DORA-ready
Registro y criticidad de proveedores ICT
Inventario completo, clasificación por criticidad, mapa de dependencias y registro listo para el artículo 28 de DORA y el supervisor competente.
TPRM · DORA · NIS2 · ISO 27001 · ENS
ENS ALTA · ISO 27001
Gestión de riesgo de terceros (TPRM): cadena de suministro digital bajo control
Programa TPRM operativo y auditable: inventario y criticidad de proveedores, due diligence técnica, cláusulas contractuales, monitorización continua y plan de salida. Diseñado para superar revisiones de DORA, NIS2, ISO 27001 y ENS.
Hard2bit es una empresa de ciberseguridad con sede en España que opera su propio SGSI auditado en ENS categoría ALTA e ISO/IEC 27001:2022. El programa TPRM se entrega con la misma disciplina de evidencia que aplicamos internamente.
NIS2
Cadena de suministro bajo control
Cumplimos el artículo 21.2.d de NIS2 con due diligence técnica, cuestionarios homogéneos y evidencias de revisión periódica trazables.
Continuo
Monitorización entre revisiones
Vigilancia de la postura del proveedor con señales externas, alertas de cambios materiales y cuadro de mando ejecutivo.
Audit-ready
Evidencia para auditoría y reguladores
Procedimientos, cuestionarios, contratos, registros de revisión y plan de salida estructurados para auditoría ISO 27001, ENS y banca/DORA.
Qué incluye el servicio
Un programa TPRM operativo y auditable, no una hoja Excel
Cubrimos el ciclo completo: del inventario inicial al plan de salida documentado, pasando por due diligence técnica, contratos y monitorización continua entre revisiones formales.
- Inventario consolidado de proveedores y subencargados con criticidad por servicio.
- Taxonomía de riesgo de terceros adaptada al sector y al perfil regulatorio.
- Due diligence técnica inicial: cuestionarios, evidencias, validación de controles y certificaciones.
- Cláusulas contractuales y SLAs alineados con DORA, NIS2, ISO 27001 y ENS.
- Monitorización continua entre revisiones con alertas de cambios materiales.
- Plan de salida y dependencia tecnológica para proveedores críticos.
- Cuadro de mando ejecutivo y operativo con KPIs y registro de evidencias.
- Coordinación con compras, legal, riesgos, DPO y dirección.
Cómo lo hacemos
Cuatro fases con entregables claros
Cada fase termina con artefactos accionables y trazabilidad para auditoría. Adaptamos la cadencia al perfil regulatorio del cliente.
Fase 01
Inventario, criticidad y modelo operativo
Construimos el inventario consolidado de proveedores y subencargados, clasificamos cada relación por criticidad (servicio prestado, datos tratados, dependencia operativa) y definimos el modelo operativo: responsables, ciclo de revisión, escalado y entradas del comité.
Fase 02
Due diligence técnica y cuestionarios
Aplicamos un cuestionario homogéneo por nivel de criticidad (basado en ISO 27001 Anexo A 5.19-5.22, DORA y, cuando aplica, PCI-DSS), validamos certificaciones reales (no solo declaradas) y solicitamos evidencias proporcionales al riesgo.
Fase 03
Contratos, cláusulas y plan de salida
Revisamos o redactamos las cláusulas críticas: derechos de auditoría, notificación de incidentes en plazo, subcontratación, ubicación de datos, transferencias internacionales, terminación, portabilidad y plan de salida para proveedores críticos.
Fase 04
Monitorización continua y revisión gobernada
Operamos la vigilancia entre revisiones formales: cambios materiales, brechas públicas, fin de soporte, expiración de certificaciones. El comité revisa indicadores y decide reclasificaciones, planes de mejora o cambio de proveedor cuando procede.
Entregables principales
Lo que recibes al contratar el programa
Inventario maestro de proveedores
Registro consolidado con criticidad, datos tratados, contratos, subencargados y dependencias clave.
Informe de due diligence por proveedor
Análisis técnico con hallazgos, evidencias, calificación de madurez y recomendaciones priorizadas.
Paquete contractual de referencia
Cláusulas tipo DORA/NIS2/ISO 27001/ENS, anexos de seguridad y plantillas adaptables por nivel de criticidad.
Cuadro de mando ejecutivo
KPIs de cobertura, residual risk, proveedores fuera de SLA y proveedores con plan de mejora abierto.
Plan de salida para proveedores críticos
Procedimiento de portabilidad, alternativas viables, plazos y responsables documentados antes de la firma.
Valor por perfil
Quién utiliza el programa TPRM dentro de la organización
CISO / Responsable de Seguridad
Visibilidad real del riesgo de terceros, no una hoja Excel sin actualizar. Cobertura medible, alertas accionables y conversación con dirección con datos.
DPO / Responsable de Privacidad
Registro completo de encargados y subencargados, cláusulas RGPD verificadas y trazabilidad de transferencias internacionales sin trabajo manual repetido.
