La ciberseguridad ya no es un tema técnico ni una conversación limitada al área de IT. Se ha convertido en un factor crítico de negocio. Con la llegada de la directiva NIS2, además, pasa a ser una responsabilidad que trasciende los límites de la propia organización y alcanza de forma directa a toda su cadena de suministro.
España se encuentra en pleno proceso de transposición de esta normativa, que sustituye y amplía el alcance de la directiva NIS original. El cambio no es menor. NIS2 amplía de forma significativa el número de sectores afectados (energía, transporte, salud, financiero, industria, entre otros) y endurece las obligaciones tanto a nivel técnico como de gobierno corporativo.
Por primera vez, la responsabilidad en materia de ciberseguridad se eleva al nivel de la dirección. Los órganos de gestión no solo deben aprobar las medidas, sino supervisarlas activamente y responder en caso de incumplimiento. A esto se suma un régimen sancionador más estricto y la obligación de notificar incidentes relevantes en plazos mucho más exigentes.
Pero el punto que realmente cambia las reglas del juego es otro: la gestión del riesgo de la cadena de suministro deja de ser una buena práctica y pasa a ser una exigencia regulatoria.
El problema real no es la ciberseguridad, es la falta de visibilidad
El principal reto al que se enfrentan hoy las organizaciones no es la ausencia de herramientas, sino la falta de información fiable sobre su red de proveedores.
Aunque muchas empresas han avanzado en la evaluación de sus proveedores directos, la visibilidad se reduce drásticamente a partir del segundo nivel. De acuerdo a nuestra Encuesta de Riesgo y Sotenibilidad 2026: solo el 6% de las organizaciones tiene visibilidad más allá de Tier 1.
Esto implica que una parte relevante del riesgo (incluido el ciber) se gestiona sin una comprensión completa de la exposición real. En un contexto donde los ataques a la cadena de suministro se han convertido en uno de los vectores más utilizados, esta limitación deja de ser operativa y se convierte en estructural.
NIS2: más exigencia, pero sobre todo más responsabilidad
NIS2 no se limita a exigir controles técnicos. Introduce un marco de gestión del riesgo mucho más amplio, que obliga a las organizaciones a adoptar medidas proporcionales y basadas en el nivel de exposición.
Esto incluye la identificación de proveedores críticos, la evaluación de sus capacidades de ciberseguridad, la implementación de medidas de mitigación y la supervisión continua de posibles vulnerabilidades.
El cambio más relevante no está en lo que hay que hacer, sino en cómo hay que gestionarlo. La directiva exige continuidad, trazabilidad y evidencia. Ya no basta con realizar evaluaciones puntuales; es necesario demostrar que el riesgo se gestiona de forma activa a lo largo del tiempo.
Esto transforma la ciberseguridad en un proceso de gestión continuo, integrado en la operación y no limitado a revisiones periódicas.
El riesgo de tratar la ciberseguridad como un problema independiente
A pesar de este cambio regulatorio, muchas organizaciones siguen abordando la ciberseguridad como un ámbito aislado. El problema es que los riesgos no funcionan de forma independiente.
Un incidente de seguridad en un proveedor puede generar una interrupción operativa, derivar en incumplimientos normativos, afectar resultados financieros y erosionar la confianza del mercado. Tratar estos riesgos de forma separada dificulta su gestión y multiplica los puntos ciegos.
Los modelos más avanzados están evolucionando hacia enfoques integrados, donde el riesgo de proveedores (incluido el ciber) se gestiona bajo un mismo marco, con criterios homogéneos y datos validados. Este tipo de aproximación permite pasar de una gestión reactiva a una gestión basada en anticipación y evidencia.
Más que cumplimiento: continuidad y resiliencia del negocio
Interpretar NIS2 únicamente como una obligación normativa es quedarse corto. Su impacto real está en la continuidad del negocio.
Un incidente en la cadena de suministro puede paralizar operaciones, comprometer información sensible o generar pérdidas económicas relevantes. En sectores críticos, además, puede implicar la pérdida de contratos o la exclusión de determinados ecosistemas empresariales.
A esto se suma una tendencia clara: las grandes organizaciones están elevando sus estándares de exigencia hacia proveedores, trasladando requisitos regulatorios a toda la cadena. La presión ya no viene solo del regulador, sino también del mercado.
Anticiparse en un contexto de incertidumbre regulatoria
Aunque España aún no ha cerrado completamente la transposición de NIS2, la dirección es clara. Las organizaciones deberán demostrar un mayor nivel de control, especialmente en lo que respecta a la gestión de la cadena de suministro.
Esperar a que la normativa esté completamente definida para actuar implica asumir riesgos innecesarios. Adaptarse en el último momento suele traducirse en procesos improvisados, mayor coste y menor capacidad de respuesta.
Las organizaciones que ya están avanzando en este ámbito lo están haciendo con una lógica distinta: construir modelos de gestión de proveedores que no solo respondan a NIS2, sino que sean sostenibles en el tiempo y adaptables a nuevas exigencias regulatorias.
Conclusión
La ciberseguridad deja de ser un ejercicio interno y pasa a depender, en gran medida, de la capacidad de entender y gestionar a los proveedores.
Ya no es suficiente con saber qué ocurre dentro de la organización. El foco está en todo aquello que queda fuera de su control directo, pero que impacta igual, o más, en la operación.
En este escenario, contar con información validada, evaluaciones consistentes y monitorización continua deja de ser una ventaja competitiva para convertirse en una necesidad operativa. Modelos como los de Achilles permiten precisamente eso: integrar la gestión del riesgo de proveedores (incluido el ciber) dentro de un marco único, con datos fiables y trazabilidad real.
Además, a través de nuestra colaboración con partners especializados como Orpheus y ECIX, ofrecemos evaluaciones de ciberseguridad diseñadas para ir más allá del cuestionario tradicional: análisis estructurado, scoring objetivo y capacidad real de identificar vulnerabilidades antes de que se conviertan en incidentes.
