¿Cuál es la principal diferencia entre NIS2 y DORA respecto de la gestión del riesgo de proveedores?

Aunque ambas exigen una supervisión robusta de proveedores, DORA es específica del sector financiero y es muy prescriptiva en materia de riesgo de TIC de terceros: exige cláusulas contractuales específicas, análisis del riesgo de concentración y derechos de acceso para los reguladores. NIS2 se aplica de forma más amplia a entidades 'esenciales' e 'importantes', y exige un enfoque basado en riesgos para proteger toda la cadena de suministro, sin alcanzar el mismo nivel de detalle que DORA sobre cláusulas contractuales concretas.

¿Basta el certificado ISO/IEC 27001:2022 de un proveedor para demostrar que es seguro?

No. Aunque un certificado ISO/IEC 27001:2022 es un indicador positivo de un programa de seguridad maduro, no sustituye su propia diligencia debida. Normativas como DORA y NIS2 exigen evaluar los riesgos específicos de los servicios que el proveedor le presta. Debe verificar sus controles, revisar sus informes de auditoría en busca de excepciones y asegurarse de que sus acuerdos contractuales contienen cláusulas específicas sobre notificación de brechas de seguridad, derechos de auditoría y tratamiento seguro de datos.

¿Con qué frecuencia debemos auditar a nuestros proveedores de alto riesgo?

En el caso de proveedores de alto riesgo y críticos, las auditorías no deben ser un evento aislado. Se requiere un enfoque de supervisión continua. Esto incluye una revisión formal y en profundidad al menos una vez al año, o cuando se produzcan cambios significativos en el servicio. Debe complementarse con revisiones trimestrales de evidencias, como informes SOC 2 y escaneos de vulnerabilidades, y con supervisión en tiempo real de su postura de seguridad y de cualquier incidente público.

¿Qué son los riesgos de 'cuarta parte' o aguas abajo, y por qué son críticos?

Los riesgos de cuarta parte son los riesgos introducidos por los proveedores de sus proveedores, es decir, subcontratistas o subencargados. Si su proveedor de servicios en la nube utiliza una empresa externa de analítica de datos, un compromiso de esa empresa podría afectar a sus datos. Los reguladores esperan que tenga visibilidad sobre estas dependencias aguas abajo en relación con sus proveedores críticos. Sus contratos deben exigir que los proveedores apliquen sus estándares de seguridad a sus subcontratistas y le notifiquen cualquier cambio.

¿Cuál es el elemento más importante que debe incluirse en un contrato con un proveedor de alto riesgo?

La cláusula de 'derecho de auditoría' es posiblemente la más crítica. Esta cláusula le otorga contractualmente el derecho a verificar sus controles de seguridad, ya sea directamente o a través de un tercero. Sin ella, todas sus promesas de seguridad se basan únicamente en la confianza. Esta cláusula es su principal herramienta para ir más allá del cuestionario y recopilar evidencias tangibles y defendibles de su postura de seguridad.

NIS2 DORA Supplier Management Risk Management

Más allá del cuestionario: guía definitiva para CISO sobre auditorías de proveedores de alto riesgo para NIS2 y DORA

Clarysec AI Editor

November 15, 2025

18 min read

#Riesgo de terceros #Auditoría #ISO 27001 #Cumplimiento #SGSI #Respuesta a incidentes

Diagrama de flujo del proceso de auditoría de proveedores de alto riesgo, que detalla un ciclo de vida en 4 fases desde la evaluación inicial de riesgos y la revisión contractual hasta la supervisión continua, las auditorías técnicas y la conservación de evidencias regulatorias para el cumplimiento de NIS2 y DORA.

El informe cayó sobre la mesa de María Valen, Directora de Seguridad de la Información (CISO), con un golpe seco y discreto que sonó más a sirena. Era la evaluación previa a la auditoría para su próxima revisión de cumplimiento de DORA, y una línea aparecía resaltada en un rojo contundente: “Aseguramiento insuficiente para proveedor crítico externo, CloudSphere”.