Compras y Legal
Criterios homogéneos para incorporar proveedores, cláusulas tipo aprobadas y un proceso que se integra con el flujo de contratación existente.
Dirección / Comité de Riesgos
Lectura ejecutiva del riesgo de cadena de suministro, indicadores comparables entre proveedores y soporte de decisión para renovaciones y reemplazos.
Casos de uso típicos
Cuándo se activa el programa TPRM
Cumplimiento DORA en entidad financiera
Inventario completo de proveedores ICT, clasificación de criticidad, registro detallado, due diligence reforzada para los críticos y plan de salida documentado antes del 17 de enero de 2026.
NIS2 en empresa esencial o importante
Programa TPRM proporcional al perfil de la organización con cuestionarios homogéneos, evidencia anual de revisión y mapeo a controles NIS2 utilizables en auditoría.
ISO 27001:2022 — controles 5.19 a 5.22
Proveedores tratados como activo gestionado: política, due diligence, cláusulas contractuales, revisión periódica y respuesta a cambios. Evidencia lista para auditoría de certificación.
Due diligence técnica en M&A
Evaluación rápida del riesgo de terceros de la compañía objetivo dentro de una operación corporativa: proveedores críticos heredados, exposiciones contractuales y planes de mitigación post-cierre.
Respuesta a incidente en un proveedor
Cuando un proveedor sufre una brecha, activamos el procedimiento: evaluación de impacto, comunicación coordinada, evidencias para regulador y, si procede, plan de migración o reemplazo.
100%
Proveedores críticos con due diligence vigente
≤48h
Notificación interna de cambios materiales en proveedor
1 año
Cadencia mínima de revisión para proveedores críticos
Modalidades y precios
Cuatro modalidades con precios «desde»
Desde una evaluación puntual de un proveedor crítico hasta el programa completo con monitorización continua. Workshop de explicación incluido en todas las modalidades.
| Modalidad | Alcance | Incluye | Precio |
|---|---|---|---|
| TPRM Assessment | 1 proveedor crítico (revisión puntual) | Due diligence técnica completa de un proveedor crítico: cuestionario, evidencias, validación de certificaciones, análisis contractual y plan de mejora. Entregable en 2-3 semanas. | desde 2.450 € |
| TPRM Programa Top | Implantación completa del programa (hasta 25 proveedores) | Política, taxonomía de riesgo, modelo operativo, cuestionarios homogéneos, due diligence inicial de hasta 25 proveedores, paquete contractual y cuadro de mando. | desde 6.900 € |
| TPRM Continuous | Monitorización + revisión anual + comité | Vigilancia continua entre revisiones, alertas de cambios materiales, comité de riesgos de terceros y reevaluación anual de proveedores críticos. Tarifa recurrente. | desde 950 €/mes |
| TPRM Enterprise | Programa multinacional o multi-unidad | Programas con varias unidades de negocio, jurisdicciones múltiples, más de 100 proveedores o integración con plataforma GRC corporativa. Dimensionado a propuesta. | A medida |
Todos los precios se indican sin IVA. Importes «desde» orientativos. Las condiciones definitivas — alcance, número de proveedores, criticidad, integración con plataforma GRC del cliente, plazos y términos contractuales — se reflejarán en la propuesta comercial firmada.
Marco operativo del proveedor
Operamos el programa TPRM dentro de nuestro propio SGSI auditado en ENS categoría ALTA e ISO/IEC 27001:2022, con cuatro ISOs adicionales (22301, 20000-1, 9001, 14001). Las plantillas, cuestionarios y registros se mantienen alineados con marcos internacionales y son aprovechables por clientes sujetos a DORA, NIS2 o ENS en su propia auditoría. La certificación ENS Alta es de Hard2bit como proveedor; no sustituye la certificación que el cliente deba obtener.
Alcance y exclusiones
Qué no incluye el servicio (por defecto)
Las exclusiones siguientes pueden contratarse aparte o combinarse con otros servicios de Hard2bit. Hacerlas explícitas evita malentendidos y dimensiona el ticket con criterio.
- Auditoría in-situ del proveedor en sus instalaciones (servicio independiente, requiere acuerdo previo con el proveedor).
- Implantación o licencias de plataforma GRC de terceros (Archer, ServiceNow GRC, OneTrust, etc.) — se integra si el cliente la opera.
- Defensa legal o litigios derivados de incidentes en un proveedor (servicio jurídico fuera de alcance).
- Pentesting o ejercicios ofensivos sobre infraestructura del proveedor (requieren su autorización formal previa).
- Sustitución técnica del proveedor (proyecto de migración independiente, dimensionable a continuación si procede).
Servicios relacionados
Combinado con otros servicios del cluster GRC
El programa TPRM funciona mejor cuando se integra con el resto del marco regulatorio. Estos son los servicios con los que más se cruza.
