{"id":20900,"date":"2026-06-21T11:00:00","date_gmt":"2026-06-21T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20900"},"modified":"2026-07-09T16:17:17","modified_gmt":"2026-07-09T16:17:17","slug":"el-riesgo-en-la-cadena-de-suministro-es-un-programa-no-una-lista-de-auditoria","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/21\/el-riesgo-en-la-cadena-de-suministro-es-un-programa-no-una-lista-de-auditoria\/","title":{"rendered":"El riesgo de la cadena de suministro es un programa, no una lista de auditor\u00eda"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lectura<\/p>\n<p><strong>La lista de proveedores estaba en verde antes de la auditor\u00eda. Entonces apareci\u00f3 el acceso de administrador de un subcontratista del proveedor de hosting del ERP en un sistema de tickets que no constaba ni en el contrato ni en el registro. NIS2 y DORA no exigen un archivo de cuestionarios marcados, sino un proceso que mantenga sincronizados de forma continua los contratos, los datos y los accesos.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">N\u00facleo legal:<\/strong> El p\u00e1rrafo 30 de la BSIG exige la seguridad de la cadena de suministro para los proveedores directos, el art\u00edculo 21 de NIS2 requiere una gesti\u00f3n continua de riesgos. Un registro por s\u00ed solo no lo cumple.<\/li>\n<li><strong style=\"color:#69d8ed;\">DORA es m\u00e1s estricto:<\/strong> En el sector financiero rige desde el 17 de enero de 2025 un registro de terceros de TIC con notificaci\u00f3n anual, estrategias de salida y supervisi\u00f3n continua. El 18 de noviembre de 2025, la autoridad de supervisi\u00f3n design\u00f3 a 19 proveedores cr\u00edticos.<\/li>\n<li><strong style=\"color:#69d8ed;\">Una instant\u00e1nea no basta:<\/strong> El estado del cuestionario de ayer no cubre el cambio de subcontratista de hoy. La categorizaci\u00f3n por criticidad y el monitoreo continuo sustituyen a la auditor\u00eda anual.<\/li>\n<li><strong style=\"color:#69d8ed;\">La responsabilidad decide:<\/strong> Sin un propietario claro para cada paso del proceso y la conexi\u00f3n al registro de riesgos empresariales, el riesgo de proveedores sigue siendo un ticket de compras en lugar de un tema para la direcci\u00f3n.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/25\/puerta-trasera-ataque-coordinado-a-la-cadena-de-suministro-en-npm-pypi-y-crates\/\" style=\"color:#333;text-decoration:underline;\">TrapDoor: Ataque a la cadena de suministro en npm, PyPI y Crates<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/22\/dora-y-nis2-por-que-las-auditorias-bancarias-ahora-chocan\/\" style=\"color:#333;text-decoration:underline;\">DORA y NIS2: Por qu\u00e9 chocan las auditor\u00edas de los bancos<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Lo que el p\u00e1rrafo 30 exige realmente para la cadena de suministro<\/h2>\n<p><strong>\u00bfQu\u00e9 es la Gesti\u00f3n de Riesgos de Terceros?<\/strong> La Gesti\u00f3n de Riesgos de Terceros es el proceso continuo mediante el cual una organizaci\u00f3n identifica, eval\u00faa, contractualiza y supervisa los riesgos de seguridad de sus proveedores de servicios, proveedores de software y sus subcontratistas. Abarca desde la incorporaci\u00f3n hasta el control continuo y la baja.<\/p>\n<p>El p\u00e1rrafo 30 apartado 2 n\u00famero 4 de la BSIG menciona expresamente la seguridad de la cadena de suministro como medida obligatoria. El foco se centra en las relaciones con los proveedores directos. No se refiere a toda la cadena hasta la materia prima. Esa es la buena noticia para el Mittelstand: se trata de los socios contractuales directos que tienen acceso a sistemas o datos.<\/p>\n<p>La noticia menos c\u00f3moda aparece en el apartado 1 y en la plantilla europea. Las medidas deben ser adecuadas, proporcionadas y eficaces, y adem\u00e1s existe una obligaci\u00f3n de documentaci\u00f3n. El art\u00edculo 21 de NIS2 exige una gesti\u00f3n continua de riesgos para todos los sistemas de red y de informaci\u00f3n que utiliza la operaci\u00f3n. El considerando 85 de la directiva menciona expresamente la nube, la seguridad gestionada y el software. Un registro que se crea una vez al a\u00f1o no cumple esta obligaci\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">DORA convierte el registro en una obligaci\u00f3n permanente<\/h2>\n<p>Quienes trabajan en el sector financiero conocen el est\u00e1ndar m\u00e1s estricto. DORA es de aplicaci\u00f3n obligatoria desde el 17 de enero de 2025. Para las empresas financieras se aplica como derecho especial en lugar de las obligaciones de cadena de suministro de NIS2. Ambos reg\u00edmenes no se aplican en paralelo a la misma empresa. El art\u00edculo 28 deja la responsabilidad \u00edntegramente en la empresa financiera, incluso cuando el servicio est\u00e1 externalizado.