CloudSphere no era un proveedor cualquiera. Era la columna vertebral de la nueva plataforma de banca digital de la compañía, que procesaba millones de transacciones al día. María tenía archivado su certificado ISO/IEC 27001:2022. También tenía su cuestionario de seguridad completado, un documento contundente de 200 preguntas. Pero el equipo de preauditoría estaba indicando que, para un proveedor crítico y de alto riesgo, marcar casillas ya no era suficiente. Las reglas habían cambiado.

Con la Directiva NIS2 y el Reglamento de Resiliencia Operativa Digital (DORA) ya plenamente vigentes, los reguladores miran más allá de la documentación formal. Exigen pruebas tangibles de diligencia debida, supervisión continua y una gobernanza robusta de toda la cadena de suministro. El reto de María es el mismo al que se enfrentan los CISO en todas partes: ¿cómo ir más allá del cuestionario para auditar y proteger realmente a los proveedores más críticos? Requiere un cambio estratégico: pasar de la validación pasiva al aseguramiento activo basado en evidencias.

La limitación del cuestionario estático en un entorno dinámico

Durante años, el cuestionario de seguridad ha sido la piedra angular de la gestión de riesgos de terceros. Pero no deja de ser una foto fija en un panorama de amenazas dinámico. El perfil de riesgo de un proveedor no es fijo; evoluciona con cada nueva amenaza, cada cambio de sistema o cada subcontratista que incorpora. Basarse exclusivamente en la autodeclaración para un proveedor crítico como CloudSphere equivale a navegar una tormenta con el mapa meteorológico del año anterior.

La Directiva NIS2 exige explícitamente un enfoque basado en riesgos, de modo que las medidas de seguridad sean proporcionales a los riesgos reales. Esto significa que un cuestionario único para todos está fundamentalmente desalineado con las expectativas regulatorias actuales. Ya no basta con un certificado o una lista de verificación completada como sustituto de la evidencia. El riesgo real está más allá de la documentación formal.

Aquí es donde resulta esencial un enfoque estructurado y basado en el ciclo de vida. No se trata de abandonar los cuestionarios, sino de reforzarlos con verificaciones más profundas e intrusivas para los proveedores que realmente importan. Este es el principio central incorporado en la Política de Seguridad de Terceros y Proveedores de Clarysec. Uno de sus objetivos fundamentales es:

“Exigir diligencia debida formal y evaluaciones de riesgos documentadas antes de contratar nuevos proveedores o renovar acuerdos de servicio de alto riesgo.”
De la sección ‘Objetivos’, cláusula 3.3 de la política

Esta cláusula cambia la mentalidad: de una simple comprobación a una investigación formal, un primer paso esencial para construir un programa defendible que resista el escrutinio regulatorio.

Riesgo de proveedores bajo NIS2 y DORA: las nuevas expectativas

Tanto NIS2 como DORA exigen que las organizaciones identifiquen, evalúen y supervisen de forma continua los riesgos en todo su ecosistema de proveedores. Transforman la gestión de proveedores, que deja de ser una función de compras para convertirse en un pilar central de la resiliencia operativa y la seguridad de la información.

El nuevo entorno regulatorio exige marcos claros, estrechamente alineados con estándares reconocidos como ISO/IEC 27001:2022. A continuación se presenta una visión general de alto nivel de lo que estos marcos esperan de su programa de gobernanza de proveedores:

Requisito	NIS2	DORA	Controles ISO/IEC 27001:2022
Evaluación de riesgos de proveedores	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Cláusulas contractuales de seguridad	Article 21(3), Article 22	Article 30	5.20
Supervisión continua	Article 21, Article 22	Articles 30, 31	5.22
Gestión de vulnerabilidades y respuesta a incidentes	Article 23	Article 9, 11	5.29, 8.8

Un programa robusto de auditoría de proveedores no tiene que inventarse desde cero. El marco ISO/IEC 27001:2022, especialmente sus controles del Anexo A, proporciona un modelo sólido. En Clarysec, orientamos a los clientes para que construyan su programa en torno a tres controles interconectados que forman un ciclo de vida completo de gobernanza de proveedores.

