En un contrato tecnológico debes exigir cinco bloques: certificación o declaración de conformidad vigente y con alcance que cubra el servicio (ENS, ISO 27001), notificación de incidentes con plazos concretos, derecho de auditoría, evidencias documentales verificables y control de la subcontratación con estrategia de salida. ENS, NIS2, DORA y el AI Act añaden matices propios que detallo norma por norma.
Reviso contratos tecnológicos desde los dos lados de la mesa: el de quien compra y el del proveedor que quiere entrar en un pliego. El patrón se repite: páginas sobre precios y niveles de servicio, y un párrafo genérico sobre seguridad que no compromete a nada. Ese párrafo decide quién paga los platos rotos cuando hay un incidente. Aquí tienes qué criterio exigir, qué evidencia lo demuestra y qué cláusula lo recoge.
Qué cláusulas de ciberseguridad exigir en un contrato (respuesta rápida)
Si solo puedes negociar cinco cosas, negocia estas:
- Conformidad demostrable. Certificación o declaración de conformidad vigente (ENS, ISO 27001) cuyo alcance cubra el servicio contratado, mantenida durante toda la vigencia.
- Notificación de incidentes con plazos en horas. No «notificación diligente»: horas desde la detección, canal concreto y contenido mínimo del aviso.
- Derecho de auditoría. Auditar al proveedor, directamente o mediante tercero, y acceder a los informes existentes.
- Evidencias documentales. Políticas de seguridad, gestión de incidentes, pruebas de continuidad y resultados de auditorías, actualizados periódicamente.
- Subcontratación controlada y salida ordenada. Aprobación previa de subcontratistas relevantes, devolución y borrado certificado de los datos, y un plan de salida que evite quedarte cautivo.
El resto son matices de estos cinco bloques según la norma que te aplique.
Por qué eres responsable de lo que firma tu proveedor
Externalizar un servicio no externaliza el riesgo. Esa idea atraviesa toda la normativa de ciberseguridad en España, y cada marco la formula a su manera:
- RGPD. El artículo 28 exige encargados de tratamiento con garantías suficientes y un contrato de encargo con contenidos mínimos; el artículo 32, medidas apropiadas al riesgo. Si tu encargado falla, la responsable ante la AEPD sigue siendo tu empresa.
- NIS2. La directiva NIS2 exige a entidades esenciales e importantes gestionar la seguridad de la cadena de suministro: debes evaluar el riesgo que introducen tus proveedores directos.
- DORA. El reglamento DORA hace del riesgo de terceros TIC una obligación central de las entidades financieras, que deben registrar sus acuerdos con proveedores tecnológicos e incluir en ellos contenidos concretos.
- ENS. El Real Decreto 311/2022 alcanza también a las empresas privadas que prestan servicios al sector público, con medidas específicas sobre contratación de servicios externos y protección de la cadena de suministro.
La consecuencia es la misma: «fue culpa de mi proveedor» no es una defensa ante el regulador. El contrato convierte tu responsabilidad legal en obligaciones exigibles al proveedor.
Criterios, evidencias y cláusulas por norma: la tabla maestra
La tabla resume lo que pido al revisar un contrato: criterio, evidencia que lo demuestra y cláusula que lo recoge. Las redacciones completas van después.
| Criterio | Evidencia que lo demuestra | Norma que lo respalda | Cláusula tipo (resumen) |
|---|---|---|---|
| Conformidad certificada | Certificado ENS o ISO 27001 vigente y con alcance que cubra el servicio | ENS · pliegos públicos | Mantener la certificación vigente y comunicar cambios de alcance |
| Notificación de incidentes | Procedimiento de gestión de incidentes | RGPD · NIS2 · DORA | Aviso en horas desde la detección, con canal y contenido mínimo pactados |
| Derecho de auditoría | Informes de auditoría de tercera parte | RGPD · NIS2 · DORA | Auditoría anual o por causa justificada, directa o mediante tercero |
| Subcontratación controlada | Listado de subcontratistas y flujo de autorización | RGPD · DORA | Autorización previa y traslado de las obligaciones al subcontratista |
| Continuidad y resiliencia | Plan de continuidad y resultados de las últimas pruebas | DORA · ENS | Objetivos de recuperación (RTO/RPO) medibles y pruebas periódicas |
| Localización y devolución de datos | Ubicación declarada del tratamiento | RGPD · DORA | Localización pactada, devolución en formato reutilizable y borrado certificado |
| Estrategia de salida | Plan de salida documentado y plazos de preaviso | DORA | Transición asistida, reversibilidad y continuidad durante la salida |
| Uso de IA documentado | Documentación técnica e instrucciones de uso | AI Act | Declarar los sistemas de IA empleados y entregar su documentación |
Cláusulas ENS: conformidad, categoría y alcance de la declaración
El ENS entra en juego cuando el contrato da soporte a servicios de una Administración pública: software, hosting, sedes electrónicas, mantenimiento de sistemas. Los pliegos exigen cada vez más la conformidad con el ENS como condición para contratar, y la obligación se traslada en cascada al adjudicatario y a sus subcontratistas. Si estás en el lado del proveedor, lo desarrollo en mi guía sobre el ENS para proveedores de la Administración.
