Saltar al contenido
CertENS
EN
Implantación

Subcontratación y cadena de suministro en el ENS

Cómo cumplir las medidas op.ext del Anexo II: inventario de proveedores, contratos con cláusulas ENS, notificaciones y auditoría de la cadena.

7 min de lectura Laura Méndez · Lead Auditor CISA · CertENS

El RD 311/2022 refuerza notablemente las obligaciones sobre cadena de suministro. La familia op.ext y el artículo 15 exigen un tratamiento formal de los servicios prestados por terceros. Los hallazgos en esta área han aumentado año a año en las auditorías: es donde más se improvisa y donde más falla la documentación.

Qué exige el ENS

Las medidas principales:

  • op.ext.1 — Contratación y acuerdos de nivel de servicio.
  • op.ext.2 — Gestión diaria.
  • op.ext.3 — Medios alternativos.
  • op.ext.4 — Interconexión de sistemas.

Y en el articulado:

  • Artículo 15 — proveedores deben cumplir con el ENS.
  • Artículo 34 — notificación obligatoria de incidentes que se originen en proveedores.

Tipos de relación que deben cubrirse

No todos los proveedores son iguales. Conviene clasificarlos:

TipoEjemploExigencia
CríticoCloud provider, SaaS principalMáxima. Auditorías, SLA, plan de contingencia.
RelevanteHosting secundario, backupAlta. Contrato formal ENS, notificación de incidentes.
De soporteSuministro de equipo, papeleríaBásica. Cláusulas estándar.

Un error habitual es tratarlos a todos igual. O bien exiges demasiado a proveedores irrelevantes (y no lo consigues), o dejas a críticos con acuerdos débiles.

Inventario de proveedores

El primer entregable es un inventario vivo con:

  • Nombre del proveedor.
  • Servicio prestado.
  • Datos o sistemas que toca.
  • Tipo de relación (crítico / relevante / soporte).
  • Certificaciones vigentes (ENS, ISO 27001, SOC 2, etc.).
  • Contrato vigente y cláusulas ENS.
  • Fecha de revisión y próxima revisión.
  • Responsable interno (owner).

Este inventario debe estar en un repositorio accesible y actualizado, no en la cabeza de una persona. Herramientas GRC (OneTrust, GlobalSuite, Vanta, Drata) lo sistematizan, pero una hoja de cálculo rigurosa cumple perfectamente.

Cláusulas contractuales mínimas

Las cláusulas que deben aparecer en cualquier contrato con proveedor relevante o crítico:

1. Cumplimiento del ENS

El proveedor se compromete a implementar las medidas del Anexo II aplicables a los servicios prestados, en la categoría que corresponda al sistema del cliente.

2. Subcontratación controlada

El proveedor no puede subcontratar sin autorización previa por escrito y debe transferir las obligaciones ENS a sus subcontratistas.

3. Notificación de incidentes

Plazo máximo (24–48 h según categoría) para notificar al cliente cualquier incidente de seguridad que afecte al servicio prestado.

4. Derecho de auditoría

El cliente puede auditar —directamente o mediante tercero— el cumplimiento del contrato con un preaviso razonable.

5. Protección de datos

Si hay tratamiento de datos personales, contrato de encargado del tratamiento (art. 28 RGPD).

6. Personal y formación

El proveedor garantiza que su personal tiene la formación en seguridad adecuada al servicio y firma los compromisos de confidencialidad.

7. Reversibilidad

Al finalizar el contrato, el proveedor garantiza la migración de datos y sistemas sin coste abusivo y la destrucción documentada de la información.

8. Penalizaciones

Consecuencias contractuales del incumplimiento de los SLA y de las obligaciones ENS.

Evaluación periódica

No basta firmar el contrato. Las medidas op.ext.2 y siguientes exigen gestión continuada:

Revisión anual del proveedor

  • Recopilar certificaciones actualizadas.
  • Revisar incidentes del último año.
  • Evaluar SLA cumplidos.
  • Actualizar clasificación de criticidad.
  • Documentar las conclusiones.

Cuestionarios de seguridad

Para proveedores críticos, enviar anualmente un cuestionario (tipo CAIQ o adaptado) sobre:

  • Controles técnicos.
  • Procesos de desarrollo seguro.
  • Gestión de incidentes.
  • Continuidad.
  • Subcontratistas.

Auditorías / visitas

Para los proveedores más críticos, visitas o auditorías documentales profundas cada 2–3 años.

Evidencias para el auditor

Cuando llega la auditoría de certificación, debes poder presentar:

  • Inventario de proveedores actualizado.
  • Contratos firmados con las cláusulas mencionadas.
  • Resultados de las evaluaciones anuales.
  • Cuestionarios de seguridad respondidos.
  • Registros de incidentes notificados por terceros.
  • Actas de reuniones con proveedores críticos.
  • Planes de contingencia ante fallo de proveedor crítico (op.ext.3).

Sin estos elementos, la familia op.ext suele generar 2–3 no conformidades.

Cómo arrancar si no tienes nada

Si estás empezando y aún no tienes nada documentado:

  1. Mes 1: Inventario. Listado de todos los proveedores con acceso a datos o sistemas del alcance ENS.
  2. Mes 2: Clasificación (crítico / relevante / soporte) con el Responsable del Servicio.
  3. Mes 3: Plantilla de cláusulas ENS. Adaptarla al tipo de contrato.
  4. Meses 4–6: Adaptar contratos con los críticos y relevantes. Para los que no acepten, plan de alternativas.
  5. Meses 7–9: Primera ronda de cuestionarios y recopilación de evidencias.
  6. Revisión continua.

Este es el tempo realista. No se hace en dos semanas.

Errores típicos

  • “Mi proveedor cloud ya tiene ISO 27001”. No basta: tiene que acreditar cumplimiento ENS o, al menos, que los servicios prestados cubren las medidas aplicables.
  • Firmar el contrato y olvidarse. Los SLA y cláusulas sin seguimiento no aportan.
  • No tener plan B. Si el proveedor crítico falla, ¿qué haces? Si no hay respuesta documentada, es no conformidad.
  • Confiar en “lo que hacemos de facto”. Si no está escrito, no existe en auditoría.

Relación con NIS2

La directiva NIS2 refuerza también la cadena de suministro. Organizaciones alcanzadas por NIS2 encontrarán muchas sinergias al trabajar op.ext del ENS: casi el mismo inventario, casi las mismas cláusulas, casi los mismos procesos. Una única visión unificada ahorra trabajo.

Recomendación final

La cadena de suministro no se gestiona con un proyecto puntual: se gestiona con un proceso vivo. Invertir en un inventario sólido y en unas cláusulas contractuales estándar al principio te ahorra mucho trabajo después. Es uno de los lugares donde la inversión inicial más se amortiza en los años sucesivos.

Sigue leyendo

Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu