Riesgos de Terceros TPRM: Sus Proveedores Son su Exposición

La gestión de riesgos de terceros (Third Party Risk Management o TPRM) es el proceso sistemático mediante el cual una organización identifica, evalúa, monitoriza y mitiga los riesgos derivados de su dependencia de proveedores, socios y otros terceros que tienen acceso a sus sistemas, datos o procesos críticos. En la UE, el Reglamento DORA (aplicable desde enero de 2025) impone a las entidades financieras obligaciones específicas de gestión de riesgos de proveedores TIC, incluida la identificación de proveedores críticos, la incorporación de cláusulas contractuales mínimas y el derecho de auditoría. La Directiva NIS2 exige que las entidades esenciales e importantes de sectores críticos gestionen los riesgos de seguridad de su cadena de suministro digital. Según datos del sector, el 40% de las interrupciones de negocio graves tienen su origen en fallos de terceros, no en incidentes internos.

Nuestro equipo de gestión de riesgos de terceros combina experiencia en due diligence corporativa con conocimiento de ciberseguridad, regulación digital y gestión de contratos con proveedores tecnológicos críticos.

La dependencia de terceros es una realidad estructural del negocio moderno. Las empresas externalizan funciones críticas — procesamiento de datos, infraestructura tecnológica, logística, gestión de nóminas — que hace veinte años eran capacidades internas controladas. Esta externalización genera eficiencia, pero también transfiere riesgo: cuando el proveedor falla, los clientes de ese proveedor sufren las consecuencias. El colapso de un proveedor de servicios cloud, un ataque de ransomware a un procesador de pagos o la quiebra de un proveedor logístico pueden paralizar operaciones de la misma forma que un desastre interno, con la diferencia de que sobre el incidente de un tercero la empresa tiene mucho menos control directo.

El primer paso es siempre la visibilidad. La mayoría de las organizaciones no tienen un inventario completo y actualizado de sus proveedores críticos: saben quienes son sus proveedores principales, pero no tienen una clasificación sistemática de cuales son los que, si fallaran, tendrían un impacto grave en la operación o en el cumplimiento normativo. Construir ese inventario — con clasificación por criticidad, acceso a sistemas y datos, y nivel de riesgo regulatorio — es la base de cualquier programa TPRM eficaz.

La due diligence de proveedores críticos va mucho más allá de revisar sus certificaciones. Evaluar la postura de ciberseguridad real de un proveedor — no solo si tiene la ISO 27001, sino como gestiona realmente los incidentes, como segmenta el acceso a los sistemas de sus clientes, que ocurre con los datos de la empresa si el proveedor es adquirido por un tercero — requiere cuestionarios detallados, revisión técnica y, en los casos más críticos, auditorías in situ. Para entidades financieras sujetas a DORA, este proceso está regulado con requisitos contractuales mínimos específicos que gestionamos de forma integral.

El marco contractual con proveedores críticos es el instrumento de protección más subestimado. Los contratos con grandes proveedores tecnológicos (cloud, software como servicio, procesadores de datos) suelen ser contratos de adhesión que el proveedor ofrece sin negociación. Sin embargo, en muchos casos es posible negociar cláusulas adicionales de seguridad, auditoría y continuidad, especialmente cuando el volumen del contrato lo justifica. Y en cualquier caso, el contrato debe incluir cláusulas de salida que permitan a la empresa migrar a un proveedor alternativo sin que el proveedor actual pueda bloquear la transición reteniendo datos o documentación técnica.

La monitorización continua es el componente que convierte el TPRM de un ejercicio puntual en una capacidad operativa permanente. Un proveedor que hoy tiene una postura de seguridad adecuada puede sufrir un incidente mañana: la monitorización de alertas de riesgo — noticias adversas, filtraciones de datos, sanciones regulatorias, cambios de propiedad — proporciona la señal anticipada que permite tomar decisiones proactivas antes de que el problema afecte a la operación. Integramos la monitorización de terceros con el registro de riesgos del marco ERM corporativo para garantizar que los riesgos de proveedores tienen visibilidad en el nivel directivo y del consejo. Para empresas que también han implantado un plan de continuidad de negocio, el TPRM es el complemento esencial que cubre los riesgos que provienen del exterior de la organización. Cuando un proveedor crítico falla de forma inesperada, la capacidad de respuesta depende en gran medida de haber establecido previamente un plan de recuperación ante desastres que contemple escenarios de indisponibilidad de terceros: sin ese plan, la empresa improvisa en el peor momento posible.