<\/p>\n<p>El registro de la informaci\u00f3n no es un Excel que se rellena una vez. Se mantiene a nivel de entidad y de grupo, se notifica anualmente a la autoridad de supervisi\u00f3n y debe estar disponible completo a petici\u00f3n. Antes de cada contrato para una funci\u00f3n cr\u00edtica se realiza una Due Diligence, adem\u00e1s del an\u00e1lisis de riesgos de concentraci\u00f3n y las estrategias de salida. El art\u00edculo 30 prescribe contenidos contractuales concretos: regulaciones de subcontratistas, ubicaci\u00f3n del tratamiento de datos, derechos de auditor\u00eda y obligaciones de notificaci\u00f3n ante cambios sustanciales.<\/p>\n<p>La seriedad con la que la autoridad de supervisi\u00f3n lo toma qued\u00f3 patente el 18 de noviembre de 2025. Las autoridades europeas de supervisi\u00f3n EBA, EIOPA y ESMA publicaron la primera lista de proveedores cr\u00edticos de servicios TIC de terceros, 19 proveedores, entre ellos varios grandes proveedores de nube y SAP. Estos proveedores est\u00e1n ahora bajo supervisi\u00f3n directa de la UE. El riesgo de la cadena de suministro se regula a nivel de sistema, mucho m\u00e1s all\u00e1 del contrato individual.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Por qu\u00e9 el cuestionario anual no cierra la brecha<\/h2>\n<p>Una vez archiv\u00e9 un cuestionario de proveedor con un visto bueno verde en ISO 27001 y di el asunto por cerrado. Cuatro meses despu\u00e9s, el proveedor cambi\u00f3 a su subcontratista de hosting. El cuestionario segu\u00eda verde, la realidad ya no. Exactamente esta discrepancia temporal es el problema.<\/p>\n<p>El texto normativo se refiere a un ciclo. No le basta una verificaci\u00f3n \u00fanica. El p\u00e1rrafo 30 n\u00famero 6 exige una evaluaci\u00f3n de la eficacia, el art\u00edculo 30 de DORA exige supervisi\u00f3n continua en los contratos cr\u00edticos. No todos los proveedores necesitan la misma profundidad. Una categorizaci\u00f3n seg\u00fan el acceso a sistemas, la sensibilidad de los datos y la dependencia de disponibilidad separa a los socios Tier A de la larga lista de proveedores de servicios no cr\u00edticos.<\/p>\n<p>A esto se suma un problema de datos. Una encuesta sectorial sobre Gesti\u00f3n de Riesgos de Terceros de 2026 sugiere que solo una minor\u00eda de los programas est\u00e1 plenamente integrada en el Enterprise Risk Management y a\u00fan menos organizaciones califican su calidad de datos como alta. Los valores exactos dependen de la metodolog\u00eda. El diagn\u00f3stico se mantiene: sin un registro limpio no hay una decisi\u00f3n de categorizaci\u00f3n fiable. Sin conexi\u00f3n al ERM, el riesgo queda atascado en el ticket de compras en lugar de en el informe trimestral de la direcci\u00f3n.<\/p>\n<p>La siguiente tabla contrapone las dos formas de pensar.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Dimensi\u00f3n<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Lista de auditor\u00eda (instant\u00e1nea)<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Programa (continuo)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Frecuencia<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Una vez al a\u00f1o, antes de la auditor\u00eda<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Continuo, activado por cambios contractuales y de sistemas<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Alcance<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Todos los proveedores tratados por igual<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Categorizaci\u00f3n por criticidad, Tier A intensivo<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Subcontratistas<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">No registrados<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Cl\u00e1usulas de cascada, cuarta parte en el registro<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Integraci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Ticket de compras<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Registro de riesgos empresariales, informe a la direcci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Evidencia<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Archivo de cuestionarios<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Registro mantenido, historial de monitoreo, evaluaci\u00f3n de eficacia<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Cinco pilares que convierten el control en un programa<\/h2>\n<p>Un programa s\u00f3lido no necesita una gran plataforma, necesita propietarios claros para cada paso del proceso. Cinco pilares bastan para empezar.