuales los operadores quedan obligados a la auditoría estructurada de proveedores.

Los subproveedores de los socios Tier-1 forman parte del alcance, siempre que exista flujo de datos o acceso a sistemas. Un subcontratista de un servicio de Wachschutz que patrulla solo de noche en el edificio es, de hecho, un riesgo Tier-1.

Clasificación de riesgo: qué profundidad de auditoría para cada proveedor

Cuatro clases bastan en la práctica. Más diferenciación cuesta esfuerzo sin utilidad.

Clase A incluye proveedores con acceso completo a sistemas productivos o datos personales. Ejemplos: el MSP que opera el SIEM. El proveedor cloud que aloja la base de datos SAP-HANA. El servicio de Wachschutz que custodia la llave del centro de datos. Esta clase recibe un audit anual presencial.

Clase B incluye proveedores con acceso limitado a sistemas o ventanas definidas de mantenimiento. Ejemplos: el técnico de mantenimiento de PLC que actualiza una planta dos veces al año durante cuatro horas. El proveedor de analítica de vídeo que solo accede a un stream segmentado. Aquí basta un self-assessment más muestreos.

Clase C incluye proveedores sin contacto con sistemas pero con acceso físico al emplazamiento. Ejemplos: empresa de limpieza en oficinas, operador de cantina, prestador de servicio postal. Estos aportan un certificado ISO 27001 o prueba equivalente. Para microservicios basta un compromiso contractual con derecho de muestreo.

Clase D abarca suministros puramente materiales sin acceso. Tornillos, embalaje, material de oficina. Un cuestionario básico de diez puntos es suficiente.

La clasificación debe documentarse y revisarse al menos anualmente. Si un proveedor pasa de suministro de material a servicio de mantenimiento, cambia de clase. El registro de proveedores es un documento vivo.

Cláusulas contractuales para contratos de proveedores desde 2026

Cinco cláusulas pertenecen a todo contrato de proveedor de clase A o B.

Primera: obligación de notificación del proveedor al contratante en caso de incidente de seguridad dentro de 24 horas. Este plazo es más estrecho que la notificación RGPD de 72 horas. Se deriva de que el propio operador debe emitir una alerta temprana al BSI dentro de 24 horas (art. 23 ap. 1 Directiva NIS-2).

Segunda: derecho de auditoría del contratante o de un tercero encargado sin previo aviso en caso de sospecha. Los audits planificados se ejecutan con preaviso, los motivados no. Esta cláusula es incómoda en la negociación y la más importante en caso de emergencia.

Tercera: cláusula de subcontratación con autorización por escrito antes del empleo de subproveedores con acceso a sistemas. Sin esta cláusula desaparece el control a partir de Tier 2.

Cuarta: obligación de prueba de medidas técnicas y organizativas según art. 21 NIS-2, actualizada anualmente. Una prueba única al firmar el contrato no basta.

Quinta: derecho de rescisión ante incumplimientos reiterados sin obligación de indemnización por parte del contratante. Sin esta cláusula el operador paga doble: primero la sanción de la autoridad supervisora, después la pena contractual del proveedor deficiente.

Pruebas que el proveedor debe aportar

Un certificado ISO 27001 es la moneda base. Adquiere valor por el Statement of Applicability, que revela los controles excluidos. Un certificado que excluye los controles A.5.19 a A.5.23 (relaciones con proveedores) es inútil a efectos NIS-2.

Por sector se añaden pruebas adicionales. Etiqueta TISAX para proveedores del automóvil. Atestación BSI C5 para proveedores cloud. Auditoría KRITIS según § 8a BSIG para operadores de infraestructuras críticas que a su vez actúan como proveedor.

Un proceso de Incident Response operativo debe demostrarse mediante ejercicios documentados. Un protocolo de tabletop de los últimos doce meses basta. Un playbook vacío sin prueba de ejercicio, no.

La declaración sobre el uso de componentes críticos de terceros países conforme al § 9b BSIG es obligatoria para proveedores que monten tales componentes. Quien suministra routers Huawei lo declara por escrito.

Los penetration tests actuales para sistemas accesibles externamente no deben tener más de doce meses. El informe en sí no debe entregarse, el resumen ejecutivo con estado de remediación sí.