Lo que debe recoger la cláusula:
- Conformidad en la categoría correcta. No basta «disponer de ENS»: la certificación o declaración debe corresponder a la categoría (BÁSICA, MEDIA o ALTA) del sistema al que da soporte el servicio.
- Alcance que cubra el servicio. El error más común: certificados reales cuyo alcance no incluye la plataforma o el centro de datos desde el que se presta el servicio.
- Mantenimiento durante la vigencia. Renovar la conformidad y comunicar de inmediato su pérdida, suspensión o cambio de alcance.
Redacción orientativa: «El proveedor acredita su conformidad con el Esquema Nacional de Seguridad (Real Decreto 311/2022) en categoría [BÁSICA/MEDIA/ALTA] mediante certificación cuyo alcance cubre los servicios objeto de este contrato, y se obliga a mantenerla vigente durante toda su duración, comunicando en [X] días hábiles cualquier pérdida, suspensión o modificación de su alcance».
Cláusulas NIS2: cadena de suministro y notificación de incidentes
Si tu empresa es entidad esencial o importante bajo NIS2, tus proveedores directos forman parte de tu análisis de riesgos: la directiva incluye la seguridad de la cadena de suministro entre sus medidas obligatorias. Además, tienes plazos estrictos para notificar incidentes significativos —alerta temprana en las primeras 24 horas y notificación en 72—, así que el proveedor debe avisarte mucho antes.
Lo que debe recoger la cláusula:
- Medidas proporcionadas al riesgo. Compromiso de aplicar medidas coherentes con las que la norma te exige a ti, no una «seguridad razonable» indefinida.
- Notificación en horas, no en días. Un plazo desde la detección que deje margen para tu alerta temprana, con contenido mínimo: qué ha pasado, qué afecta y qué se ha hecho.
- Cooperación en la investigación. Colaborar en el análisis del incidente, conservar evidencias y facilitar la información que pida la autoridad competente.
Redacción orientativa: «El proveedor notificará al cliente todo incidente de seguridad que afecte o pueda afectar al servicio en un plazo máximo de [X] horas desde su detección, por el canal designado, incluyendo descripción, sistemas afectados y medidas adoptadas, y cooperará en su investigación y en las comunicaciones obligatorias a las autoridades».
Cláusulas DORA: proveedores TIC esenciales y estrategia de salida
DORA es la norma más contractual de las cuatro: obliga a las entidades financieras a mantener un registro de información de sus acuerdos con proveedores TIC y fija contenidos que esos contratos deben incluir. Si vendes tecnología a bancos, aseguradoras o entidades de pago, estos requisitos aparecerán en la negociación; con funciones esenciales o importantes, la exigencia sube.
Lo que debe recoger la cláusula:
- Descripción completa del servicio. Funciones cubiertas, ubicaciones desde las que se presta y localización de los datos tratados.
- Niveles de servicio y asistencia en incidentes. Indicadores medibles y obligación de asistencia cuando el incidente afecte al servicio.
- Derechos de acceso, inspección y auditoría. Para la entidad y, cuando proceda, para sus supervisores.
- Estrategia de salida. Plazos de preaviso, transición asistida y reversibilidad de los datos, sin interrumpir la función que el servicio sustenta.
Redacción orientativa: «A la terminación del contrato por cualquier causa, el proveedor prestará la asistencia necesaria para la transición ordenada del servicio durante [X] meses, incluyendo la devolución de los datos en un formato estructurado y de uso corriente, la eliminación certificada de las copias y el mantenimiento de los niveles de servicio durante la transición».
Cláusulas AI Act: documentación técnica y uso de sistemas de IA
El Reglamento (UE) 2024/1689, el AI Act, se aplica de forma escalonada; el grueso de obligaciones para sistemas de alto riesgo llega en agosto de 2026, como resumo en mi guía sobre las obligaciones del AI Act. Para quien contrata, el problema es doble: tu proveedor puede usar IA sin que lo sepas, y tú, como quien despliega el sistema, asumes obligaciones propias de supervisión y uso correcto.
Lo que debe recoger la cláusula:
- Declaración de uso de IA. El proveedor declara si el servicio incorpora sistemas de inteligencia artificial, cuáles y con qué finalidad, y comunica los cambios relevantes.
- Documentación e instrucciones de uso. Para sistemas de alto riesgo, la documentación técnica y las instrucciones que la norma exige, para que puedas cumplir tus obligaciones al desplegarlos.
- Soporte a la supervisión humana. Registros de actividad, posibilidad de intervención y trazabilidad de las decisiones.
Redacción orientativa: «El proveedor declara los sistemas de inteligencia artificial incorporados al servicio en el anexo [X], se obliga a mantener actualizada esa relación y, respecto de los sistemas clasificados de alto riesgo conforme al Reglamento (UE) 2024/1689, a entregar la documentación técnica y las instrucciones de uso necesarias para que el cliente cumpla las obligaciones que le correspondan».
