NIS2Check

Guías NIS2

Me ha llegado un cuestionario de ciberseguridad de un cliente: ¿qué hago?

Si un cliente importante te ha enviado un cuestionario de ciberseguridad o una cláusula contractual nueva, casi seguro es NIS2 actuando por la cadena de suministro. Ese cliente está obligado a exigir medidas a sus proveedores, y tu respuesta puede decidir si mantienes el contrato.

Por qué te llega

El artículo 21.2.d de NIS2 obliga a las entidades esenciales e importantes a gestionar la seguridad de su cadena de suministro: tienen que evaluar a sus proveedores y trasladarles requisitos de ciberseguridad. Por eso, aunque tu empresa no esté obligada directamente por tamaño, recibes cuestionarios, cláusulas y, a veces, auditorías.

Qué te suelen preguntar

  • Si tienes políticas de seguridad y gestión de riesgos documentadas.
  • Cómo gestionas incidentes y en qué plazos notificas.
  • Si haces copias de seguridad y has probado la recuperación.
  • Si usas autenticación multifactor (MFA) y controlas los accesos.
  • Si tus propios proveedores cumplen requisitos de seguridad.

Cómo responder sin improvisar

Responder con honestidad y orden vale más que prometer de más. Lo eficaz es partir de un diagnóstico claro de lo que ya cumples y lo que no, frente a las 10 medidas del artículo 21, y presentar un plan con fechas para los huecos. Eso transmite control y suele bastar para conservar el contrato mientras te adecúas.

Preguntas frecuentes

¿Estoy obligado a responder el cuestionario de ciberseguridad de mi cliente?

Contractualmente, si lo exige el contrato o lo condiciona, sí en la práctica: tu cliente lo necesita para cumplir su propia obligación de cadena de suministro de NIS2. No responder o hacerlo mal puede costarte el contrato.

¿Tengo que cumplir NIS2 aunque sea una empresa pequeña?

Por tamaño puede que no estés obligado directamente, pero la cadena de suministro te alcanza: tus clientes esenciales o importantes te trasladarán requisitos que debes poder demostrar.

¿Te afecta NIS2? Sal de dudas en 3 minutos

10 preguntas, veredicto inmediato y, si quieres, informe de gaps con plan de adecuación.

Hacer el test gratuito →

Sigue leyendo:

Contenido orientativo basado en la directiva (UE) 2022/2555 y su transposición española. No constituye asesoramiento jurídico.