Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/NIS2/10 de abril de 20267 min

NIS2 y la cadena de suministro: cómo gestionar la seguridad de tus proveedores TIC

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

La seguridad de la cadena de suministro es una de las medidas obligatorias del art. 21 de NIS2. El ataque de SolarWinds, el caso Kaseya y otros incidentes recientes demostraron que las brechas en proveedores TIC pueden comprometer a centenares de organizaciones. NIS2 obliga a gestionar este riesgo de forma estructurada.

Puntos clave

1El art. 21.2.d obliga a evaluar la seguridad de los proveedores y acuerdos con terceros
2Debes identificar todos los proveedores TIC con acceso a tus sistemas o datos
3Los contratos deben incluir cláusulas de seguridad, notificación de incidentes y derecho de auditoría
4La revisión de la cadena de suministro debe ser periódica, no solo al inicio del contrato
5ENISA recomienda adoptar el marco de SBOM (Software Bill of Materials) para software crítico
6DORA (sector financiero) exige además un registro formal de todos los contratos TIC

Qué obliga NIS2 respecto a proveedores

El artículo 21.2.d de NIS2 exige adoptar políticas y procedimientos para garantizar la seguridad en la adquisición, desarrollo y mantenimiento de sistemas de información y redes, incluyendo la gestión y divulgación de vulnerabilidades. Esto abarca evaluar las prácticas de ciberseguridad de los proveedores directos y, cuando sea relevante, de los de segundo nivel.

Cláusulas contractuales recomendadas

Los contratos con proveedores TIC críticos deberían incluir las siguientes cláusulas mínimas para cumplir con el espíritu de NIS2 y proteger tu organización.

Obligación del proveedor de notificarte incidentes que afecten a tu entorno en plazo determinado (máx. 24 h)
Requisito de mantener certificaciones de seguridad vigentes (ISO 27001, ENS, SOC 2…)
Derecho de auditoría o acceso a resultados de auditorías de terceros
Cláusula de gestión de vulnerabilidades y parcheo en plazos definidos
Prohibición de subcontratación sin aprobación previa para acceso a sistemas críticos
Plan de continuidad del servicio y SLA con penalizaciones por incumplimiento

SBOM y visibilidad del software

ENISA y el NIST recomiendan el uso de Software Bill of Materials (SBOM) para el software crítico: un inventario de todos los componentes de software que componen una aplicación, sus dependencias y versiones. Los SBOM permiten detectar rápidamente qué sistemas están afectados cuando se publica una vulnerabilidad en un componente.

Próximos pasos recomendados

1Elabora un inventario de todos los proveedores TIC con acceso a tus sistemas o datos
2Clasifica los proveedores por criticidad (acceso a sistemas críticos, datos sensibles, etc.)
3Revisa los contratos actuales e incorpora las cláusulas de seguridad recomendadas en las próximas renovaciones
4Implementa un proceso de evaluación periódica (cuestionarios de seguridad, revisión de certificaciones)

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Art. 21 NIS2 — EUR-Lex, Medidas de gestión del riesgo de ciberseguridad en NIS2
ENISA — Supply Chain Cybersecurity, Guías y recursos de ENISA sobre seguridad en la cadena de suministro
INCIBE — Seguridad en la cadena de suministro, Guía práctica de INCIBE para pymes
NIST — SBOM resources, Recursos sobre Software Bill of Materials del NIST

También en NIS2

NIS2 en España: quién está obligado y qué exige la directiva

8 min

NIS2: mapa completo de sectores y entidades obligadas en España

6 min

NIS2: los tres plazos de notificación de incidentes que no puedes ignorar

5 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.