NIS2 i Cadena de Subministrament: Riscos de Tercers i Obligacions 2026
En virtut de l'article 21(2)(d) de la Directiva NIS2 (2022/2555/UE), les entitats essencials i importants han d'implementar mesures de seguretat de la cadena de subministrament que abordin els riscos plantejats pels proveïdors de TIC, proveïdors de serveis i subcontractistes. Aquesta obligació s'aplica a tots els estats membres de la UE des de l'octubre de 2024 i comporta sancions de fins a 10 milions d'euros o el 2% de la facturació global anual per a les entitats essencials que incompleixin. Aquesta guia explica el que les organitzacions catalanes i espanyoles han de fer per complir l'article 21(2)(d) en el marc del RDL 3/2025.
Seguretat de la cadena de subministrament (NIS2): el conjunt de mesures de gestió de riscos que una entitat ha d'aplicar als seus proveïdors directes i proveïdors de serveis, incloent requisits contractuals, avaluacions de seguretat i seguiment de la postura de seguretat dels proveïdors de TIC i proveïdors de serveis gestionats. Definida dins del marc de gestió de riscos de l'article 21 en general, abasta controls tant tècnics com organitzatius aplicats a la frontera entre l'entitat i les seves dependències externes de TIC.
Estadística clau
62%
dels incidents cibernètics significatius en infraestructures crítiques de la UE l'any 2024 van originar-se en compromisos de la cadena de subministrament o van ser facilitats per ells.
Font: ENISA Threat Landscape 2025
Quines organitzacions han de complir els requisits de cadena de subministrament de NIS2?
NIS2 estableix una distinció fonamental entre entitats essencials i entitats importants, ambdues subjectes a obligacions de seguretat de la cadena de subministrament — si bé amb intensitats de supervisió diferents.
Les entitats essencials operen en sectors considerats crítics per a la funció social i econòmica: energia, transport, banca i infraestructura dels mercats financers, sanitat, aigua potable i aigues residuals, infraestructura digital (incloent proveïdors de DNS, registres TLD, operadors de núvol i centres de dades, proveïdors de CDN i IXPs), gestió de serveis TIC (B2B), i administració pública a nivell de govern central. Aquestes entitats s'enfronten a supervisió ex ante i al règim de sancions més elevat.
Les entitats importants inclouen serveis postals i de missatgeria, gestió de residus, fabricació de productes crítics (productes químics, dispositius mèdics, aliments, electrònica), proveïdors digitals (mercats en línia, motors de cerca, xarxes socials) i fabricació en general. Estan subjectes a supervisió ex post però amb les mateixes obligacions tècniques.
| Categoria | Exemples | Obligació de cadena de subministrament |
|---|---|---|
| Entitat essencial | Energia, hospitals, bancs, proveïdors de DNS | Art. 21(2)(d) — abast complet, auditoria proactiva |
| Entitat important | Fabricants d'aliments, mercats en línia, serveis postals | Art. 21(2)(d) — mateixos requisits, supervisió ex post |
| Fora de l'àmbit | Microempreses (<10 treballadors, <2 M€) | Exemptes llevat que siguin de sectors sense exempció per mida |
Que exigeix l'article 21 per a la seguretat de la cadena de subministrament?
L'article 21(2)(d) estableix que les entitats han d'adoptar mesures de gestió de riscos que abordin la seguretat de la cadena de subministrament, incloent els aspectes relacionats amb la seguretat respecte a les relacions entre cada entitat i els seus proveïdors directes o proveïdors de serveis. Aquesta disposició aparentment curta té un pes operatiu substancial.
Avaluacions de riscos per a proveïdors de TIC: les entitats han d'identificar quins proveïdors proveeixen serveis, sistemes o productes de TIC que siguin materials per a la prestació dels seus serveis regulats per NIS2. Cada proveïdor d'aquest tipus ha de ser avaluat pel risc inherent (criticitat i impacte potencial) i el risc residual (la maduresa de seguretat pròpia del proveïdor). Les directrius d'implementació de l'ENISA del 2024 recomanen l'ús d'avaluacions basades en qüestionaris alineats amb ISO/IEC 27036 o equivalent.
Clàusules de seguretat contractuals: les relacions amb proveïdors de TIC materials han d'estar regides per contractes que incloguin obligacions de seguretat específiques. Aquestes no són merament aspiracionals — han de ser executables i verificables. La Directiva NIS2 no especifica una llista de clàusules obligatòria (a diferència de l'article 30 del DORA per a entitats financeres), però les directrius de l'ENISA identifiquen la notificació d'incidents, els drets d'auditoria, els estàndards de seguretat i els controls de subprocessadors com a expectatives mínimes.
Seguiment de vulnerabilitats en el programari del proveïdor: les entitats han de rastrejar activament les vulnerabilitats explotades als productes i serveis lliurats pels seus proveïdors de TIC clau. L'ENISA opera una Base de Dades Europea de Vulnerabilitats (EUVD) — el successor NIS2 dels avisos existents de l'ENISA — que les entitats han de monitoritzar per a les revelacions que afectin la seva cadena de subministrament.
