En un contrato tecnológico debes exigir cinco bloques: certificación o declaración de conformidad vigente y con alcance que cubra el servicio (ENS, ISO 27001), notificación de incidentes con plazos concretos, derecho de auditoría, evidencias documentales verificables y control de la subcontratación con estrategia de salida. ENS, NIS2, DORA y el AI Act añaden matices propios que detallo norma por norma.

Reviso contratos tecnológicos desde los dos lados de la mesa: el de quien compra y el del proveedor que quiere entrar en un pliego. El patrón se repite: páginas sobre precios y niveles de servicio, y un párrafo genérico sobre seguridad que no compromete a nada. Ese párrafo decide quién paga los platos rotos cuando hay un incidente. Aquí tienes qué criterio exigir, qué evidencia lo demuestra y qué cláusula lo recoge.

Qué cláusulas de ciberseguridad exigir en un contrato (respuesta rápida)

Si solo puedes negociar cinco cosas, negocia estas:

El resto son matices de estos cinco bloques según la norma que te aplique.

Por qué eres responsable de lo que firma tu proveedor

Externalizar un servicio no externaliza el riesgo. Esa idea atraviesa toda la normativa de ciberseguridad en España, y cada marco la formula a su manera:

La consecuencia es la misma: «fue culpa de mi proveedor» no es una defensa ante el regulador. El contrato convierte tu responsabilidad legal en obligaciones exigibles al proveedor.

Criterios, evidencias y cláusulas por norma: la tabla maestra

La tabla resume lo que pido al revisar un contrato: criterio, evidencia que lo demuestra y cláusula que lo recoge. Las redacciones completas van después.

CriterioEvidencia que lo demuestraNorma que lo respaldaCláusula tipo (resumen)
Conformidad certificadaCertificado ENS o ISO 27001 vigente y con alcance que cubra el servicioENS · pliegos públicosMantener la certificación vigente y comunicar cambios de alcance
Notificación de incidentesProcedimiento de gestión de incidentesRGPD · NIS2 · DORAAviso en horas desde la detección, con canal y contenido mínimo pactados
Derecho de auditoríaInformes de auditoría de tercera parteRGPD · NIS2 · DORAAuditoría anual o por causa justificada, directa o mediante tercero
Subcontratación controladaListado de subcontratistas y flujo de autorizaciónRGPD · DORAAutorización previa y traslado de las obligaciones al subcontratista
Continuidad y resilienciaPlan de continuidad y resultados de las últimas pruebasDORA · ENSObjetivos de recuperación (RTO/RPO) medibles y pruebas periódicas
Localización y devolución de datosUbicación declarada del tratamientoRGPD · DORALocalización pactada, devolución en formato reutilizable y borrado certificado
Estrategia de salidaPlan de salida documentado y plazos de preavisoDORATransición asistida, reversibilidad y continuidad durante la salida
Uso de IA documentadoDocumentación técnica e instrucciones de usoAI ActDeclarar los sistemas de IA empleados y entregar su documentación

Cláusulas ENS: conformidad, categoría y alcance de la declaración

El ENS entra en juego cuando el contrato da soporte a servicios de una Administración pública: software, hosting, sedes electrónicas, mantenimiento de sistemas. Los pliegos exigen cada vez más la conformidad con el ENS como condición para contratar, y la obligación se traslada en cascada al adjudicatario y a sus subcontratistas. Si estás en el lado del proveedor, lo desarrollo en mi guía sobre el ENS para proveedores de la Administración.

Lo que debe recoger la cláusula:

Redacción orientativa: «El proveedor acredita su conformidad con el Esquema Nacional de Seguridad (Real Decreto 311/2022) en categoría [BÁSICA/MEDIA/ALTA] mediante certificación cuyo alcance cubre los servicios objeto de este contrato, y se obliga a mantenerla vigente durante toda su duración, comunicando en [X] días hábiles cualquier pérdida, suspensión o modificación de su alcance».