Pilar · Cumplimiento y GRC
Cluster GRC al que pertenece este servicio.
Ver servicioDORA — Reglamento ICT
Acompañamiento DORA end-to-end para entidades financieras.
Ver servicioNIS2 — Directiva NIS2
Adecuación NIS2 para empresas esenciales e importantes.
Ver servicioISO 27001:2022
SGSI completo con controles 5.19-5.22 sobre proveedores.
Ver servicioENS
Esquema Nacional de Seguridad para AAPP y proveedores.
Ver servicioRGPD
Encargados de tratamiento y subencargados (art. 28).
Ver servicioComplemento técnico
Una foto pasiva externa de tu proveedor en 60 segundos
Antes de iniciar el due diligence formal, puedes ejecutar Hard2bit Scanner sobre el dominio del proveedor para obtener una foto externa pasiva (postura DNS/TLS, exposición pública, fugas conocidas). No sustituye al cuestionario completo, pero ahorra trabajo en la primera fase.
Preguntas frecuentes
Dudas habituales sobre el programa TPRM
¿Qué exige exactamente DORA sobre el riesgo de terceros?
El artículo 28 del Reglamento DORA establece obligaciones específicas: mantener un registro detallado de proveedores ICT, clasificar la criticidad de cada acuerdo, evaluar concentración y dependencias, aplicar cláusulas contractuales mínimas, garantizar derechos de auditoría y disponer de planes de salida documentados para proveedores críticos. La entidad sigue siendo responsable aunque externalice, y debe poder demostrarlo ante el supervisor competente.
¿En qué se diferencia TPRM de la gestión de proveedores tradicional?
La gestión de proveedores tradicional se centra en SLA operativos, facturación y desempeño. TPRM añade la dimensión de ciberseguridad y riesgo regulatorio: qué datos trata el proveedor, qué controles aplica, qué subencargados utiliza, qué pasa si sufre una brecha, cómo se sale del contrato si es necesario. Son disciplinas complementarias y un programa maduro las integra.
¿Cuántos proveedores hay que cubrir como mínimo?
Depende del marco aplicable. DORA exige cobertura completa del inventario ICT con foco reforzado en los críticos. NIS2 pide proporcionalidad al perfil de la organización. ISO 27001 obliga a tratar todos los proveedores relevantes para la seguridad de la información. En la práctica, un primer barrido honesto suele descubrir entre un 30 y un 60 por ciento más de proveedores de los que la organización tenía inventariados formalmente.
¿Hace falta una herramienta GRC o sirve una hoja de cálculo bien estructurada?
Para empezar y para programas de tamaño medio, una hoja bien estructurada puede sostener el programa los primeros meses. Cuando el inventario supera 50-80 proveedores, cuando hay varias unidades de negocio o cuando la auditoría exige trazabilidad granular, una plataforma GRC ayuda a escalar. Lo importante es el modelo operativo, no la herramienta.
¿Qué incluye un plan de salida y por qué DORA lo exige?
Un plan de salida documenta cómo terminar la relación con un proveedor crítico sin interrumpir el servicio: alternativas técnicas viables, plazos realistas, portabilidad de datos, propiedad de información, costes asociados y responsables. DORA lo exige porque la dependencia tecnológica es un riesgo sistémico: sin plan de salida creíble, una entidad financiera puede estar atrapada con un proveedor que falla o deja de cumplir.
¿Qué ocurre si un proveedor crítico se niega a firmar las cláusulas que pedimos?
Es una situación frecuente con grandes hiperescalares y proveedores SaaS de mercado masivo. Las opciones reales son: aceptar la limitación documentando el riesgo residual y aplicando controles compensatorios, negociar adendas específicas, evaluar la sustitución del proveedor o, en sectores regulados, escalar la decisión al órgano de gobierno con análisis de impacto.
¿Pueden las certificaciones del proveedor (ISO 27001, SOC 2, ENS) sustituir el due diligence?
Reducen el esfuerzo pero no lo sustituyen. Una certificación verifica que existe un sistema de gestión, no que se aplique sobre el servicio concreto que contratas. El due diligence debe confirmar alcance, datos tratados, configuración específica y respuesta ante incidentes — aspectos que la certificación no detalla por sí sola.
¿Cómo se mide la efectividad de un programa TPRM?
Las métricas más útiles son cobertura del inventario, porcentaje de proveedores críticos con due diligence vigente, tiempo medio de revisión, número de hallazgos materiales detectados, proveedores con plan de mejora abierto y proveedores con plan de salida documentado. Indicadores comparables en el tiempo que el comité entiende sin traducción técnica.
¿Listos para profesionalizar la gestión de proveedores?
Solicita una propuesta TPRM con alcance ajustado a tu marco regulatorio (DORA, NIS2, ISO 27001, ENS) y número real de proveedores.