Práctica de auditoría: cómo transcurre una auditoría en 2026

La preparación comienza con un cuestionario al proveedor de 60 a 90 preguntas. Cuatro semanas de antelación son adecuadas. Menos lleva a respuestas incompletas, más a procrastinación.

Sigue el audit remoto. Revisión de políticas, logs y certificados a través de un data room seguro. Dos auditores, medio día o un día. Aquí se decide si es necesaria una visita presencial.

El audit presencial es obligatorio para clase A. Dos auditores, uno a dos días. Muestreos técnicos (estado de parches, autorizaciones, logging) y muestreos organizativos (pruebas de formación, planes de emergencia, registros de llaves).

El informe de hallazgos contiene una clasificación de madurez en cuatro niveles y un plan de medidas concreto con plazos. Madurez 1 significa ad-hoc, madurez 4 optimizado. Proveedores por debajo de madurez 2 en clase A no son sostenibles.

La revisión posterior se realiza tras 90 días en caso de hallazgos críticos, en otro caso en el siguiente audit anual. Críticos son los hallazgos que permitirían directamente una fuga de datos o un fallo de sistema.

Prestadores físicos de seguridad como proveedores NIS-2

Servicios de Wachschutz con manojo de llaves y acceso a salas de servidores son proveedores de clase A. Esto se pasa por alto hasta hoy en muchos registros de proveedores. La razón: los servicios de Wachschutz se asignaron históricamente al Facility Management, no a la seguridad TI.

Los modelos clásicos de personal muestran una alta fluctuación según BDSW. Eso dificulta un background check fiable. Quien dota cada tres meses a personal nuevo con master-token audita de hecho cada trimestre una plantilla nueva. Esto apenas es manejable administrativamente.

La patrulla robótica reduce drásticamente el número de personas con acceso a sistemas relevantes para la auditoría. En vez de doce vigilantes rotativos por emplazamiento, tres técnicos fijos de Quarero gestionan el contrato de servicio. El background check de estas tres personas es auditable y estable.

Las unidades Quarero trabajan según un plan de patrulla documentado con audit log sin interrupciones. Cada movimiento, cada valor de sensor, cada escalada lleva sello de tiempo. Un auditor revisa muestras en una hora, no en un día. Detalles sobre la capa de servicio se encuentran en el modelo Robotics-as-a-Service y sobre el dispositivo de plataforma en QR-3 para perímetros KRITIS.

El almacenamiento de los flujos de sensores se realiza en centros de datos DACH, auditable contractualmente, sin transferencia a terceros países. Esto descarga al operador de las obligaciones del art. 28 RGPD y simplifica la auditoría de cadena de suministro NIS-2 por igual.

Un único contrato de servicio sustituye varias cadenas de subcontratación de los Wachschutz clásicos. Una comparación de la estructura de costes se encuentra en costes del Wachschutz comparados.

Documentación y responsabilidad del consejo

El registro de proveedores es el artefacto central. Contiene clasificación, fecha del último audit, medidas abiertas, fechas de finalización de contrato e interlocutores designados. Una estructura de tabla basta para operadores pequeños, las herramientas GRC se justifican a partir de 200 proveedores.

El informe trimestral a la dirección incluye los Top-20 proveedores por contribución al riesgo y la evolución del riesgo respecto al trimestre anterior. Cuatro páginas bastan. Más no se lee.

El consejo responde personalmente por la eficacia de la gestión de proveedores. La base es el borrador de la ley alemana de transposición. El borrador del KRITIS-Dachgesetz concreta las exigencias para el control físico y organizativo de proveedores. Las consecuencias para la dirección se detallan en Responsabilidad del consejo bajo NIS-2.

La formación demostrable de los equipos de compras y seguridad TI sobre los requisitos NIS-2 es obligatoria. Una vez al año, con lista de asistentes y control de aprendizaje. Una diapositiva obligatoria en el onboarding no basta.

La conservación de toda la documentación de audit es de al menos cinco años para las revisiones de la autoridad. Contratos, cuestionarios, informes de audit, planes de medidas y escaladas. El archivo estructurado es parte del cumplimiento, no un apéndice. La implementación operativa figura en la Checklist KRITIS-Dachgesetz 2026.

Quien quiera montar el programa de auditoría o reestructurar su Wachschutz como proveedor comienza con una conversación piloto con Marcus Köhnlein o directamente a través de la página de contacto para operadores KRITIS.