{"id":118662,"date":"2026-04-15T11:57:26","date_gmt":"2026-04-15T10:57:26","guid":{"rendered":"https:\/\/www.achilles.com\/?p=118662"},"modified":"2026-04-15T12:04:17","modified_gmt":"2026-04-15T11:04:17","slug":"de-it-a-compras-como-nis2-redefine-la-gestion-del-riesgo-en-la-cadena-de-suministro","status":"publish","type":"post","link":"https:\/\/www.achilles.com\/es\/informacion-sectorial\/de-it-a-compras-nis2-riesgo-ciberseguridad\/","title":{"rendered":"De IT a compras: c\u00f3mo NIS2 redefine la gesti\u00f3n del riesgo en la cadena de suministro"},"content":{"rendered":"\n<p>La ciberseguridad ya no es un tema t\u00e9cnico ni una conversaci\u00f3n limitada al \u00e1rea de IT. Se ha convertido en un factor cr\u00edtico de negocio. Con la llegada de la directiva <a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a>, adem\u00e1s, pasa a ser una responsabilidad que trasciende los l\u00edmites de la propia organizaci\u00f3n y alcanza de forma directa a toda su cadena de suministro.<\/p>\n\n\n\n<p>Espa\u00f1a se encuentra en pleno proceso de transposici\u00f3n de esta normativa, que sustituye y ampl\u00eda el alcance de la directiva NIS original. El cambio no es menor. <a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a> ampl\u00eda de forma significativa el n\u00famero de sectores afectados (energ\u00eda, transporte, salud, financiero, industria, entre otros) y endurece las obligaciones tanto a nivel t\u00e9cnico como de gobierno corporativo.<\/p>\n\n\n\n<p>Por primera vez, la responsabilidad en materia de ciberseguridad se eleva al nivel de la direcci\u00f3n. Los \u00f3rganos de gesti\u00f3n no solo deben aprobar las medidas, sino supervisarlas activamente y responder en caso de incumplimiento. A esto se suma un r\u00e9gimen sancionador m\u00e1s estricto y la obligaci\u00f3n de notificar incidentes relevantes en plazos mucho m\u00e1s exigentes.<\/p>\n\n\n\n<p>Pero el punto que realmente cambia las reglas del juego es otro: la gesti\u00f3n del riesgo de la cadena de suministro deja de ser una buena pr\u00e1ctica y pasa a ser una exigencia regulatoria.<\/p>\n\n\n\n<p><strong>El problema real no es la ciberseguridad, es la falta de visibilidad<\/strong><\/p>\n\n\n\n<p>El principal reto al que se enfrentan hoy las organizaciones no es la ausencia de herramientas, sino la falta de informaci\u00f3n fiable sobre su red de proveedores.<\/p>\n\n\n\n<p>Aunque muchas empresas han avanzado en la evaluaci\u00f3n de sus proveedores directos, la visibilidad se reduce dr\u00e1sticamente a partir del segundo nivel. De acuerdo a nuestra <a href=\"https:\/\/www.achilles.com\/es\/informacion-sectorial\/la-encuesta-global-de-achilles-cadenas-de-suministro\/\">Encuesta de Riesgo y Sotenibilidad 2026:<\/a> solo el 6% de las organizaciones tiene visibilidad m\u00e1s all\u00e1 de Tier 1.<\/p>\n\n\n\n<p>Esto implica que una parte relevante del riesgo (incluido el ciber) se gestiona sin una comprensi\u00f3n completa de la exposici\u00f3n real. En un contexto donde los ataques a la cadena de suministro se han convertido en uno de los vectores m\u00e1s utilizados, esta limitaci\u00f3n deja de ser operativa y se convierte en estructural.<\/p>\n\n\n\n<p><strong>NIS2: m\u00e1s exigencia, pero sobre todo m\u00e1s responsabilidad<\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a> no se limita a exigir controles t\u00e9cnicos. Introduce un marco de gesti\u00f3n del riesgo mucho m\u00e1s amplio, que obliga a las organizaciones a adoptar medidas proporcionales y basadas en el nivel de exposici\u00f3n.