La Comisión Europea ha presentado un nuevo conjunto de herramientas para la seguridad de la cadena de suministro de las TIC, con el objetivo de proporcionar un enfoque común para identificar, evaluar y mitigar los riesgos de ciberseguridad en las cadenas de suministro de tecnologías digitales críticas.
El conjunto de herramientas describe diferentes escenarios de riesgo y recomienda medidas de mitigación, como la evaluación de proveedores críticos, la promoción de estrategias multiproveedor y la superación de la dependencia de proveedores de alto riesgo. Además, faculta a los Estados miembros para reforzar la seguridad de sus cadenas de suministro de TIC y adaptarlas a sus contextos y prioridades nacionales.
Desarrollo y evaluación de las cadenas de suministro
El desarrollo de este paquete se realizó en el marco del Grupo de Cooperación NIS2, integrado por los Estados miembros de la UE, la Comisión Europea y la Agencia de la UE para la Ciberseguridad (ENISA). Este grupo revisará la aplicación de las herramientas dentro de un año, con el objetivo de evaluar los avances, compartir buenas prácticas, identificar desafíos y proponer ajustes necesarios, asegurando así un enfoque coordinado en toda la Unión Europea.
Paralelamente, la Comisión Europea presentó el 20 de enero de 2026 una Ley de Ciberseguridad revisada, que incluye un marco fiable para la cadena de suministro de TIC. Este marco aborda riesgos no técnicos, como interferencias externas, además de los riesgos tecnológicos, y busca garantizar un enfoque armonizado en las cadenas de suministro más críticas, promoviendo la confianza y la resiliencia del ecosistema digital europeo.
Evaluaciones de riesgos específicas
La publicación incluye también dos evaluaciones de riesgos coordinadas por los Estados miembros, con el apoyo de la Comisión y ENISA. La primera evaluación se centra en los vehículos conectados y automatizados (CAV), analizando los riesgos asociados al procesamiento de grandes volúmenes de datos sensibles y a los sistemas de control de vehículos que pueden recibir actualizaciones remotas.
La segunda evaluación examina los equipos de detección utilizados en fronteras y aduanas, identificando vulnerabilidades que podrían ser explotadas de manera remota o mediante errores humanos, así como los desafíos relacionados con la disponibilidad de componentes y la concentración de fabricantes fuera de la UE.
Ambos informes ofrecen un análisis completo de los riesgos de ciberseguridad, sus posibles consecuencias y las medidas de mitigación necesarias. En el caso de los vehículos conectados, se destaca que, pese a los beneficios en seguridad y eficiencia energética, estos sistemas introducen nuevos vectores de ataque que deben gestionarse mediante estrategias multiproveedor y controles sobre proveedores de alto riesgo.
Medidas de seguridad y cumplimiento de la Directiva NIS2
Para los equipos de detección, se recomienda reforzar los protocolos de uso y mantenimiento, así como aplicar medidas de seguridad obligatorias para la financiación y adquisición de estos dispositivos.
El conjunto de herramientas está diseñado para ser estrictamente independiente de cada actor, proporcionando orientación flexible que puede aplicarse tanto en el sector público como en el privado. Su implementación permitirá a los Estados miembros, así como a empresas y operadores de infraestructuras críticas, evaluar y gestionar los riesgos de sus cadenas de suministro de manera estructurada, reduciendo la exposición a amenazas cibernéticas y fortaleciendo la resiliencia del ecosistema digital europeo.
Además, la iniciativa contribuye directamente al cumplimiento de la Directiva NIS2, facilitando evaluaciones coordinadas de riesgos de seguridad en las cadenas de suministro críticas de TIC, según lo establecido en el artículo 22 de la directiva. Esto incluye la identificación de medidas proporcionales para reducir la dependencia de proveedores de alto riesgo, la mejora de las prácticas de contratación y la promoción de estándares de seguridad armonizados en toda la UE, reforzando así la soberanía tecnológica y la confianza en los sistemas digitales del bloque.