El problema que resuelve

El 40% de las interrupciones de negocio graves tienen su origen en fallos de terceros, no en incidentes internos. Sin embargo, la mayoría de las empresas no tienen ni un inventario completo de sus proveedores críticos ni contratos que protejan sus intereses ante un fallo del proveedor. El escenario típico: una empresa depende de un proveedor cloud para su ERP, el proveedor sufre una caida de 24 horas, y al revisar el contrato descubren que el SLA solo garantiza el 99,5% de disponibilidad mensual (lo que equivale a 3,6 horas de caida aceptable por mes sin compensación), que no hay cláusulas de continuidad, y que el proveedor no tiene obligación de notificar los incidentes. DORA para el sector financiero y NIS2 para sectores esenciales exigen ya documentar y gestionar formalmente estos riesgos, con posibilidad de sanción si no se cumple.

Como lo abordamos

Nuestros profesionales implementan el programa TPRM en tres fases. La primera es la visibilidad: construimos el inventario completo de terceros con acceso a sistemas, datos o procesos críticos, y los clasificamos por nivel de criticidad (críticos, importantes, ordinarios). La segunda es la evaluación: para los proveedores críticos realizamos due diligence estructurada con cuestionario de seguridad, revisión de certificaciones (ISO 27001, SOC2, ENS) y evaluación de capacidad de continuidad. La tercera es la protección: revisamos y reforzamos los contratos con proveedores críticos (cláusulas de auditoría, notificación de incidentes en menos de 24 horas, SLAs con penalizaciones, cláusulas de salida y transición) e implementamos el sistema de monitorización continua con alertas de riesgo en tiempo real.

Lo que incluye el servicio

El servicio cubre el inventario y clasificación de todos los terceros con acceso a sistemas o datos críticos, la due diligence estructurada de proveedores críticos (cuestionario de seguridad, revisión de certificaciones, evaluación de continuidad, informe de riesgo con recomendaciones), la revisión y refuerzo del marco contractual con cláusulas de seguridad, auditoría, SLAs y salida, el sistema de monitorización continua con alertas de riesgo, la revisión anual de la evaluación de proveedores críticos, la integración con el registro de riesgos ERM corporativo, y para entidades financieras el cumplimiento de los requisitos específicos de DORA.

Resultados que puedes esperar

Las empresas que implementan el programa TPRM con nuestro equipo identifican en promedio entre tres y ocho proveedores críticos cuyo contrato no tiene cláusulas mínimas de protección ante un fallo o incidente de seguridad. La renegociacion de estos contratos genera protecciones concretas: SLAs con penalizaciones reales, cláusulas de notificación de incidentes en 24 horas, y derechos de auditoría. El tiempo de detección de un problema en un proveedor crítico se reduce de días o semanas a horas gracias al sistema de monitorización continua. Y para entidades sujetas a DORA o NIS2, la implementación del programa TPRM elimina el riesgo de sanción regulatoria por incumplimiento de los requisitos de gestión de riesgos de la cadena de suministro.

Marco regulatorio de la gestión de riesgos de terceros

La gestión de riesgos de proveedores y terceros ha pasado de ser una buena práctica voluntaria a una obligación legal en varios marcos regulatorios europeos y españoles.

Reglamento DORA (Reglamento 2022/2554/UE), en aplicación desde enero de 2025: es el marco más exigente en materia de TPRM para el sector financiero europeo. El Capítulo V de DORA regula específicamente la gestión del riesgo de terceros proveedores de TIC. Las entidades financieras deben: mantener un registro actualizado de todos los acuerdos contractuales con proveedores TIC (Art. 28); clasificar los proveedores en función de su criticidad para los servicios esenciales de la entidad; realizar evaluaciones de riesgo antes de contratar un proveedor TIC crítico y durante la vigencia del contrato; incluir en los contratos con proveedores TIC críticos las cláusulas mínimas establecidas en el Art. 30 (derechos de auditoría, obligación de notificación de incidentes en 24 horas, SLAs con penalizaciones, cláusulas de subcontratación y de salida); y para los proveedores TIC de importancia sistémica, someterse a las supervisiones específicas del SEBC/ABE/AEVM.

