El Grupo de Cooperación NIS ha adoptado la Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC
de la UE, desarrollada por los Estados miembros con el apoyo de la Comisión y la Agencia de la UE para la Ciberseguridad (ENISA), así como dos evaluaciones de riesgos relativas a vehículos conectados y automatizados y equipos de detección, respectivamente.
El Conjunto de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE ofrece un enfoque horizontal, común y no vinculante para identificar, evaluar y mitigar los riesgos de ciberseguridad en las cadenas de suministro de TIC. Tras las Conclusiones del Consejo de la UE sobre seguridad de la cadena de suministro de TIC de 2022, el conjunto de herramientas se desarrolló en el marco del Grupo de Cooperación NIS.
Se basa en un enfoque integral y define conceptos clave relacionados con la seguridad de la cadena de suministro de TIC. Al ser estrictamente independiente de cada actor, describe escenarios de riesgo que afectan al ecosistema digital de la Unión y recomienda medidas de mitigación, como el establecimiento de un marco para la evaluación de proveedores críticos, la promoción de estrategias multiproveedor y la eliminación de la dependencia de proveedores de alto riesgo.
De conformidad con la Directiva NIS2 , el Conjunto de Herramientas de Seguridad de la Cadena de Suministro de las TIC contribuye significativamente al marco para las evaluaciones coordinadas de riesgos de seguridad a nivel de la Unión de las cadenas de suministro críticas de las TIC, de conformidad con el artículo 22 de la Directiva NIS2. Está diseñado no solo para ayudar a los Estados miembros, sino también para apoyar a los agentes públicos y privados en la evaluación y gestión de los riesgos relacionados con las cadenas de suministro de servicios, sistemas y productos de las TIC.
Los Estados miembros disponen ahora de un conjunto estructurado de medidas voluntarias que pueden adaptarse a sus contextos y prioridades nacionales. Como parte de los próximos pasos, el Grupo de Cooperación SRI realizará, al cabo de un año, una revisión de la aplicación del Conjunto de Herramientas. Esto servirá para evaluar los avances, compartir las mejores prácticas, identificar los retos y recomendar los ajustes necesarios.
Dos evaluaciones
Además, el Grupo de Cooperación NIS ha adoptado los resultados de dos evaluaciones coordinadas de riesgos para la seguridad a nivel de la Unión , elaboradas por los Estados miembros con el apoyo de la Comisión y la ENISA.
La primera evaluación se centra en los vehículos conectados y automatizados (CAV) y sus cadenas de suministro, mientras que la segunda examina los riesgos de ciberseguridad relacionados con los equipos de detección utilizados por los agentes policiales y de seguridad de la UE en los pasos fronterizos de la UE.
El objetivo principal de ambos informes es ofrecer una visión general completa de los riesgos de ciberseguridad identificados, sus posibles consecuencias y las medidas de mitigación necesarias para abordarlos. La evaluación de los vehículos conectados y automatizados demuestra que, si bien estos vehículos ofrecen numerosos beneficios potenciales en materia de seguridad y eficiencia energética, introducen nuevos e importantes riesgos de ciberseguridad. Los vehículos conectados y automatizados procesan una gran cantidad de datos personales y sensibles y, en algunos casos, pueden utilizarse como arma.
Para abordar estos riesgos, el Grupo de Cooperación NIS recomienda, entre otras medidas para mejorar la ciberseguridad, que la Comisión, junto con los Estados miembros, identifique medidas proporcionadas para reducir el riesgo de proveedores de alto riesgo en las cadenas de suministro de la UE, especialmente en lo que respecta a los sistemas de procesamiento y toma de decisiones, los sistemas de comunicación y conectividad, y los sistemas de control de vehículos que pueden recibir actualizaciones remotas. El informe también sugiere realizar investigaciones de seguimiento para evaluar el impacto de los ciberataques en la infraestructura de carga de la red eléctrica en su conjunto.
La segunda evaluación coordinada de riesgos se centra en los equipos de detección. Su objetivo es ofrecer una visión general de los riesgos de ciberseguridad asociados a estos equipos, considerados en general parte de la infraestructura crítica de la UE, y sus consecuencias, así como las medidas de mitigación necesarias para abordarlos, tanto si se utilizan de forma independiente como en entornos interconectados e interoperables.
Los equipos de detección comprometidos pueden controlarse remotamente, explotarse como vector de ataque o neutralizarse para facilitar actos maliciosos. Los incidentes también pueden deberse a errores humanos, fallos del sistema o fenómenos naturales. Además, el propio mercado de equipos de detección, dominado por un número limitado de fabricantes de fuera de la UE, ha presentado graves deficiencias y desafíos adicionales para la seguridad de la UE, en particular en lo que respecta a la diversificación del mercado, la disponibilidad de equipos y componentes, la protección de infraestructuras críticas, etc.
Para la gestión eficaz de estos riesgos, esta evaluación identifica diversas medidas de mitigación, como la aplicación efectiva de medidas a nivel de la UE para proveedores de alto riesgo y la mejora de las prácticas de contratación mediante la imposición de requisitos de seguridad para la financiación de la UE. Otras recomendaciones se refieren a prácticas de mantenimiento y protocolos de seguridad para el uso y acceso a los equipos.
Un poco de contexto
El conjunto de herramientas describe escenarios de riesgo y recomienda medidas de mitigación, incluyendo la evaluación de proveedores críticos, la importancia de las estrategias multiproveedor y enfoques para superar la dependencia de proveedores de alto riesgo . Además, faculta a los Estados Miembros para fortalecer la seguridad de la cadena de suministro de las TIC.
El Grupo de Cooperación NIS2 , en el que participan los Estados miembros de la UE, la Comisión Europea y la Agencia de la UE para la ciberseguridad (ENISA), desarrolló la caja de herramientas y revisará sus avances dentro de un año.
Subrayando la importancia de garantizar la seguridad de nuestras cadenas de suministro de TIC, en la Ley de Ciberseguridad revisada, presentada el 20 de enero de 2026, la Comisión también propuso un marco fiable para la cadena de suministro de TIC, centrado en abordar riesgos no técnicos, como las interferencias externas, lo que permitirá un enfoque armonizado en las cadenas de suministro más críticas. La publicación también incluye dos evaluaciones de riesgos centradas en los vehículos conectados y automatizados , así como en los equipos de detección utilizados en fronteras y aduanas. Estos informes ofrecen un análisis exhaustivo de los riesgos de ciberseguridad, sus posibles consecuencias y las medidas de mitigación necesarias.
