La Directiva NIS2 (Network and Information Security Directive 2) es una normativa europea de ciberseguridad que busca fortalecer la seguridad de las redes y sistemas de información en la Unión Europea desde una doble perspectiva:

a) La resiliencia, entendida como la continuidad de la actividad.
b) La minimización de riesgos en ciberseguridad.

Uno de los grandes dilemas para las empresas es saber si están o no obligadas a cumplir con esta norma, que contempla obligaciones técnicas y jurídicas relevantes. La pregunta es más fácil de resolver de lo que parece.

El anteproyecto de ley dispone que las medidas de seguridad deberán contemplar “la seguridad de la cadena de suministro, que deberá incluir los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos”.

Pues bien, en un sentido, los proveedores son todas aquellas compañías cuya intervención sea necesaria para que la entidad obligada por la NIS2 pueda continuar su actividad. Si mi empresa se dedica a elaborar cacao en polvo, es proveedor directo quien me suministra el azúcar y, a su vez, la empresa logística que proporciona la materia prima a mi proveedor de azúcar. Por tanto, estamos ante un cumplimiento en cadena que acabará por extenderse a múltiples actores.

Por otro lado, los prestadores de servicios directos son aquellos cuya intervención tecnológica es imprescindible para la gestión de la seguridad de la información, incluyendo a cualquiera que participe en la gestión, almacenamiento, interconexión, etc.

Así que conviene ir preparando el listado de nuestros proveedores y prestadores en materia de seguridad de la información, porque en breve deberemos formalizar nuevos contratos y asumir nuevas obligaciones con ellos.

Suscríbete a nuestra newsletter sobre NIS2

Suscríbete y recibe directamente en tu correo información práctica, actualizaciones legales, guías y consejos sobre cómo adaptarte a esta normativa europea de ciberseguridad.