Ir al contenido principal
Volver al resumen

NIS2 para fabricantes: la frontera IT/OT decide si superas la auditoría

Por NIS2Certify
nis2fabricacionseguridad-otsegmentacion-de-redarticle-21
NIS2 para fabricantes: la frontera IT/OT decide si superas la auditoría

NIS2 para fabricantes: la frontera IT/OT decide si superas la auditoría

Un productor de alimentos en Flandes reconstruyó todo su conjunto de reglas de firewall dos semanas antes de su auditoría NIS2. El motivo: una única red plana donde la VLAN de oficina, el servidor ERP y un PLC de doce años que controlaba una línea de envasado estaban todos en el mismo dominio de difusión. Una sola factura de phishing en un portátil de ventas podría haber llegado a la planta de producción en dos saltos. El auditor lo habría llamado exactamente lo que es — un riesgo no gestionado según el Article 21.

Este es el problema con el que la mayoría de los fabricantes llegan a NIS2. Lo tratan como un ejercicio de cumplimiento de IT y olvidan que la directiva cubre explícitamente la tecnología operativa que controla sus máquinas. Si asesoras a clientes industriales, la frontera IT/OT es el ámbito donde puedes aportar más valor — y donde una configuración descuidada hunde una compliance posture por lo demás aceptable.

La fabricación está dentro del alcance, y la mayoría de los operadores aún no lo sabe

NIS2 clasifica la fabricación como un sector de entidades important. Esto cubre empresas que producen productos sanitarios, electrónica, maquinaria, vehículos de motor y ciertos productos alimentarios. El umbral es el estándar: más de 50 empleados, o una facturación anual superior a 10 millones de euros.

Las entidades important están sujetas a las mismas obligaciones de gestión de riesgos del Article 21 que las entidades essential. La diferencia está en la supervisión. Las entidades essential reciben inspecciones proactivas; las entidades important reciben supervisión ex post — las autoridades intervienen en cuanto hay pruebas de que algo ha salido mal. Suena más ligero hasta que te das cuenta de que normalmente significa que la autoridad ya te está examinando porque has tenido un incidente. El listón no es más bajo. El escrutinio simplemente llega en el peor momento posible.

Muchos directores de planta asumen: «fabricamos bombas, no software, NIS2 no va con nosotros». Sí va. La directiva define los sistemas OT como parte integral de la infraestructura digital crítica. Los PLC, HMI y sistemas SCADA de la planta están claramente dentro del alcance.

¿Se aplica la NIS2 a su organización?

1

¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?

No
2

¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?

No
3

¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?

No

La NIS2 no se aplica directamente a su organización.

La NIS2 se aplica a su organización como entidad esencial o importante.

!

La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.

Se aplica
Posiblemente aplica
No se aplica

Las diez medidas del Article 21 se aplican a la planta, no solo a la oficina

Cuando un cliente lee la lista del Article 21 — análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, criptografía, control de acceso, MFA, desarrollo seguro, formación y evaluación de eficacia — la proyecta instintivamente sobre su parque de IT. Esa es la trampa.

Cada una de esas medidas tiene una dimensión OT. El control de acceso no es solo el controlador de dominio; es quién puede iniciar sesión en la HMI de la línea 3. La continuidad de negocio no es solo restaurar el correo; es si puedes seguir produciendo cuando un controlador está comprometido. La criptografía y la comunicación segura se aplican al enlace de datos entre tus PLC y tu ERP.

La ENISA Technical Implementation Guidance, publicada en junio de 2025, ocupa 170 páginas y traduce la Implementing Regulation (EU) 2024/2690 en medidas concretas y demostrables en 13 áreas temáticas. Aunque ese reglamento solo es vinculante para sectores digitales específicos, esta guía es el referente más claro disponible sobre lo que «apropiado y proporcionado» significa realmente. Úsala como estándar de referencia para clientes con mucho OT, incluso donde no sea estrictamente obligatoria — los auditores la reconocerán.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2

Artículo 21

10 Medidas de Ciberseguridad

Gobernanza & Estrategia

1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad

Incidentes & Continuidad

2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres

Cadena de Suministro & Sistemas

4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información

Controles Técnicos

8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras

Personas & Activos

7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

La segmentación de red es la medida que los auditores examinan primero

Si haces una sola cosa por un cliente fabricante antes de su primera auditoría, segmenta las redes IT y OT. Una red plana es la forma más rápida de suspender un análisis de riesgos, porque significa que un único endpoint comprometido en cualquier punto lo alcanza todo.

