¿Qué es la directiva NIS2 y a qué empresas industriales aplica?

NIS2 (Directiva UE 2022/2555) es la norma europea que eleva el nivel mínimo de ciberseguridad en sectores críticos. Aplica a entidades esenciales e importantes con 50 o más empleados o más de 10 millones de euros de facturación que operen en sectores cubiertos, entre ellos energía, agua, alimentación, fabricación de productos críticos, química o transporte. Muchas plantas industriales entran como entidad importante.

¿Cuándo entra en vigor NIS2 en España?

El plazo europeo de transposición venció el 17 de octubre de 2024. España no llegó a tiempo y la transpone de forma escalonada: parte vía Real Decreto-ley 7/2025 y el resto con la Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación, con plena aplicación e inspecciones esperadas a lo largo de 2026.

¿Cuáles son las obligaciones clave de NIS2 para una planta?

Gestión de riesgos de ciberseguridad sobre redes IT y OT, notificación de incidentes (alerta temprana en 24 h, notificación en 72 h e informe final en un mes), responsabilidad directa de la dirección sobre las medidas, formación, continuidad de negocio y seguridad de la cadena de suministro. El incumplimiento puede acarrear multas de hasta 10 millones de euros o el 2 % de la facturación global.

¿En qué se diferencia la seguridad OT de la seguridad IT?

En IT la prioridad es la confidencialidad de los datos; en OT la prioridad es la disponibilidad y la seguridad física del proceso. Los sistemas OT (PLC, SCADA, HMI) tienen ciclos de vida muy largos, no se pueden parar para parchear cuando se quiere y muchos protocolos industriales nacieron sin seguridad. Por eso OT necesita un enfoque propio, no copiar sin más las prácticas de IT.

¿Qué es la norma IEC 62443 y cómo se relaciona con NIS2?

IEC 62443 es el estándar internacional de ciberseguridad para sistemas de automatización y control industrial (IACS). Define el modelo de zonas y conductos, niveles de seguridad y requisitos para fabricantes, integradores y operadores. NIS2 fija el qué (gestión de riesgos y obligaciones legales); IEC 62443 aporta el cómo técnico para cumplirlo en el entorno OT.

¿Qué buenas prácticas de seguridad OT debería aplicar primero?

Empieza por inventariar todos los activos OT, segmentar la red separando IT de OT siguiendo el modelo Purdue y zonas IEC 62443, controlar y registrar los accesos remotos, gestionar el parcheo de SCADA y PLC con ventanas planificadas, y definir un plan de respuesta a incidentes con copias de seguridad probadas. Son las medidas con más impacto y menor coste relativo.

NIS2 и киберсигурност на OT в индустрията

23 юни 2026 · от Equipo Nexum

Киберсигурността на OT в индустрията престана да бъде въпрос на ИТ отдела и се превърна в законово задължение. С директивата NIS2 хиляди заводи в ЕС трябва да защитават управляващите си мрежи —PLC, SCADA, производствени линии— със същата строгост като данните си. Това ръководство обяснява, без мъгла, за кого се отнася, какво изисква и откъде да започнете.

С едно изречение: NIS2 задължава да управлявате киберриска и да докладвате инциденти; сигурността на OT е техническата практика, която го прави възможно в завода, където атаката не краде данни —спира фабриката.

1 Какво е NIS2 и защо засяга индустрията

Директивата NIS2 (Директива ЕС 2022/2555, Network and Information Security 2) е европейският закон, който повишава минималното ниво на киберсигурност в секторите, считани за критични. Тя заменя и разширява старата NIS от 2016 г.: умножава обхванатите сектори, затяга задълженията и преди всичко въвежда напълно индустрията в регулирания периметър.

Промяната за един завод е, че вече не е достатъчно да се защитават офис компютрите. NIS2 задължава да се оценяват и защитават и мрежите и информационните системи, които движат производствения процес: SCADA, която наблюдава завода, PLC, които задвижват линията, HMI, честотните преобразуватели и индустриалната мрежа, която ги свързва. С други думи, светът на OT (Operational Technology, оперативна технология).

NIS2 не е „ИТ“ правило: това е правило за непрекъсваемост на дейността. Рансъмуер, който криптира SCADA, не изтича един файл — той спира производството, а директивата прави ръководството отговорно за предотвратяването на това.

2 За кого се отнася: съществени и важни субекти

NIS2 разделя задължените организации в две категории, с различен режим на надзор и санкции:

🔴

Съществени субекти (СС)

Сектори с висока критичност: енергетика, питейна вода, транспорт, банки, здравеопазване, цифрова инфраструктура. Проактивен надзор и глоби до 10 млн. € или 2 % от световния оборот.

🟠

Важни субекти (ВС)

Производство на критични продукти, храни, химия, управление на отпадъци, цифрови услуги. Реактивен надзор и глоби до 7 млн. € или 1,4 % от оборота.