Cómo verificar las evidencias que te entregue el proveedor
Una cláusula bien redactada no vale nada si aceptas las evidencias sin comprobarlas. Cuatro verificaciones rápidas:
- Certificado ENS: contrástalo. La conformidad con el ENS es pública y verificable; te explico cómo consultar el listado de empresas certificadas en el ENS paso a paso. Comprueba entidad, categoría, alcance y vigencia.
- Certificadora acreditada. Verifica que la entidad que emitió el certificado está acreditada por ENAC para esa actividad. Un «certificado» de una entidad no acreditada es papel mojado.
- ISO 27001 con su alcance y su SoA. Pide el certificado y su declaración de aplicabilidad (SoA): ahí ves qué controles aplica realmente. Un certificado que ampara otra unidad de negocio u otro centro de datos no te protege.
- Evidencias operativas recientes. Informe de la última auditoría, pruebas de continuidad recientes y procedimiento de incidentes con fecha de revisión. Los documentos sin fecha dicen más de lo que callan.
Checklist de cláusulas por norma
Úsalo como revisión final antes de firmar, marcando solo las normas que te afecten.
ENS (el contrato da soporte a servicios del sector público):
- Conformidad ENS en la categoría exigida por el pliego o el sistema.
- Alcance de la certificación que cubre el servicio contratado.
- Mantenimiento de la conformidad y aviso de pérdida o cambio.
- Traslado de las obligaciones ENS a los subcontratistas.
NIS2 (eres entidad esencial o importante):
- Medidas de seguridad coherentes con tus propias obligaciones.
- Notificación de incidentes en horas, con canal y contenido pactados.
- Cooperación en la investigación y conservación de evidencias.
- Proveedor integrado en tu análisis de riesgos de cadena de suministro.
DORA (eres entidad financiera o le vendes a una):
- Descripción del servicio, funciones cubiertas y localización de los datos.
- Niveles de servicio medibles y asistencia ante incidentes.
- Derechos de acceso, inspección y auditoría.
- Estrategia de salida con transición asistida y reversibilidad.
- Datos del contrato listos para tu registro de terceros TIC.
AI Act (el servicio incorpora o puede incorporar IA):
- Declaración de los sistemas de IA empleados y su finalidad.
- Documentación técnica e instrucciones de uso para alto riesgo.
- Capacidades de supervisión humana, registro y trazabilidad.
Transversal (RGPD y sentido común):
- Encargo de tratamiento si trata datos personales por tu cuenta.
- Subcontratación sujeta a autorización y con traslado de obligaciones.
- Devolución y borrado certificado de los datos al finalizar.
- Consecuencias pactadas: penalizaciones, resolución y repetición de sanciones.
Errores al redactar cláusulas de ciberseguridad (y cómo evitarlos)
Los contratos que fallan suelen hacerlo por los mismos motivos:
- Compromisos genéricos sin métrica. «El proveedor aplicará medidas de seguridad razonables» no obliga a nada verificable. Sustitúyelo por plazos en horas, objetivos de recuperación y periodicidad de auditorías: lo que no se puede medir no se puede reclamar.
- Aceptar certificados sin mirar el alcance. El certificado existe, es válido y no cubre el servicio que contratas. Pide siempre el documento de alcance y, en ISO 27001, la declaración de aplicabilidad.
- Copiar cláusulas de otro sector sin adaptar. Exigir la estrategia de salida de DORA a un proveedor de cartelería digital encarece la oferta y desgasta la negociación. Cada cláusula debe responder a una obligación real tuya.
- No pactar las consecuencias. Sin penalización, derecho de resolución ni vía para repetir las sanciones causadas por el proveedor, la cláusula es decorativa.
- Olvidar la subcontratación en cascada. Tu proveedor cumple, pero su subcontratista no. Las obligaciones deben trasladarse por escrito a toda la cadena.
- Exigir más de lo que el mercado puede dar. Pedir categoría ALTA del ENS donde basta BÁSICA deja el pliego desierto o lo encarece sin ganar seguridad. La exigencia se calibra con el riesgo real.
Conclusión: la cláusula vale lo que vale su evidencia
Un contrato tecnológico sin cláusulas de ciberseguridad verificables es una transferencia de riesgo hacia ti: tú respondes ante el regulador y el proveedor no responde ante nadie. No hace falta reinventar nada: los cinco bloques de este artículo —conformidad con alcance, notificación con plazos, auditoría, evidencias y salida ordenada— cubren la inmensa mayoría de los casos.
Si estás preparando un pliego, negociando con un proveedor o te acaban de pedir estas cláusulas y no sabes por dónde empezar, cuéntame tu caso y lo vemos juntos, sin compromiso.
¿Tu empresa necesita certificarse para cumplir lo que exigen estos contratos? Conoce mi servicio de consultoría ENS para empresas que quieren licitar o ser proveedoras de la Administración.