Board Risk Insights

Learn more

Proveedores críticos y cadenas digitales: riesgos que el Consejo no controla, pero sí asume

Gobernanza y supervisión del riesgo de terceros

La mayoría de las interrupciones graves de negocio ya no se originan dentro de la empresa.
Se producen fuera: en proveedores tecnológicos, plataformas cloud, operadores logísticos, procesadores de datos o socios críticos de la cadena digital.

Para los Consejos de Administración, esta realidad tiene una consecuencia directa: el riesgo de terceros ya no es delegable sin supervisión efectiva.

De proveedor operativo a riesgo estratégico

La externalización ha sido históricamente una palanca de eficiencia. Sin embargo, la creciente concentración de servicios —especialmente tecnológicos— ha convertido a muchos proveedores en puntos únicos de fallo.

La normativa europea ha tomado nota. Marcos como DORA y NIS2 refuerzan explícitamente la obligación del órgano de administración de definir, aprobar y supervisar el marco de gestión de riesgos tecnológicos, incluidos los derivados de terceros críticos.

El mensaje del regulador es inequívoco:
aunque el servicio esté externalizado, la responsabilidad permanece en el Consejo.

Cadenas digitales: complejas, opacas y altamente interdependientes

A diferencia de las cadenas de suministro tradicionales, las cadenas digitales presentan tres características que amplifican el riesgo:

  • Opacidad técnica: dependencia de subproveedores, software de terceros y componentes open‑source.
  • Concentración: pocos proveedores globales soportan funciones críticas de múltiples sectores.
  • Velocidad de propagación: un fallo o incidente puede escalar en minutos y afectar simultáneamente a miles de organizaciones.

La UE ha respondido identificando formalmente proveedores TIC críticos, sometiéndolos a supervisión directa por las Autoridades Europeas de Supervisión, precisamente por su impacto sistémico.

Qué se espera hoy del Consejo

En este contexto, los Consejos ya no son evaluados solo por aprobar contratos o presupuestos. Se espera que puedan demostrar:

  • Que conocen qué terceros son críticos para el negocio.
  • Que entienden el grado de sustituibilidad real de esos proveedores.
  • Que existe un marco claro de gestión del riesgo de concentración.
  • Que los contratos reflejan obligaciones exigibles en materia de seguridad, continuidad y cooperación en incidentes.
  • Que el riesgo de terceros está integrado en el mapa de riesgos corporativo y en los escenarios de crisis.

La ausencia de estas evidencias es, cada vez más, un elemento central en investigaciones regulatorias y reclamaciones posteriores a incidentes.

El vínculo con la responsabilidad de administradores

Las nuevas normas europeas no solo elevan los estándares técnicos.
Elevan la responsabilidad personal de los miembros del órgano de administración.

DORA y NIS2 asignan al “management body” la responsabilidad última sobre el marco de gestión del riesgo TIC, incluyendo terceros, con posibles sanciones y medidas correctivas en caso de incumplimiento.

En otras palabras:
no identificar, no cuestionar o no actuar frente a una dependencia crítica puede interpretarse como una falta de diligencia del Consejo.

¿Y el seguro? Un amortiguador, no una solución

Los programas de seguros D&O, Cyber y Tech E&O juegan un papel clave cuando un fallo de un tercero desencadena:

  • reclamaciones de clientes o inversores,
  • acciones regulatorias, o
  • demandas contra administradores por deficiencias en la supervisión.

Sin embargo, conviene ser claros: el seguro no corrige una gobernanza deficiente.

Además, muchos siniestros recientes han puesto de manifiesto zonas grises entre coberturas, exclusiones por proveedores específicos o limitaciones cuando el incidente se origina en terceros clave.

Por ello, cada vez más Consejos se preguntan si sus programas aseguradores están realmente alineados con su modelo de dependencia externa.

Una pregunta incómoda, pero necesaria

En un entorno altamente interconectado, el riesgo más relevante para el Consejo puede no estar dentro de la compañía… sino en un proveedor sobre el que cree tener control.

La pregunta ya no es si la empresa depende de terceros.
La pregunta es si el Consejo entiende, supervisa y protege adecuadamente esa dependencia.

Leave a comment