<\/p>\n<p><strong>Pol\u00edtica y categorizaci\u00f3n.<\/strong> Una matriz de criticidad seg\u00fan acceso, datos y disponibilidad determina qui\u00e9n es Tier A y con qu\u00e9 frecuencia se audita. El propietario es el \u00e1rea de Riesgos o el CISO, implementado por un responsable de TPRM.<\/p>\n<p><strong>Evaluaci\u00f3n de incorporaci\u00f3n.<\/strong> La Due Diligence precede al contrato. Despu\u00e9s, el acceso suele estar ya activo. Las evidencias de seguridad, las preguntas sobre ubicaci\u00f3n y la verificaci\u00f3n de conflictos deben aclararse antes de que el acceso se active. El art\u00edculo 28 de DORA lo convierte en obligaci\u00f3n para las funciones cr\u00edticas.<\/p>\n<p><strong>Supervisi\u00f3n continua.<\/strong> Mantenimiento del registro, recertificaci\u00f3n seg\u00fan riesgo y un canal para notificaciones de incidentes del proveedor. Aqu\u00ed vive o muere el programa. Un cambio de contrato en el proveedor debe generar una se\u00f1al. Una nota silenciosa no basta.<\/p>\n<p><strong>Baja.<\/strong> Revocaci\u00f3n de accesos, devoluci\u00f3n o eliminaci\u00f3n de datos y un fin de contrato documentado. El punto ciego m\u00e1s frecuente son los accesos que permanecen activos despu\u00e9s de finalizado el proyecto.<\/p>\n<p><strong>Cuarta parte y transparencia del software.<\/strong> Los subcontratistas pertenecen a los campos del registro, el software cr\u00edtico necesita una lista de materiales seg\u00fan el principio SBOM. Esta lista de materiales no es una obligaci\u00f3n normativa expresa, pero ayuda a trasladar la gesti\u00f3n de vulnerabilidades del p\u00e1rrafo 30 n\u00famero 5 de la BSIG hasta la cadena de suministro.<\/p>\n<p>Por encima de todo est\u00e1 la direcci\u00f3n. El p\u00e1rrafo 38 de la BSIG la obliga a la implementaci\u00f3n y supervisi\u00f3n. Un programa de TPRM sin una revisi\u00f3n visible por la direcci\u00f3n es una portada de CISO sin valor de gobernanza. El proveedor de servicios de instalaciones con acceso a la sala de servidores es Tier A, aunque compras lo clasifique solo bajo servicios de edificio. Precisamente estas clasificaciones deciden sobre el riesgo.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">El punto de partida: por d\u00f3nde empezar esta semana<\/h2>\n<p>El camino del cuestionario al programa no requiere un gran salto. Cinco pasos aportan estructura sin bloquear la operaci\u00f3n. Primero: identificar a los proveedores Tier A, es decir, todos aquellos con acceso a sistemas o datos cr\u00edticos. Segundo: contrastar el registro con la realidad e incorporar los subcontratistas que falten. Tercero: asignar a cada socio Tier A un propietario y un ritmo de supervisi\u00f3n. Cuarto: revisar las cl\u00e1usulas contractuales sobre derechos de auditor\u00eda, subcontratistas y obligaciones de notificaci\u00f3n. Quinto: elevar los riesgos de proveedores como entradas al registro de riesgos empresariales, con informe trimestral a la direcci\u00f3n.<\/p>\n<p>Esto no es un proyecto con fecha de finalizaci\u00f3n. Es un modo operativo. Quien lo ha establecido una vez, supera la siguiente auditor\u00eda de forma incidental, porque la evidencia es un subproducto de la operaci\u00f3n en curso.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Al tocarla se desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfBasta un directorio de proveedores para el cumplimiento de NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El p\u00e1rrafo 30 de la BSIG y el art\u00edculo 21 de NIS2 exigen medidas adecuadas, eficaces y gestionadas de forma continua. Un directorio por s\u00ed solo no basta. Un registro est\u00e1tico sin categorizaci\u00f3n, supervisi\u00f3n y evaluaci\u00f3n de eficacia no cubre la obligaci\u00f3n de gesti\u00f3n de riesgos.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 diferencia a DORA de las obligaciones de cadena de suministro de NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">DORA se aplica desde el 17 de enero de 2025 en el sector financiero y tiene prioridad all\u00ed. Exige un registro formal de terceros de TIC con notificaci\u00f3n anual, estrategias de salida y contenidos contractuales detallados seg\u00fan el art\u00edculo 30. NIS2 establece el marco de forma m\u00e1s amplia, pero menos formalizada.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebemos registrar a los subcontratistas de nuestros proveedores de servicios?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">En el sector financiero s\u00ed, en cuanto afecten a funciones cr\u00edticas o importantes. El art\u00edculo 30 de DORA y las especificaciones t\u00e9cnicas del registro exigen cl\u00e1usulas de cascada y el registro de subcontratistas relevantes. Bajo NIS2, el p\u00e1rrafo 30 n\u00famero 4 se refiere principalmente a los proveedores directos; la obligaci\u00f3n expresa de registrar subcontratistas es una particularidad de DORA.