Directiva NIS2 (2022/2555/UE): el Art. 21.2.d exige que las entidades esenciales e importantes adopten medidas de gestión de riesgos que cubran explícitamente la “seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores directos o proveedores de servicios”. La NIS2 no especifica una metodología concreta, pero exige que las entidades evalúen el nivel de ciberseguridad de sus proveedores y adopten medidas proporcionales al riesgo identificado. Las entidades que incumplan estas obligaciones están sujetas a sanciones de hasta 10 millones de euros o el 2% de la facturación global anual.

Directiva CSDD (Directiva 2024/1760/UE sobre diligencia debida en sostenibilidad empresarial): en proceso de transposición en los Estados miembros, exige a las grandes empresas (más de 1.000 empleados y más de 450 millones de euros de facturación) y a las empresas de alto riesgo medioambiental realizar diligencia debida sobre los impactos adversos reales y potenciales de sus operaciones y de sus cadenas de valor sobre los derechos humanos y el medioambiente. La cadena de valor incluye proveedores directos e indirectos, así como las relaciones de negocio establecidas. Las empresas en la cadena de suministro de empresas europeas grandes están expuestas a cuestionarios de diligencia debida de sus clientes que deben ser gestionados de forma profesional.

Ley 5/2022 de modificación de la Ley de Sociedades de Capital en materia de operaciones con partes vinculadas: aunque centrada en el gobierno corporativo de las empresas, su ámbito de aplicación a las operaciones materiales con terceros vinculados refuerza la necesidad de documentar y justificar las condiciones de las relaciones con proveedores que puedan considerarse partes vinculadas a efectos fiscales (Art. 18 LIS sobre precios de transferencia).

RGPD (Reglamento 2016/679/UE), Art. 28: cuando los proveedores tienen acceso a datos personales de la empresa (procesadores de nóminas, proveedores de CRM, servicios cloud que almacenan datos de clientes), el Art. 28 exige la firma de un contrato de encargo de tratamiento con un contenido mínimo específico (objeto, duración, naturaleza del tratamiento, tipo de datos, obligaciones del encargado). La responsabilidad solidaria del responsable del tratamiento ante un incumplimiento del encargado que resulte de no haber elegido un encargado que ofrezca garantías suficientes convierte la selección y evaluación de proveedores TIC en una obligación del RGPD.

Proceso operativo: implementación del programa TPRM

Fase 1 — Inventario y clasificación de terceros (semanas 1-4)

Construimos el inventario completo de todos los terceros con acceso a sistemas, datos o procesos críticos de la empresa: proveedores TIC (ERP, CRM, cloud, ciberseguridad), proveedores de servicios externalizados (nóminas, contabilidad, compliance), proveedores logísticos críticos, proveedores de materias primas o componentes críticos, y cualquier tercero cuya indisponibilidad generaría un impacto operacional significativo. Para cada tercero documentamos: la naturaleza del acceso (sistemas, datos personales, instalaciones), el tipo de datos que maneja, los sistemas que soporta, los SLAs comprometidos y las certificaciones de seguridad disponibles. Clasificamos cada tercero en tres niveles (crítico, importante, ordinario) en función del impacto que su fallo o incidente tendría en la operación de la empresa.

Fase 2 — Due diligence de proveedores críticos (semanas 4-10)

Para cada proveedor clasificado como crítico realizamos la due diligence específica: cuestionario de seguridad estructurado (postura de ciberseguridad, políticas de acceso, gestión de incidentes, capacidad de recuperación ante desastres, subcontratistas), revisión de las certificaciones disponibles (ISO 27001, SOC2 Tipo II, ENS), evaluación de la capacidad de continuidad (¿tiene el proveedor un BCP probado? ¿cuáles son sus RTO/RPO para los servicios que nos presta?), y análisis de situación financiera básica (¿es el proveedor solvente? ¿podría ser adquirido por un competidor?). Para los proveedores de mayor criticidad, puede ser necesaria una auditoría in situ o una revisión del informe SOC2 de controles. Entregable: informe de riesgo por proveedor con clasificación y recomendaciones.