Construir un marco de auditoría defendible: el ciclo de vida de ISO 27001:2022

Para construir un programa que satisfaga a los reguladores, necesita un enfoque estructurado basado en un estándar reconocido internacionalmente. Los controles de seguridad de proveedores de ISO/IEC 27001:2022 proporcionan un ciclo de vida para gestionar el riesgo de terceros desde el inicio hasta la terminación de la relación. Veamos cómo puede utilizar María este ciclo de vida para construir un plan de auditoría defendible para CloudSphere.

Paso 1: la base - Seguridad de la información en las relaciones con proveedores (5.19)

El control 5.19 es el punto de partida estratégico. Exige establecer procesos formales para identificar, evaluar y gestionar los riesgos de seguridad de la información asociados a todo el ecosistema de proveedores. Aquí es donde se define qué significa “alto riesgo” para la organización y se establecen las reglas del juego.

Zenith Controls: guía de cumplimiento cruzado de Clarysec proporciona un desglose detallado de 5.19, mostrando su papel como eje central de la gobernanza de proveedores. Este control está intrínsecamente vinculado a controles relacionados, como 5.21 (Seguridad de la información en la cadena de suministro de TIC), que cubre componentes de hardware y software, y 5.14 (Transferencia de información), que regula el intercambio seguro de datos. No se puede gestionar eficazmente una relación con un proveedor sin controlar también la tecnología que proporciona y los datos que se comparten con él.

Para María, esto significa que su auditoría de CloudSphere debe ir más allá de la postura de seguridad corporativa del proveedor y profundizar en la seguridad de la plataforma concreta que presta. La guía Zenith Controls destaca que una implantación sólida de 5.19 respalda directamente el cumplimiento de marcos regulatorios principales:

NIS2 (Article 21(2)(d)): Obliga a las organizaciones a gestionar los riesgos de la cadena de suministro como parte central de su marco de seguridad.
DORA (Articles 28–30): Exige un marco robusto de gestión del riesgo de TIC de terceros, incluida la clasificación de criticidad y la diligencia debida precontractual.
GDPR (Article 28): Exige que los responsables del tratamiento contraten únicamente encargados que ofrezcan garantías suficientes para la protección de datos.

Este control exige clasificación de proveedores por niveles de riesgo, supervisión continua y revocación oportuna de accesos. Su finalidad es garantizar que la seguridad esté integrada en el ciclo de vida del proveedor, y no añadida a posteriori.

Paso 2: la exigibilidad - Tratamiento de la seguridad de la información en los acuerdos con proveedores (5.20)

Un requisito de seguridad que no está en el contrato es solo una sugerencia. El control 5.20 es el punto en el que la gobernanza pasa a ser jurídicamente exigible. Para un proveedor de alto riesgo, el contrato es la herramienta de auditoría más potente.

Como subraya Zenith Controls, estos acuerdos deben ser explícitos. Las promesas vagas de “seguridad conforme a las mejores prácticas del sector” no tienen valor. Para un proveedor como CloudSphere, María debe verificar que el contrato incluya cláusulas específicas y medibles que otorguen a su organización una supervisión tangible:

Derechos de auditoría: Una cláusula que otorgue explícitamente a su organización el derecho a realizar evaluaciones técnicas, revisar evidencias o contratar a un tercero para auditar en su nombre.
Plazos de notificación de brechas de seguridad: Plazos específicos y exigentes, por ejemplo, dentro de las 24 horas siguientes a la detección, para notificar a su empresa un incidente de seguridad, y no una fórmula vaga como “sin dilación indebida”.
Gestión de subcontratistas (cuarta parte): Una cláusula que exija al proveedor aplicar los mismos estándares de seguridad a sus propios subcontratistas críticos y notificar cualquier cambio. Esto es crucial para gestionar el riesgo aguas abajo.
Estrategia de salida segura: Obligaciones claras de devolución o destrucción certificada de los datos al finalizar el contrato.