Като общо правило NIS2 се прилага, ако организацията ви работи в един от обхванатите сектори и има 50 или повече служители или над 10 милиона евро оборот годишно. Много фабрики и инсталации за процеси попадат като важен субект, дори да не се възприемат като „критична инфраструктура“.

Дори заводът ви да е под праговете, ефектът на разпространение е реален: ако сте доставчик на задължен субект, той ще ви наложи изисквания за сигурност по договор. Веригата на доставки е един от стълбовете на NIS2.

3 Състояние на транспонирането в ЕС

Европейският срок за транспониране на NIS2 в националното законодателство изтече на 17 октомври 2024 г. Много държави членки не го спазиха —Комисията изпрати мотивирани становища на повечето през 2025 г.— и я въвеждат чрез националните си закони на разсрочени графици:

България прие своя закон по NIS2 (изменение на Закона за киберсигурност, ДВ бр. 17), в сила от 13 февруари 2026 г.
Испания транспонира на етапи (Кралски декрет-закон 7/2025 и предстоящ закон за управление на киберсигурността), с пълно прилагане през 2026 г.
Франция пропусна срока и приема националния си закон, с прилагане, разпределено през 2025-2026 г.

Практическото послание е ясно: фактът, че национален закон тепърва се финализира в някои държави, не е извинение за изчакване. Основните задължения (управление на риска и докладване) вече са определени в директивата, а техническата адаптация на един завод отнема месеци. Който започне сега, ще е навреме. За официални насоки се обърнете към националния си CSIRT и към европейската агенция ENISA.

4 Ключови задължения, които трябва да изпълните

NIS2 не е списък с продукти, а съвкупност от управленски задължения. Ето тези, които най-силно засягат един завод:

Задължение	Какво означава за вашия завод
Управление на риска	Анализ и третиране на киберриска върху IT и OT мрежите: инвентаризация, сегментиране, контрол на достъпа, резервни копия, криптиране.
Докладване на инциденти	Ранно предупреждение в 24 ч, уведомление в 72 ч и окончателен доклад в 1 месец.
Отговорност на ръководството	Управителният орган одобрява и контролира мерките и носи лична отговорност за спазването им.
Обучение	Редовно повишаване на осведомеността на персонала, включително ръководството.
Непрекъсваемост и реакция	Планове за непрекъсваемост, управление на кризи и тествани резервни копия.
Верига на доставки	Оценка на сигурността на доставчици и интегратори.

Неспазването се плаща: до 10 милиона евро или 2 % от световния оборот за съществените субекти и до 7 милиона или 1,4 % за важните. Още по-важно: отговорността е на ръководството, а не само на ИТ отдела.

5 IT срещу OT: защо индустриалната сигурност е различна

Най-скъпата грешка е да се прилагат към завода рецептите на офис информатиката. IT и OT имат противоположни приоритети, и това променя всичко:

Критерий	IT	OT (индустриален)
Приоритет	Поверителност на данните	Наличност и физическа безопасност на процеса
Жизнен цикъл	3-5 години	15-25 години (PLC, SCADA)
Корекции	Чести, почти автоматични	Планирани прозорци; често не може да се спира
Протоколи	Проектирани със сигурност	Наследени индустриални, често без криптиране и удостоверяване
Въздействие при отказ	Изтичане или загуба на данни	Спиране на производството, физическа повреда, риск за хора

Затова не може да се „копира и постави“ IT моделът върху фабриката. Тежък антивирус може да повали HMI; рестартиране на устройство за обновяване може да спре цяла линия. Сигурността на OT изисква собствен подход, който разбира производствения процес —същото познание, с което се проектира SCADA система или се сравнява SCADA срещу HMI.

6 Добри практики за сигурност на OT (и къде се вписва IEC 62443)

Спазването на NIS2 в завода се изразява в конкретни технически мерки. Референтният стандарт е IEC 62443, международният стандарт за киберсигурност на системите за индустриална автоматизация и управление (IACS): докато NIS2 задава какво (правни задължения), IEC 62443 дава техническото как с модела си на зони и проводници. Ето практиките с най-голямо въздействие:

Инвентаризация на OT активите

Не можете да защитите това, което не познавате. Каталогизирайте всеки PLC, HMI, SCADA, преобразувател и комутатор в индустриалната мрежа.

Сегментиране на мрежата

Разделете IT от OT с модела Purdue и зоните на IEC 62443. Пробив в офиса не бива да достига линията.

Управление на достъпа

Контролиран и журналиран дистанционен достъп, минимални права и двуфакторно удостоверяване за поддръжка от доставчици.

Планирани корекции

Обновявайте SCADA и PLC в прозорци на престой, с предварителни тестове. Където не може да се коригира, компенсирайте със сегментиране.

Наблюдение и резервиране

Откривайте аномалии в OT мрежата и пазете тествани, добре съхранявани копия на програмите на PLC и проектите на SCADA.