El Article 21 no nombra la segmentación de red como una medida numerada, pero se deriva directamente de las obligaciones de gestión de riesgos y control de acceso. En la práctica, los auditores la tratan como una expectativa básica para cualquier entorno con sistemas de producción. El lenguaje de segmentación y control de acceso de la directiva se proyecta casi uno a uno sobre el modelo zone-and-conduit de la IEC 62443 — el marco con el que el auditor de tu cliente probablemente se compare.

Una arquitectura objetivo viable para una planta típica se parece a esto. El segmento OT contiene los PLC, HMI y máquinas de producción, separados física o lógicamente de la red de oficina. La conexión con el servidor ERP es limitada e idealmente unidireccional — los datos de producción salen, nada se enruta hacia dentro sin solicitarlo. El segmento OT no tiene acceso directo a internet. El acceso remoto de proveedores a las máquinas pasa por un jump host controlado, no por una VPN plana que deja a un técnico en la misma subred que los controladores.

Aquí también está el problema del legacy. Las plantas operan controladores de diez o quince años, que no se pueden parchear y que nunca se diseñaron para estar expuestos a la red. No puedes retirarlos. La segmentación es la medida compensatoria que mantiene en servicio un activo no parcheable sin que se convierta en la vía de brecha. Documéntalo así y el auditor verá un riesgo gestionado en lugar de uno ignorado.

La notificación de incidentes no se detiene por la línea de producción

Los fabricantes dudan ante la notificación de incidentes porque detener una línea cuesta dinero por minuto. Los plazos no se inmutan. Un incidente significativo activa una alerta temprana de 24 horas, una notificación completa de 72 horas y un informe final de 30 días — el mismo reloj que se aplica a un banco o un hospital.

Lo difícil para los entornos OT es la detección. Si tu cliente no tiene monitorización en la red de producción, no sabrá que un incidente es significativo hasta que ya haya interrumpido la producción — y para entonces la ventana de 24 horas ya corre. La monitorización continua del segmento OT no es un lujo; es lo que hace que la obligación de notificación sea siquiera viable. Construye la capacidad de detección y los plazos de notificación se vuelven manejables. Sáltatela y tu cliente notifica a ciegas, tarde o nunca.

Cronología de Notificación de Incidentes NIS2

24h

Alerta Temprana

Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.

72h

Notificación de Incidente

Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.

1mo

Informe Final

Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.

Qué hacer antes del 30 de junio de 2026

El primer plazo de auditoría NIS2 para entidades dentro del alcance es el 30 de junio de 2026. Para un cliente fabricante que parte de una red plana, es ajustado pero no imposible si lo secuencias bien.

Empieza con un inventario de activos del entorno OT — no puedes segmentar ni proteger lo que no has mapeado, y la mayoría de las plantas no tienen un inventario actual de sus controladores. Luego traza las fronteras de zonas: oficina, ERP/DMZ y OT, con conduits documentados entre ellas. Implementa la separación IT/OT y blinda el acceso remoto mediante un jump host con MFA. Superpón monitorización sobre el segmento OT para que la detección de incidentes sea realmente posible. Por último, documenta cada medida compensatoria para los activos legacy que no puedes parchear, porque esa documentación convierte la señal de alerta de un auditor en un riesgo aceptado.

Los clientes que tratan NIS2 como un proyecto puramente de IT aprobarán las comprobaciones del lado de la oficina y fallarán en la planta. Los que aciertan con la frontera IT/OT entran en la auditoría con la pregunta más difícil ya respondida.

Si quieres una lectura rápida de dónde está realmente un cliente fabricante frente al Article 21 — incluidas las medidas OT que la mayoría de las evaluaciones omiten — pásalo por el NIS2 readiness quick scan. Saca a la luz las brechas de segmentación y OT antes de que lo haga un auditor.

Para las medidas subyacentes en detalle, consulta nuestro desglose de las diez medidas del Article 21, y para clientes que aún dudan si están afectados, ¿me aplica NIS2?.

    NIS2 para fabricantes: la frontera IT/OT decide si superas la auditoría — NIS2Certify