red seguridad cuarto trimestre 2025 55 entidades críticas monográfico nario de continua amenaza y que, de hecho, se están asegurando su futuro con dicha mejora. La versión que sigue triunfando es la cortoplacista, que se fija solo en el efecto sobre la competitividad. Cadena de suministro Pero dicho esto, no está todo perdido. Hace algunas semanas se publicaba en la página del Foro Nacional de Ciberseguridad el documento titulado Análisis y Propuestas Relativas a la Seguridad de la Cadena de Suministro1, en el que he tenido la oportunidad de participar como editor junto a mi colega Pedro Pablo López. En este documento se analiza cómo se puede mejorar el enfoque de la gestión del riesgo de la cadena de suministro a la luz de los crecientes requisitos en esta materia y, en particular, de la Directiva NIS2. El diagnóstico de partida se resume en estos siete puntos: La imposibilidad de que los usuarios supervisen a todos sus proveedores de servicio. La ausencia de un mecanismo de certificación global aplicable a todos los casos de uso. La ausencia de requisitos obligatorios para los proveedores de servicios. Una regulación segmentada. La ausencia de mecanismos de evaluación variados. La dificultad para evaluar toda la cadena de suministro de los proveedores. Las dificultades existentes para que los proveedores sean auditados en términos de seguridad contractual y para implementar acciones correctivas ante las debilidades detectadas. Tras analizar las alternativas de las que disponen las empresas (certificación, calificación, auditorías, supervisión de la Administración Pública y declaraciones de conformidad), el consenso al que llegó el grupo de especialistas que han desarrollado el documento es que la solución pasa por adoptar una “estrategia similar a la utilizada en otros sectores de actividad”: establecer un conjunto de medidas mínimas de seguridad exigibles a todos los actores, junto con la obligación de transparencia respecto a las medidas de seguridad implementadas en los servicios y productos comercializados. Pero no está todo perdido. Si como resultado de la trasposición de la directiva acabamos con unos requisitos mínimos exigibles para todos −ese ENS de categoría baja con un perfil de protección−, solo faltaría incluir en la trasposición la obligación de transparencia para completar la ecuación propuesta por el Foro Nacional de Ciberseguridad. Mientras tanto, algunas empresas pioneras ya han decidido dar ese paso de motu proprio y mostrar el nivel de capacidades de ciberseguridad implementadas en sus servicios mediante el registro público de calificaciones de ciberseguridad que ofrece Leet Security2. En este sentido cabe preguntarse si, ante un servicio crítico para tu organización, ¿te vas a conformar con unas mínimas medidas o quieres asegurar que el nivel sea, al menos, como el tuyo propio? Referencias 1www.dsn.gob.es/sites/default/files/2025-09/Análisis%20y%20propuestas%20relativas%20a%20la%20 seguridad%20de%20la%20cadena%20de%20suministro.pdf 2leetsecurity.com/es/registro-servicios/ La Directiva NIS2 no va a suponer un empuje significativo en el incremento de las medidas de seguridad de las empresas
RkJQdWJsaXNoZXIy MTI4MzQz