Com implementar la seguretat de la cadena de subministrament de NIS2: cinc passos
La seqüència següent reflecteix el camí d'implementació recomanat per l'ENISA, adaptat per a entitats que comencen el seu programa de compliment de la cadena de subministrament NIS2 des d'una línia base de contractes comercials estàndards.
Mapejar la teva cadena de subministrament de TIC
Compilar un registre complet de tots els proveïdors directes de TIC — maquinari, programari i proveïdors de serveis. Incloure proveïdors de serveis gestionats, plataformes de núvol, aplicacions SaaS i qualsevol subcontractista amb accés als teus sistemes o dades. Registrar els serveis prestats, les dates de renovació del contracte i els sistemes interns que suporta cada proveïdor.
Valorar el risc de cada proveïdor (criticitat × dependència)
Puntuar cada proveïdor en dos eixos: la criticitat del servei per a les teves operacions regulades per NIS2, i el teu grau de dependència (incloent la disponibilitat d'alternatives). Els proveïdors d'alta criticitat i alta dependència formen el nivell prioritari per a accions contractuals i d'avaluació. Els proveïdors de Nivell 1 — aquells la fallada dels quals deterioraria directament el teu servei regulat — mereixen l'escrutini més intens.
Inserir clàusules de seguretat NIS2 als contractes nous i renovats
Cada renovació de contracte o nova adquisició és una oportunitat per incorporar clàusules de seguretat conformes. Per als proveïdors de Nivell 1, no esperis la renovació — negocia esmenes ara. Com a mínim, inclou: obligacions de notificació d'incidents (en 24 hores d'un incident significatiu), drets d'auditoria, certificacions de seguretat requerides, divulgació de subprocessadors i termes de processament de dades.
Avaluar els proveïdors d'alt risc anualment
Els proveïdors de Nivell 1 han de ser avaluats almenys anualment amb un qüestionari estructurat que cobreixi controls d'accés, gestió de pedaços, capacitat de resposta a incidents, supervisió de subcontractistes i certificacions pertinents (ISO 27001, SOC 2 Tipus II o equivalent). Documenta totes les avaluacions — les autoritats supervisores poden sol·licitar evidència del cicle d'avaluació.
Monitoritzar les revelacions de vulnerabilitats de l'ENISA per als productes clau
Subscriure't a la Base de Dades Europea de Vulnerabilitats de l'ENISA i configurar alertes per a CVEs que afectin el programari i el microprogramari subministrats pels teus proveïdors de Nivell 1. Estableix un SLA intern per al desplegament de pedaços després de la revelació — l'ENISA recomana pedaços crítics en 72 hores per a sistemes orientats a Internet. Registrar els terminis de remediació com a evidència del seguiment continuat.
Quins son els requisits contractuals mínims per als proveïdors de TIC en virtut de NIS2?
Malgrat que NIS2 no publica una llista de clàusules estatutària equivalent a l'article 30 del DORA, les directrius d'implementació NIS2 de l'ENISA (2024) i els considerants subjacents deixen clar que els contractes amb proveïdors de TIC materials han d'abordar cinc categories de disposicions:
- Obligacions de notificació d'incidents: els proveïdors han de notificar a l'entitat qualsevol incident de seguretat que afecti el servei contractat, amb una finestra màxima recomanada de 24 hores per a incidents significatius. Això alimenta el propi termini de notificació NIS2 de l'entitat en virtut de l'article 23.
- Dret d'auditoria: l'entitat ha de conservar el dret contractual de realitzar o encarregar auditories de seguretat del proveïdor, amb avís raonable. Acceptar un informe d'auditoria de tercers (organisme de certificació ISO 27001, auditor SOC 2) en lloc d'una auditoria directa és permissible quan s'acordi.
- Compliment dels estàndards de seguretat: els proveïdors han de mantenir un estàndard de seguretat equivalent o superior a les pròpies obligacions NIS2 de l'entitat — la certificació ISO 27001 o equivalent és el referent del mercat.
- Addenda de processament de dades: on el proveïdor processa dades personals en nom de l'entitat, cal un acord de processament de dades conforme al RGPD en paral·lel.
- Controls de subprocessadors: el proveïdor ha de revelar els seus propis subcontractistes de TIC que siguin materials per al servei contractat, i ha d'obtenir el consentiment de l'entitat (o proporcionar avís previ amb drets d'exclusió) abans d'implicar nous subprocessadors.
| Disposició | Contracte comercial típic | Contracte conforme a NIS2 |
|---|---|---|
| Notificació d'incidents | Cap, o "notificar en temps raonable" | Notificació obligatòria en 24h d'un incident significatiu |
| Drets d'auditoria | Absents o limitats a auditories financeres | Dret explícit d'auditoria de seguretat o revisió de certificació de tercers |
| Estàndards de seguretat | "Estàndard de la indústria" — indefinit | Certificació ISO 27001 o equivalent requerida explícitament |
| Revelació de subprocessadors | Cap requisit | Revelació completa + consentiment/avís previ als canvis |
| Gestió de vulnerabilitats | Absent | El proveïdor ha de corregir els CVEs crítics dins el SLA acordat; revelar SBOM a petició |
| Rescissió per fallada de seguretat | Només disposicions d'incompliment estàndard | Dret a rescindir si el proveïdor no remedia la deficiència de seguretat material en 30 dies |
IGERAREGTECH EN PRÀCTICA: IgeraRegTech mapeja el teu inventari de proveïdors de TIC contra les obligacions de l'article 21 i genera un informe de bretxes en minuts — no en setmanes d'anàlisi manual. El nostre mòdul de cadena de subministrament NIS2 inclou plantilles de qüestionari per a proveïdors alineades amb ISO 27036, seguiment de la base de dades de vulnerabilitats de l'ENISA i generació automàtica de clàusules contractuals conformes. Explora IgeraRegTech
Preguntes freqüents
La seguretat de la cadena de subministrament de NIS2 s'aplica als proveïdors de fora de la UE?
Sí. L'article 21(2)(d) no fa cap distinció basada en la ubicació geogràfica del proveïdor. Un proveïdor de núvol dels EUA, de l'Índia o d'Israel que lliura serveis de TIC materials a les teves operacions regulades per NIS2 és un proveïdor en l'àmbit. Has d'imposar-li les mateixes obligacions contractuals que a un proveïdor de la UE. On un proveïdor no comunitari es nega a acceptar clàusules conformes a NIS2, aquesta refusada en si mateixa constitueix un factor de risc que s'ha de registrar i escalar.
Quina sanció s'aplica per incompliment de les obligacions de cadena de subministrament de NIS2?
Per a les entitats essencials, les autoritats nacionals competents poden imposar multes administratives de fins a 10 milions d'euros o el 2% de la facturació global anual total, el que sigui superior. Per a les entitats importants, el màxim és 7 milions d'euros o l'1,4% de la facturació global anual. Aquestes sancions s'apliquen a les obligacions generals de NIS2 en virtut de l'article 21 — la seguretat de la cadena de subministrament és un component. Diversos estats membres (incloent Alemanya i els Països Baixos) han publicat directrius d'execució que suggereixen que les fallades de la cadena de subministrament seran tractades com a incompliments significatius.
Hem d'auditar tots els proveïdors o només els crítics?
L'article 21 requereix un enfocament proporcional — les mesures de gestió de riscos han de ser "adequades i proporcionals" als riscos plantejats. Això significa que un model per nivells no és només permissible sinó esperat. Els proveïdors que presten serveis no crítics sense accés als teus sistemes o dades principals es poden gestionar mitjançant autoavaluació. Els proveïdors de Nivell 1 — aquells crítics per a la teva prestació de serveis regulats — han d'estar subjectes a avaluacions estructurades anuals i, quan estigui justificat, auditories directes. Documenta la justificació de la teva estratificació, ja que les autoritats supervisores poden revisar-la.
Com es relaciona la cadena de subministrament de NIS2 amb els requisits de cadena de subministrament del DORA?
Hi ha un solapament significatiu per a les entitats financeres subjectes a tots dos règims. L'article 28 del DORA estableix obligacions de gestió del risc de tercers de TIC, i l'article 30 especifica clàusules contractuals obligatòries — tots dos repliquen substancialment i en alguns aspectes superen els requisits de cadena de subministrament de NIS2. El DORA és la lex specialis per a les entitats financeres: on una entitat financera està subjecta al DORA, les seves obligacions de gestió del risc de tercers de TIC del DORA es consideren que satisfan els requisits equivalents de NIS2 (article 4 NIS2). Tanmateix, les entitats han de verificar-ho amb la seva autoritat nacional competent.
Quin és un "incident significatiu" en virtut de NIS2 per a propòsits de cadena de subministrament?
L'article 23(3) defineix els incidents significatius com aquells que causen interrupció operativa greu, pèrdua financera, o que afecten altres persones físiques o jurídiques. Els incidents de la cadena de subministrament són significatius si el compromís d'un proveïdor causa o probablement causarà interrupció del servei a les teves operacions regulades per NIS2, una violació de dades, o impacte transfronterer. L'ENISA ha publicat llindars específics per sector — per exemple, les entitats d'energia poden activar la significació en interrupcions que afecten percentatges definits de la capacitat de subministrament. El llindar pràctic per als incidents de la cadena de subministrament és si la fallada del proveïdor activaria la teva pròpia obligació de notificació de l'article 23.
Mòdul de Cadena de Subministrament NIS2 d'IgeraRegTech
Fes qualsevol pregunta sobre la cadena de subministrament NIS2. Rep l'article exacte, la referència de les directrius de l'ENISA i una acció contractual concreta — citada, verificable i llesta per compartir amb el teu equip legal. Actualitzat automàticament quan canvia el text regulatori.
Prova IgeraRegTechDarrera actualització: juliol de 2026 | Revisat per: Equip de Compliment d'IgeraSolutions | Fonts: Directiva NIS2 2022/2555/UE (art. 21, 23, 32), Directrius d'Implementació NIS2 de l'ENISA 2024, ENISA Threat Landscape 2025, RDL 3/2025 Espanya | IgeraRegTech — plataforma de compliment regulatori de la UE amb IA.