Fase 3 — Revisión y refuerzo del marco contractual (semanas 8-14)

Revisamos los contratos con los proveedores críticos identificando las cláusulas ausentes o insuficientes en materia de seguridad y continuidad. Para cada proveedor critico negociamos la incorporación de las cláusulas mínimas: SLAs con definición precisa de la disponibilidad prometida, penalizaciones concretas por incumplimiento, obligación de notificación de incidentes de seguridad en 24 horas, derechos de auditoría (al menos a través de cuestionarios y/o informes de auditoría), limitaciones a la subcontratación sin autorización previa, y cláusulas de salida que garanticen la portabilidad de los datos y la asistencia en la migración sin bloqueo por parte del proveedor saliente.

Fase 4 — Implementación del sistema de monitorización continua (semanas 12-16)

Implementamos el sistema de monitorización continua de proveedores críticos: alertas automáticas sobre eventos relevantes (incidentes de seguridad publicados, sanciones regulatorias, cambios de propiedad, noticias adversas), revisión trimestral del estado de las certificaciones, y seguimiento de los indicadores de rendimiento (SLAs cumplidos, incidentes comunicados, tiempo de resolución). Integramos los resultados de la monitorización en el registro de riesgos ERM corporativo para que los riesgos de proveedores tengan visibilidad en el nivel directivo.

Fase 5 — Revisión anual y adaptación regulatoria

El programa TPRM requiere revisión anual: incorporación de nuevos proveedores críticos, re-evaluación de proveedores existentes ante cambios relevantes (cambio de propiedad, incidente de seguridad, nueva regulación aplicable), y actualización del marco contractual ante cambios normativos (requisitos DORA, NIS2, CSDD según se vayan implementando). Para entidades financieras sujetas a DORA mantenemos el registro de acuerdos contractuales actualizado y preparamos el reporting al organismo supervisor.

Errores frecuentes en la gestión de riesgos de terceros

1. No tener un inventario completo de proveedores con acceso a sistemas o datos. La mayoría de las empresas conocen a sus proveedores principales pero no tienen catalogados todos los proveedores que tienen acceso, aunque sea indirecto, a sus sistemas o datos críticos. Un proveedor de limpieza con acceso físico a la sala de servidores, un freelance con acceso al CRM, o una herramienta de productividad cloud no catalogada pueden ser el vector de entrada de un incidente de seguridad.

2. Exigir certificaciones sin evaluar el cumplimiento real. La certificación ISO 27001 o SOC2 de un proveedor acredita que ha superado una auditoría en un momento dado, no que cumple continuamente. Un proveedor con ISO 27001 que subcontrata partes críticas del servicio sin comunicarlo, o que no ha actualizado sus sistemas ante una vulnerabilidad crítica, puede ser más peligroso que uno sin certificación pero con controles reales más robustos.

3. No negociar cláusulas de auditoría y de salida. Los contratos de adhesión de los grandes proveedores cloud o SaaS no incluyen habitualmente derechos de auditoría ni obligaciones de asistencia en la migración. Sin estas cláusulas, la empresa queda en una posición de dependencia que puede resultar muy costosa si necesita cambiar de proveedor o si el proveedor sufre un incidente grave.

4. Ignorar los cambios de propiedad del proveedor. Una adquisición del proveedor por un competidor de la empresa, por un fondo de capital riesgo con un enfoque diferente, o por una entidad con problemas de reputación puede cambiar radicalmente las condiciones del servicio. La monitorización de cambios de propiedad de proveedores críticos debe estar incluida en el sistema de alertas.

5. No actualizar la due diligence de proveedores ante cambios regulatorios. DORA entró en aplicación en enero de 2025 con requisitos específicos sobre proveedores TIC para entidades financieras. NIS2 está en proceso de transposición con requisitos de gestión de la cadena de suministro. Una due diligence realizada en 2023 puede ya no ser suficiente para cumplir los nuevos requisitos regulatorios.

Fuentes y Marco Normativo

• EUR-Lex - Reglamento 2022/2554/UE (DORA)
• EUR-Lex - Directiva 2022/2555/UE (NIS2)
• EUR-Lex - Directiva 2024/1760/UE (CSDD)
• EUR-Lex - Reglamento 2016/679/UE (RGPD), Art. 28
• ISO 27001:2022 - Sistemas de Gestión de Seguridad de la Información
• ENISA - Directrices de seguridad de la cadena de suministro