DORA es especialmente prescriptivo en este punto. Article 30 enumera disposiciones contractuales obligatorias, incluido el acceso sin restricciones para auditores y reguladores, detalles específicos sobre las ubicaciones del servicio y estrategias de salida completas. Los auditores tomarán muestras de contratos de proveedores de alto riesgo y comprobarán directamente estas cláusulas.

Paso 3: el ciclo continuo - Supervisión, revisión y gestión de cambios de los servicios de proveedores (5.22)

La última pieza del ciclo de vida es el control 5.22, que transforma la supervisión de proveedores de una comprobación puntual en un proceso continuo. Una auditoría no debe ser un acontecimiento sorpresa, sino un punto de validación dentro de una relación continua de transparencia.

Aquí es donde muchas organizaciones fallan. Firman el contrato y lo archivan. Pero, en el caso de proveedores de alto riesgo, el trabajo real comienza después de la incorporación. La guía Zenith Controls vincula 5.22 con procesos operativos críticos como 8.8 (Gestión de vulnerabilidades técnicas) y 5.29 (Seguridad de la información durante interrupciones). Esto significa que una supervisión eficaz implica mucho más que una reunión anual de revisión. Incluye:

Revisión de evidencias de terceros: Obtener y analizar activamente sus informes SOC 2 Type II, los resultados de auditorías de seguimiento de ISO 27001 o resúmenes de pruebas de penetración. La clave es revisar las excepciones y hacer seguimiento de su remediación.
Supervisión de incidentes: Hacer seguimiento de brechas de seguridad o incidentes de seguridad divulgados públicamente que afecten al proveedor y evaluar formalmente su posible impacto en la organización.
Gestión de cambios: Implantar un proceso por el cual cualquier cambio significativo en el servicio del proveedor, como una nueva ubicación de centro de datos o un nuevo subcontratista crítico, desencadene automáticamente una reevaluación del riesgo.

Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec proporciona orientación práctica sobre este punto, especialmente en el paso 24, que cubre el riesgo de subcontratistas. Recomienda:

“Para cada proveedor crítico, identifique si utiliza subcontratistas (subencargados) que puedan acceder a sus datos o sistemas. Documente cómo se trasladan sus requisitos de seguridad de la información a estas partes… Cuando sea viable, solicite una lista de subcontratistas clave y asegúrese de que su derecho de auditoría o de obtener aseguramiento también se aplica a ellos.”

Este punto es crucial para María. ¿Utiliza CloudSphere una empresa externa de analítica de datos? ¿Está su infraestructura alojada en una nube pública principal? Estas dependencias aguas abajo representan un riesgo significativo, a menudo invisible, que la auditoría debe sacar a la luz.

De la teoría a la acción: el plan práctico de auditoría de María para CloudSphere

Con este ciclo de vida de ISO 27001:2022 como base, el equipo de María redacta un nuevo plan de auditoría para CloudSphere que va mucho más allá del cuestionario y demuestra la gobernanza madura y basada en riesgos que exigen los reguladores.

Revisión contractual: Empiezan mapeando el contrato existente de CloudSphere frente a DORA Article 30 y las mejores prácticas del control 5.20. Elaboran un informe de análisis de brechas para informar el siguiente ciclo de renovación y priorizar las áreas de la auditoría actual.
Solicitud de evidencias dirigida: En lugar de un cuestionario genérico, envían una solicitud formal de evidencias específicas, que incluye:
- El informe SOC 2 Type II más reciente y un resumen de cómo se remediaron todas las excepciones señaladas.
- El resumen ejecutivo de su prueba de penetración externa más reciente.
- Una lista completa de todos los subcontratistas (cuartas partes) que tratarán sus datos o accederán a ellos.
- Prueba de que los requisitos de seguridad se trasladan contractualmente a esos subcontratistas.
- Registros o informes que demuestren la aplicación oportuna de parches a vulnerabilidades críticas, por ejemplo Log4j y MOVEit, durante los últimos seis meses.
Validación técnica: Invocan su cláusula de “derecho de auditoría” para programar una sesión técnica en profundidad con el equipo de seguridad de CloudSphere. La agenda se centra en sus procedimientos operativos de respuesta a incidentes, sus herramientas de gestión de la postura de seguridad en la nube (CSPM) y sus controles de prevención de fuga de datos.
Gestión formal de excepciones: Si CloudSphere se resiste a proporcionar determinadas evidencias, María está preparada. El proceso de gobernanza de su organización, definido en la Política de Seguridad de Terceros y Proveedores, es claro:

“Las excepciones de alto riesgo, por ejemplo proveedores que manejan datos regulados o dan soporte a sistemas críticos, deben ser aprobadas por el CISO, Asesoría Jurídica y la dirección de Compras, e incorporarse al registro de excepciones del SGSI.”
De la sección ‘Tratamiento de riesgos y excepciones’, cláusula 7.3 de la política

Esto garantiza que cualquier negativa a proporcionar evidencias no se ignore, sino que se acepte formalmente el riesgo en los niveles más altos de la organización, un proceso que los auditores respetan.

La perspectiva del auditor: qué exigirán los distintos auditores

Para construir un programa realmente resiliente, debe pensar como un auditor. Los distintos marcos de auditoría tienen perspectivas diferentes, y anticipar sus preguntas es clave para el éxito. A continuación se presenta una visión consolidada de lo que exigirían distintos auditores al revisar su programa de gobernanza de proveedores:

Perfil del auditor	Área de enfoque y controles clave	Evidencias que exigirá
Auditor ISO/IEC 27001:2022	5.19, 5.20, 5.22	Inventario de proveedores con clasificaciones de riesgo; muestra de contratos de proveedores de alto riesgo para verificar cláusulas de seguridad; registros de diligencia debida y de reuniones de revisión continua.
Auditor COBIT 2019	APO10 (Gestionar proveedores), DSS04 (Gestionar la continuidad)	Evidencias de supervisión continua del desempeño frente a acuerdos de nivel de servicio (SLA); documentación sobre cómo se gestionan los incidentes relacionados con proveedores; registros de revisiones de riesgo de proveedores y de gestión de cambios.
DORA / regulador financiero	Articles 28-30	El contrato con el proveedor crítico de TIC, mapeado frente a las cláusulas obligatorias de DORA; la evaluación del riesgo de concentración; evidencias de pruebas o revisión de la estrategia de salida.
Auditor NIST SP 800-53	SA-9 (External System Services), familia SR (cadena de suministro)	Prueba del plan de gestión de riesgos de la cadena de suministro; registros de evidencias de cumplimiento del proveedor, por ejemplo FedRAMP y SOC 2; documentación sobre visibilidad del riesgo de cuarta parte.
Auditor ISACA / de TI	ITAF Performance Standard 2402	Registros que demuestren que el acceso del personal del proveedor dado de baja se revocó con prontitud; evidencias de cuentas únicas protegidas con autenticación multifactor (MFA) para el acceso de terceros; registros de respuesta a incidentes.

Esta perspectiva de múltiples enfoques demuestra que un programa robusto no consiste en satisfacer un único estándar, sino en construir un marco de gobernanza holístico que genere las evidencias necesarias para satisfacerlos todos.

Errores críticos: dónde fallan las auditorías de proveedores

Muchos programas de supervisión de proveedores se quedan cortos por errores comunes y evitables. Manténgase alerta frente a estos errores críticos:

Auditar como un evento: Depender de auditorías puntuales durante la incorporación o la renovación, en lugar de implantar una supervisión continua.
Complacencia con las certificaciones: Aceptar un certificado ISO o SOC 2 por su valor nominal sin revisar los detalles del informe, su alcance y las excepciones.
Contratos vagos: No incluir cláusulas explícitas y exigibles sobre derechos de auditoría, notificación de brechas de seguridad y tratamiento de datos.
Gestión deficiente del inventario: No poder producir un inventario completo de todos los proveedores, clasificado por niveles de riesgo, y de los datos a los que acceden.
Ignorar el riesgo aguas abajo: No identificar ni gestionar los riesgos derivados de los subcontratistas críticos del propio proveedor, es decir, el riesgo de cuarta parte.
Gestión de vulnerabilidades no verificada: Confiar en que el proveedor aplica parches a vulnerabilidades críticas sin solicitar evidencias.