Cláusulas NIS2: cadena de suministro y notificación de incidentes

Si tu empresa es entidad esencial o importante bajo NIS2, tus proveedores directos forman parte de tu análisis de riesgos: la directiva incluye la seguridad de la cadena de suministro entre sus medidas obligatorias. Además, tienes plazos estrictos para notificar incidentes significativos —alerta temprana en las primeras 24 horas y notificación en 72—, así que el proveedor debe avisarte mucho antes.

Lo que debe recoger la cláusula:

Redacción orientativa: «El proveedor notificará al cliente todo incidente de seguridad que afecte o pueda afectar al servicio en un plazo máximo de [X] horas desde su detección, por el canal designado, incluyendo descripción, sistemas afectados y medidas adoptadas, y cooperará en su investigación y en las comunicaciones obligatorias a las autoridades».

Cláusulas DORA: proveedores TIC esenciales y estrategia de salida

DORA es la norma más contractual de las cuatro: obliga a las entidades financieras a mantener un registro de información de sus acuerdos con proveedores TIC y fija contenidos que esos contratos deben incluir. Si vendes tecnología a bancos, aseguradoras o entidades de pago, estos requisitos aparecerán en la negociación; con funciones esenciales o importantes, la exigencia sube.

Lo que debe recoger la cláusula:

Redacción orientativa: «A la terminación del contrato por cualquier causa, el proveedor prestará la asistencia necesaria para la transición ordenada del servicio durante [X] meses, incluyendo la devolución de los datos en un formato estructurado y de uso corriente, la eliminación certificada de las copias y el mantenimiento de los niveles de servicio durante la transición».

Cláusulas AI Act: documentación técnica y uso de sistemas de IA

El Reglamento (UE) 2024/1689, el AI Act, se aplica de forma escalonada; el grueso de obligaciones para sistemas de alto riesgo llega en agosto de 2026, como resumo en mi guía sobre las obligaciones del AI Act. Para quien contrata, el problema es doble: tu proveedor puede usar IA sin que lo sepas, y tú, como quien despliega el sistema, asumes obligaciones propias de supervisión y uso correcto.

Lo que debe recoger la cláusula:

Redacción orientativa: «El proveedor declara los sistemas de inteligencia artificial incorporados al servicio en el anexo [X], se obliga a mantener actualizada esa relación y, respecto de los sistemas clasificados de alto riesgo conforme al Reglamento (UE) 2024/1689, a entregar la documentación técnica y las instrucciones de uso necesarias para que el cliente cumpla las obligaciones que le correspondan».

Cómo verificar las evidencias que te entregue el proveedor

Una cláusula bien redactada no vale nada si aceptas las evidencias sin comprobarlas. Cuatro verificaciones rápidas:

Checklist de cláusulas por norma

Úsalo como revisión final antes de firmar, marcando solo las normas que te afecten.

ENS (el contrato da soporte a servicios del sector público):

NIS2 (eres entidad esencial o importante):

DORA (eres entidad financiera o le vendes a una):

AI Act (el servicio incorpora o puede incorporar IA):

Transversal (RGPD y sentido común):

Errores al redactar cláusulas de ciberseguridad (y cómo evitarlos)

Los contratos que fallan suelen hacerlo por los mismos motivos:

Conclusión: la cláusula vale lo que vale su evidencia

Un contrato tecnológico sin cláusulas de ciberseguridad verificables es una transferencia de riesgo hacia ti: tú respondes ante el regulador y el proveedor no responde ante nadie. No hace falta reinventar nada: los cinco bloques de este artículo —conformidad con alcance, notificación con plazos, auditoría, evidencias y salida ordenada— cubren la inmensa mayoría de los casos.

Si estás preparando un pliego, negociando con un proveedor o te acaban de pedir estas cláusulas y no sabes por dónde empezar, cuéntame tu caso y lo vemos juntos, sin compromiso.

¿Tu empresa necesita certificarse para cumplir lo que exigen estos contratos? Conoce mi servicio de consultoría ENS para empresas que quieren licitar o ser proveedoras de la Administración.