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCon qu\u00e9 frecuencia debemos reevaluar a los proveedores?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No existe una frecuencia fija para todos. El ritmo depende del nivel: proveedores cr\u00edticos con acceso a sistemas de forma estrecha y orientada a eventos; proveedores de servicios no cr\u00edticos con menor frecuencia. Los desencadenantes son cambios contractuales, cambios de subcontratistas e incidentes de seguridad.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 es un SBOM y por qu\u00e9 pertenece al TPRM?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Un SBOM es una lista de materiales de los componentes de software de un producto, a menudo en formato CycloneDX o SPDX. Muestra qu\u00e9 bibliotecas proceden de la cadena de suministro y apoya as\u00ed la gesti\u00f3n de vulnerabilidades del p\u00e1rrafo 30 n\u00famero 5. No est\u00e1 prescrito un SBOM, pero se ha establecido como pr\u00e1ctica. Sin esta transparencia, el origen del software sigue siendo un punto ciego.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/25\/puerta-trasera-ataque-coordinado-a-la-cadena-de-suministro-en-npm-pypi-y-crates\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/st-15595-pexels-30901557-cybersecurity-vulnerability-250x167.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Puerta trasera: Ataque coordinado a la cadena de suministro en npm, PyPI y Crates \u2013 qu\u00e9 deben<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/22\/dora-y-nis2-por-que-las-auditorias-bancarias-ahora-chocan\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/dora-nis2-doppel-compliance-deutsche-banken-audit-team-2026-cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">DORA y NIS2: Por qu\u00e9 las auditor\u00edas bancarias ahora chocan<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/05\/16\/requisitos-tecnicos-minimos-para-pymes-2026\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/nis2-technische-mindestanforderungen-mittelstand-2026-cover-hero-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Donde la peque\u00f1a y mediana empresa todav\u00eda est\u00e1 t\u00e9cnicamente rezagada en NIS2<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/geopolitica-datacenters-cio-asegurar\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Geopol?tica y datacenters: lo que los CIO deben asegurar<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/acto-de-la-ue-sobre-ia-a-partir-de-agosto-de-2026-lo-que-las-pymes-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Reglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahora<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/06\/16\/xfs4iot-se-encuentra-con-la-nube-el-cajero-automatico-se-convierte-en-plataforma\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT se encuentra con la nube: El cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Riesgo en la cadena de suministro seg\u00fan NIS2 y DORA: Por qu\u00e9 el cuestionario para proveedores no es suficiente y c\u00f3mo un programa TPRM con clasificaci\u00f3n\u2026","protected":false},"author":10,"featured_media":18182,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"\"Lieferkettenrisiko\" is a compound word. \"Lieferkette\" means supply chain, and \"Ris","_yoast_wpseo_title":"El riesgo en la cadena de suministro es un programa, no una lista de auditor\u00eda","_yoast_wpseo_metadesc":"Riesgo en la cadena de suministro seg\u00fan NIS2 y DORA: Por qu\u00e9 el cuestionario de proveedores no es suficiente y c\u00f3mo un programa TPRM con clasificaci\u00f3n\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/tprm-lieferkettenrisiko-nis2-dora-programm-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[261,258],"tags":[],"class_list":["post-20900","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-es","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"es","wpml_translation_of":18181,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20900","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20900"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20900\/revisions"}],"predecessor-version":[{"id":21059,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20900\/revisions\/21059"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18182"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20900"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20900"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20900"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}