Cumplimiento de NIS2 para el sector de Gestión de Servicios TIC (B2B)

Los proveedores de gestión de servicios TIC desempeñan un papel central en el apoyo a las operaciones digitales de las empresas en toda la Unión Europea. Los proveedores de servicios gestionados (MSPs), los proveedores de servicios de seguridad gestionada (MSSPs) y los operadores de TI externalizados a menudo tienen acceso privilegiado a redes, infraestructuras y datos de clientes. Como resultado, representan tanto habilitadores críticos como posibles puntos de concentración de riesgo cibernético.

La Directiva NIS2 establece obligaciones de ciberseguridad a nivel de la UE para entidades Esenciales y Entidades Importantes y amplía significativamente el alcance del marco NIS original. El cumplimiento de NIS2 para la gestión de servicios TIC (B2B) está diseñado para reducir el riesgo sistémico creado por proveedores TIC externos que prestan servicios a múltiples sectores.

La Directiva se aplica a organizaciones medianas y grandes que operan en sectores designados, incluida la gestión de servicios TIC. Muchos proveedores TIC B2B pueden estar dentro del alcance en función de los umbrales de tamaño.

Si su organización presta servicios de gestión de servicios TIC en régimen B2B, puede estar sujeta a NIS2 como entidad Importante.

El sector de Gestión de Servicios TIC (B2B) se clasifica como:

Anexo relevante: Annex II (Entidades Importantes)

Estas entidades prestan servicios relacionados con TIC a clientes empresariales, que a menudo incluyen monitorización de sistemas, gestión de infraestructuras, servicios de ciberseguridad, gestión de la nube y outsourcing de TI.

Las organizaciones que cumplen los umbrales de tamaño aplicables se tratan como entidades Importantes según NIS2.

• Entidad Importante bajo Annex II

• Proveedores de servicios gestionados (MSPs)
• Proveedores de servicios de seguridad gestionada (MSSPs)

Cobertura del subsector (Annex II – Gestión de Servicios TIC (B2B)):

El cumplimiento de NIS2 para la gestión de servicios TIC (B2B) se aplica a:

Esto incluye a MSPs y MSSPs que proporcionan servicios continuos de gestión, monitorización o seguridad a organizaciones clientes.

La aplicabilidad de NIS2 a pymes es especialmente relevante en este sector, ya que muchos proveedores de servicios TIC operan a escala de empresa mediana. Incluso los proveedores que atienden principalmente a pymes pueden estar dentro del alcance si cumplen los umbrales de tamaño de la UE.

Dado que los proveedores de gestión de servicios TIC a menudo prestan servicios a entidades Esenciales en varios sectores, su postura de ciberseguridad es de especial interés regulatorio.

• Empresas de tamaño medio (≥50 empleados y/o €10 millones de facturación anual o total del balance)
• Grandes empresas que superen esos umbrales

De conformidad con el Article 21 de la Directiva NIS2, los proveedores de gestión de servicios TIC deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para los proveedores de gestión de servicios TIC, estas medidas de seguridad de NIS2 deben abordar controles de acceso remoto, gestión de cuentas con privilegios, herramientas de monitorización de sistemas de clientes y plataformas seguras de prestación de servicios.

El cumplimiento de NIS2 para la gestión de servicios TIC (B2B) requiere una gobernanza interna sólida sobre las credenciales administrativas, segmentación entre entornos de clientes y capacidades robustas de registro y monitorización. Dado que estos proveedores pueden actuar como puertas de entrada a los sistemas de los clientes, sus controles deben ser particularmente estrictos.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo y mantenimiento seguros
• Políticas sobre cifrado y criptografía
• Control de acceso y autenticación multifactor (MFA)
• Gestión de vulnerabilidades y parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Los proveedores de gestión de servicios TIC deben seguir los plazos de notificación de incidentes de NIS2 cuando se produzcan incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben remitirse al CSIRT nacional pertinente o a la autoridad competente.

La regla de notificación de 24 horas de NIS2 es especialmente importante para los proveedores TIC cuyos sistemas pueden afectar a múltiples clientes simultáneamente. Los incidentes que impliquen acceso remoto no autorizado, ataques de ransomware o la compromisión de plataformas de servicio pueden calificarse como incidentes significativos.

El incumplimiento de la notificación dentro de los plazos prescritos puede dar lugar a medidas coercitivas y multas administrativas.

El cumplimiento de NIS2 para la gestión de servicios TIC (B2B) impone responsabilidad directa al órgano de dirección.

Los requisitos clave de gobernanza incluyen:

El Article 21 de la Directiva NIS2 deja claro que la ciberseguridad no es únicamente una cuestión técnica. La alta dirección de MSPs y MSSPs debe garantizar una adecuada gestión de riesgos, documentación y supervisión del cumplimiento.

Debido a que los proveedores de servicios TIC apoyan a múltiples clientes regulados, las fallas de gobernanza pueden generar un riesgo amplificado aguas abajo.

• Aprobación de las medidas de gestión de riesgos de ciberseguridad por el órgano de dirección
• Supervisión continua de la implementación
• Formación obligatoria en ciberseguridad para la dirección
• Posible exposición a responsabilidad personal conforme a la legislación nacional

Como entidades Annex II, los proveedores de gestión de servicios TIC clasificados como entidades Importantes están sujetos a supervisión reactiva. Las autoridades competentes normalmente inician medidas de supervisión tras pruebas, indicios o notificación de incumplimiento.

Las multas administrativas por incumplimiento son:

Las leyes de transposición nacionales pueden aclarar más los mecanismos de supervisión, pero la Directiva establece umbrales mínimos de sanción armonizados entre los Estados miembros.

Dado el riesgo de concentración asociado a los proveedores TIC, las acciones de ejecución pueden producirse tras incidentes significativos que afecten a varios sectores.

• Entidades Importantes: Hasta €7 millones o el 1,4% de la facturación anual total mundial (lo que resulte mayor)

Las pymes de gestión de servicios TIC deberían adoptar un enfoque estructurado para el cumplimiento de NIS2:

La preparación temprana reduce el riesgo de sanciones y refuerza la confianza de los clientes.

1. Realizar una evaluación de brechas frente a NIS2
2. Mapear los sistemas críticos orientados al cliente y los privilegios administrativos
3. Formalizar un marco documentado de gestión de riesgos de ciberseguridad
4. Actualizar y probar los procedimientos de respuesta a incidentes y notificación de brechas
5. Revisar los contratos con subcontratistas y proveedores tecnológicos terceros
6. Formar a la alta dirección y a los responsables de prestación de servicios
7. Establecer un flujo de trabajo de notificación 24h/72h/1 mes

Los proveedores de gestión de servicios TIC enfrentan riesgos específicos del sector según NIS2:

Por tanto, el cumplimiento de NIS2 para la gestión de servicios TIC (B2B) es tanto una obligación regulatoria como un factor diferenciador competitivo en el mercado de servicios B2B.

• Riesgo de concentración: Un único incidente puede afectar a múltiples clientes simultáneamente.
• Exposición de acceso privilegiado: La compromisión de credenciales administrativas puede tener un impacto amplio.
• Compromiso de la cadena de suministro: Los subcontratistas o proveedores de herramientas pueden introducir vulnerabilidades.
• Multas regulatorias: El incumplimiento expone a los proveedores a sanciones financieras significativas.
• Responsabilidad contractual: Los clientes pueden buscar recursos contractuales tras interrupciones del servicio.