Lista de verificación operativa para auditorías de proveedores de alto riesgo

Utilice esta lista de verificación, adaptada de Zenith Blueprint, para garantizar que el proceso de auditoría de cada proveedor de alto riesgo sea exhaustivo y defendible.

Paso	Acción	Evidencias que deben recopilarse y conservarse
Diligencia debida	Realizar y documentar una evaluación de riesgos formal antes de la incorporación o renovación.	Hoja de trabajo de riesgo de proveedor completada; registro de clasificación; informe de diligencia debida.
Revisión contractual	Verificar que las cláusulas de seguridad, privacidad y auditoría estén presentes y sean exigibles.	Contrato firmado con cláusulas resaltadas; aprobación de la revisión jurídica; contrato de encargo de tratamiento.
Supervisión continua	Programar y realizar revisiones trimestrales o anuales en función del nivel de riesgo.	Actas de reunión; informes SOC 2 / ISO 27001 revisados; resúmenes de escaneos de vulnerabilidades.
Supervisión de subcontratistas	Identificar y documentar todos los proveedores críticos aguas abajo (cuartas partes).	Lista de subencargados proporcionada por el proveedor; evidencias de cláusulas de traslado de requisitos de seguridad.
Gestión de vulnerabilidades	Exigir evidencias de un programa maduro de gestión de vulnerabilidades.	Resumen ejecutivo de prueba de penetración reciente; ejemplos de informes de escaneos de vulnerabilidades; plazos de aplicación de parches.
Notificación de incidentes	Probar y validar el proceso de notificación de incidentes del proveedor.	Registros de notificaciones de incidentes anteriores; acuerdos de nivel de servicio (SLA) documentados de notificación de brechas de seguridad.
Gestión de cambios	Revisar todos los cambios técnicos u organizativos significativos en el proveedor.	Registros de cambios del proveedor; informes de reevaluación del riesgo desencadenados por cambios.
Mapeo regulatorio	Mapear los controles implantados directamente con los requisitos de NIS2, DORA y GDPR.	Tabla interna de mapeo de cumplimiento; registro de evidencias para reguladores.

Conclusión: construir una cadena de suministro resiliente y defendible

La era del cumplimiento basado en marcar casillas para proveedores críticos ha terminado. El intenso escrutinio de regulaciones como NIS2 y DORA exige un cambio fundamental hacia un modelo de aseguramiento continuo basado en evidencias. Los CISO como María deben liderar el impulso para llevar a sus organizaciones más allá del cuestionario estático.

Al construir un programa sobre el ciclo de vida probado de los controles de ISO/IEC 27001:2022, se crea un marco que no solo cumple, sino que es realmente eficaz para reducir el riesgo. Esto implica tratar la seguridad de proveedores como una disciplina estratégica, incorporar requisitos exigibles en los contratos y mantener una supervisión vigilante durante toda la relación.

La seguridad de su organización es tan sólida como su eslabón más débil y, en el ecosistema interconectado actual, ese eslabón suele estar en un tercero. Es hora de recuperar el control.

¿Está preparado para ir más allá del cuestionario?

Los toolkits integrados de Clarysec proporcionan la base que necesita para construir un programa de gestión del riesgo de proveedores de primer nivel, capaz de resistir cualquier auditoría.

Descargue nuestras plantillas de políticas: Implante un marco de gobernanza robusto con nuestra Política de Seguridad de Terceros y Proveedores de nivel empresarial y su equivalente para pymes.
Siga Zenith Blueprint: Utilice nuestra Zenith Blueprint: hoja de ruta de 30 pasos para auditores para implantar y auditar un SGSI conforme, con pasos específicos para dominar el riesgo de proveedores.
Aproveche Zenith Controls: Solicite una demo de nuestra Zenith Controls: guía de cumplimiento cruzado para mapear los controles de proveedores con NIS2, DORA, GDPR, NIST y más, garantizando que su plan de auditoría sea completo y defendible.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council