<\/p>\n\n\n\n<p>Esto incluye la identificaci\u00f3n de proveedores cr\u00edticos, la evaluaci\u00f3n de sus capacidades de ciberseguridad, la implementaci\u00f3n de medidas de mitigaci\u00f3n y la supervisi\u00f3n continua de posibles vulnerabilidades.<\/p>\n\n\n\n<p>El cambio m\u00e1s relevante no est\u00e1 en lo que hay que hacer, sino en c\u00f3mo hay que gestionarlo. La directiva exige continuidad, trazabilidad y evidencia. Ya no basta con realizar evaluaciones puntuales; es necesario demostrar que el riesgo se gestiona de forma activa a lo largo del tiempo.<\/p>\n\n\n\n<p>Esto transforma la ciberseguridad en un proceso de gesti\u00f3n continuo, integrado en la operaci\u00f3n y no limitado a revisiones peri\u00f3dicas.<\/p>\n\n\n\n<p><strong>El riesgo de tratar la ciberseguridad como un problema independiente<\/strong><\/p>\n\n\n\n<p>A pesar de este cambio regulatorio, muchas organizaciones siguen abordando la ciberseguridad como un \u00e1mbito aislado. El problema es que los riesgos no funcionan de forma independiente.<\/p>\n\n\n\n<p>Un incidente de seguridad en un proveedor puede generar una interrupci\u00f3n operativa, derivar en incumplimientos normativos, afectar resultados financieros y erosionar la confianza del mercado. Tratar estos riesgos de forma separada dificulta su gesti\u00f3n y multiplica los puntos ciegos.<\/p>\n\n\n\n<p>Los modelos m\u00e1s avanzados est\u00e1n evolucionando hacia enfoques integrados, donde el riesgo de proveedores (incluido el ciber) se gestiona bajo un mismo marco, con criterios homog\u00e9neos y datos validados. Este tipo de aproximaci\u00f3n permite pasar de una gesti\u00f3n reactiva a una gesti\u00f3n basada en anticipaci\u00f3n y evidencia.<\/p>\n\n\n\n<p><strong>M\u00e1s que cumplimiento: continuidad y resiliencia del negocio<\/strong><\/p>\n\n\n\n<p>Interpretar <a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a> \u00fanicamente como una obligaci\u00f3n normativa es quedarse corto. Su impacto real est\u00e1 en la continuidad del negocio.<\/p>\n\n\n\n<p>Un incidente en la cadena de suministro puede paralizar operaciones, comprometer informaci\u00f3n sensible o generar p\u00e9rdidas econ\u00f3micas relevantes. En sectores cr\u00edticos, adem\u00e1s, puede implicar la p\u00e9rdida de contratos o la exclusi\u00f3n de determinados ecosistemas empresariales.<\/p>\n\n\n\n<p>A esto se suma una tendencia clara: las grandes organizaciones est\u00e1n elevando sus est\u00e1ndares de exigencia hacia proveedores, trasladando requisitos regulatorios a toda la cadena. La presi\u00f3n ya no viene solo del regulador, sino tambi\u00e9n del mercado.<\/p>\n\n\n\n<p><strong>Anticiparse en un contexto de incertidumbre regulatoria<\/strong><\/p>\n\n\n\n<p>Aunque Espa\u00f1a a\u00fan no ha cerrado completamente la transposici\u00f3n de <a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a>, la direcci\u00f3n es clara. Las organizaciones deber\u00e1n demostrar un mayor nivel de control, especialmente en lo que respecta a la gesti\u00f3n de la cadena de suministro.<\/p>\n\n\n\n<p>Esperar a que la normativa est\u00e9 completamente definida para actuar implica asumir riesgos innecesarios. Adaptarse en el \u00faltimo momento suele traducirse en procesos improvisados, mayor coste y menor capacidad de respuesta.<\/p>\n\n\n\n<p>Las organizaciones que ya est\u00e1n avanzando en este \u00e1mbito lo est\u00e1n haciendo con una l\u00f3gica distinta: construir modelos de gesti\u00f3n de proveedores que no solo respondan a <a href=\"https:\/\/www.incibe.es\/incibe-cert\/sectores-estrategicos\/NIS2-necesitas-saber\">NIS2<\/a>, sino que sean sostenibles en el tiempo y adaptables a nuevas exigencias regulatorias.