План за реакция

Ясна процедура за откриване, ограничаване и докладване (24 ч/72 ч), изпробвана преди да се случи инцидентът.

Моделът Purdue организира мрежата в нива —от полето (сензори и изпълнителни механизми) до управлението (ERP)— и помага да се реши какво с какво комуникира. IEC 62443 го прецизира със зони (групи активи с еднакво ниво на сигурност) и проводници (контролираните комуникации между тях). Комбинирането на двете днес е основата на всяка защитима OT архитектура и се свързва естествено с практики като предиктивната поддръжка, която също живее в тази индустриална мрежа.

Продължете да четете

Често задавани въпроси

Какво представлява директивата NIS2 и за кои промишлени предприятия се отнася?

NIS2 (Директива ЕС 2022/2555) е европейският закон, който повишава минималното ниво на киберсигурност в критичните сектори. Прилага се за съществени и важни субекти с 50 или повече служители или над 10 милиона евро оборот, действащи в обхванатите сектори: енергетика, вода, храни, производство на критични продукти, химия или транспорт. Много заводи попадат като важен субект.

Кога влиза в сила NIS2 в България?

Европейският срок за транспониране изтече на 17 октомври 2024 г. България транспонира директивата със Закон за изменение и допълнение на Закона за киберсигурност (ДВ бр. 17), приет и влязъл в сила на 13 февруари 2026 г. Компетентните органи започват надзор и проверки в рамките на 2026 г.

Кои са ключовите задължения по NIS2 за един завод?

Управление на рисковете за киберсигурността върху IT и OT мрежите, докладване на инциденти (ранно предупреждение в рамките на 24 ч, уведомление в рамките на 72 ч и окончателен доклад в рамките на месец), пряка отговорност на ръководството за мерките, обучение, непрекъсваемост на дейността и сигурност на веригата на доставки. Неспазването може да доведе до глоби до 10 милиона евро или 2 % от световния оборот.

По какво се различава сигурността на OT от сигурността на IT?

При IT приоритет е поверителността на данните; при OT приоритет са наличността и физическата безопасност на процеса. OT системите (PLC, SCADA, HMI) имат много дълъг жизнен цикъл, не могат да се спират за корекции при поискване и много промишлени протоколи са създадени без сигурност. Затова OT изисква собствен подход, а не сляпо копиране на IT практиките.

Какво представлява стандартът IEC 62443 и как е свързан с NIS2?

IEC 62443 е международният стандарт за киберсигурност на системите за индустриална автоматизация и управление (IACS). Той определя модела на зони и проводници, нивата на сигурност и изискванията към производители, интегратори и оператори. NIS2 задава какво (управление на риска и правни задължения); IEC 62443 дава техническото как, за да се изпълни в OT средата.

Кои добри практики за сигурност на OT да приложа първо?

Започнете с инвентаризация на всички OT активи, сегментиране на мрежата с разделяне на IT от OT по модела Purdue и зоните на IEC 62443, контрол и журналиране на дистанционния достъп, управление на корекциите на SCADA и PLC с планирани прозорци и план за реакция при инциденти с тествани резервни копия. Това са мерките с най-голямо въздействие и най-нисък относителен разход.

В заключение

NIS2 превръща киберсигурността на OT в задължение с име: управление на риска върху индустриалната мрежа, докладване на инциденти в кратки срокове и отговорност на ръководството. Това не е ИТ проект, а проект за непрекъсваемост на завода —а техническата адаптация отнема месеци, така че си струва да започнете сега.

Добрата новина е, че първите мерки (инвентаризация, сегментиране, достъп) са с най-голямо въздействие и се опират на познаването на процеса, а не на купуване на кутии. Вижте как подхождаме в нашите сигурни SCADA системи.

Готов ли е заводът ви за NIS2?

Помагаме ви да инвентаризирате, сегментирате и защитите OT мрежата си —от PLC до SCADA— в съответствие с NIS2 и IEC 62443, без да спирате производството. Разкажете ни за вашия случай.

Говорете с експерт по сигурност на OT

Nexum Blog

Свързани статии

25 юни 2026

Цена на индустриален робот: ръководство

Колко струва индустриален робот през 2026: цена на рамото по тип, марка, товар и обхват, разходи за интеграция и ROI. Ясно ръководство за бюджет.

Прочети

10 апр 2026

Промишлена автоматизация в Мадрид: Пълен наръчник 2026

Пълен наръчник за индустриална автоматизация в Мадрид: SCADA, роботика, електрически табла, BMS и производствени линии. Критерии за избор на интегратор.

Прочети

26 юни 2026

GTB за индустрии: цена и помощи

Колко струва GTB в промишлена сграда (15 000–120 000 €) и кои помощи IDAE, фондове Next Generation и CAE могат да финансират инсталацията ви.

Прочети