<\/p>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p>La ciberseguridad deja de ser un ejercicio interno y pasa a depender, en gran medida, de la capacidad de entender y gestionar a los proveedores.<\/p>\n\n\n\n<p>Ya no es suficiente con saber qu\u00e9 ocurre dentro de la organizaci\u00f3n. El foco est\u00e1 en todo aquello que queda fuera de su control directo, pero que impacta igual, o m\u00e1s, en la operaci\u00f3n.<\/p>\n\n\n\n<p>En este escenario, contar con informaci\u00f3n validada, evaluaciones consistentes y monitorizaci\u00f3n continua deja de ser una ventaja competitiva para convertirse en una necesidad operativa. Modelos como los de Achilles permiten precisamente eso: integrar la gesti\u00f3n del riesgo de proveedores (incluido el ciber) dentro de un marco \u00fanico, con datos fiables y trazabilidad real.<\/p>\n\n\n\n<p>Adem\u00e1s, a trav\u00e9s de nuestra colaboraci\u00f3n con partners especializados como <a href=\"https:\/\/orpheus-cyber.com\/\">Orpheus<\/a> y <a href=\"https:\/\/ecix.tech\/es\/\">ECIX<\/a>, ofrecemos evaluaciones de ciberseguridad dise\u00f1adas para ir m\u00e1s all\u00e1 del cuestionario tradicional: an\u00e1lisis estructurado, scoring objetivo y capacidad real de identificar vulnerabilidades antes de que se conviertan en incidentes.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La ciberseguridad ya no es un tema t\u00e9cnico ni una conversaci\u00f3n limitada al \u00e1rea de IT. Se ha convertido en un factor cr\u00edtico de negocio. Con la llegada de la directiva NIS2, adem\u00e1s, pasa a ser una responsabilidad que trasciende los l\u00edmites de la propia organizaci\u00f3n y alcanza de forma directa a toda su cadena [&hellip;]<\/p>\n","protected":false},"author":62,"featured_media":72788,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":true,"content-type":"","wds_primary_category":2983,"wds_primary_industry_tax":0,"wds_primary_topic_tax":0,"wds_primary_post_region_tax":0,"footnotes":""},"categories":[1143,2983],"tags":[2179,13631,2193,13632],"industry_tax":[4304],"topic_tax":[2995,2996,2998,12462],"post_region_tax":[11485],"class_list":["post-118662","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-articulos","category-informacion-sectorial","tag-cadena-de-suministro","tag-ciberseguridad","tag-compras-2","tag-nis2","industry_tax-todas-es","topic_tax-cadena-de-suministro-es","topic_tax-compras-es","topic_tax-cumplimiento-y-legislacion-es","topic_tax-tecnologia","post_region_tax-spain-es"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/posts\/118662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/users\/62"}],"replies":[{"embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/comments?post=118662"}],"version-history":[{"count":0,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/posts\/118662\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/media\/72788"}],"wp:attachment":[{"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/media?parent=118662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/categories?post=118662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/tags?post=118662"},{"taxonomy":"industry_tax","embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/industry_tax?post=118662"},{"taxonomy":"topic_tax","embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/topic_tax?post=118662"},{"taxonomy":"post_region_tax","embeddable":true,"href":"https:\/\/www.achilles.com\/es\/wp-json\/wp\/v2\/post_region_tax?post=118662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}