N
B
NIS2 y ciberseguridad OT en la industria

NIS2 y ciberseguridad OT en la industria

· por Equipo Nexum

La ciberseguridad OT industrial ha dejado de ser un asunto de informática para convertirse en una obligación legal. Con la directiva NIS2, miles de plantas en España y la UE deben proteger sus redes de control —PLC, SCADA, líneas de producción— con el mismo rigor que sus datos. Esta guía explica, sin humo, a quién aplica, qué exige y por dónde empezar.

En una frase: NIS2 obliga a gestionar el riesgo cibernético y a notificar incidentes; la ciberseguridad OT es la práctica técnica que lo hace posible en el entorno industrial, donde un ataque no roba datos: para la fábrica.

1 Qué es NIS2 y por qué afecta a la industria

La directiva NIS2 (Directiva UE 2022/2555, Network and Information Security 2) es la norma europea que eleva el nivel mínimo de ciberseguridad en los sectores considerados críticos. Sustituye y amplía a la antigua NIS de 2016: multiplica los sectores cubiertos, endurece las obligaciones y, sobre todo, mete de lleno a la industria en el perímetro regulado.

La novedad para una planta es que ya no basta con proteger los ordenadores de oficina. NIS2 obliga a evaluar y proteger también las redes y sistemas de información que sostienen el proceso productivo: el SCADA que supervisa la planta, los PLC que mueven la línea, los HMI, los variadores y la red industrial que los conecta. Es decir, el mundo OT (Operational Technology, tecnología de operación).

NIS2 no es una norma «de informática»: es una norma de continuidad de negocio. Un ransomware que cifra el SCADA no filtra un Excel, detiene la producción —y la directiva exige que la dirección responda de que eso no pase.

2 A quién aplica: entidades esenciales e importantes

NIS2 clasifica a las organizaciones obligadas en dos categorías, con distinto régimen de supervisión y sanción:

🔴
Entidades esenciales (EE)
Sectores de alta criticidad: energía, agua potable, transporte, banca, sanidad, infraestructura digital. Supervisión proactiva y multas de hasta 10 M€ o el 2 % de la facturación global.
🟠
Entidades importantes (EI)
Fabricación de productos críticos, alimentación, química, gestión de residuos, servicios digitales. Supervisión reactiva y multas de hasta 7 M€ o el 1,4 % de la facturación.

Como regla general, NIS2 aplica si tu organización opera en uno de los sectores cubiertos y tiene 50 o más empleados o factura más de 10 millones de euros al año. Muchas fábricas y plantas de procesos entran como entidad importante, aunque no se vean a sí mismas como «infraestructura crítica».

Aunque tu planta quede por debajo de los umbrales, el efecto arrastre es real: si eres proveedor de una entidad obligada, te pedirán requisitos de seguridad por contrato. La cadena de suministro es uno de los pilares de NIS2.

3 Estado de la transposición en España

El plazo europeo para transponer NIS2 a la legislación nacional venció el 17 de octubre de 2024. España no llegó a tiempo —la Comisión Europea le envió un dictamen motivado en mayo de 2025— y la está incorporando de forma escalonada:

  • Una parte se transpuso mediante el Real Decreto-ley 7/2025.
  • El grueso llegará con la Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación parlamentaria.
  • Se espera plena aplicación e inspecciones a lo largo de 2026, con miles de empresas españolas dentro del ámbito.

El mensaje práctico es claro: que la ley nacional aún se esté cerrando no es excusa para esperar. Las obligaciones de fondo ya están en la directiva y la adaptación técnica de una planta lleva meses: quien empiece ahora llegará a tiempo. Para el detalle oficial puedes consultar al INCIBE, organismo de referencia en ciberseguridad en España.

4 Obligaciones clave que debes cumplir

NIS2 no es una checklist de productos, sino un conjunto de obligaciones de gestión. Estas son las que más impactan a una planta industrial:

ObligaciónQué significa para tu planta
Gestión de riesgosAnalizar y tratar el riesgo cibernético sobre redes IT y OT: inventario, segmentación, control de accesos, copias, cifrado.
Notificación de incidentesAlerta temprana en 24 h, notificación en 72 h e informe final en 1 mes.
Responsabilidad de la direcciónEl órgano de dirección aprueba y supervisa las medidas, y responde personalmente de su cumplimiento.
FormaciónConcienciación periódica del personal, incluida la dirección.
Continuidad y respuestaPlanes de continuidad, gestión de crisis y respaldos probados.
Cadena de suministroEvaluar la seguridad de proveedores e integradores.

El incumplimiento se paga: hasta 10 millones de euros o el 2 % de la facturación global para entidades esenciales, y hasta 7 millones o el 1,4 % para las importantes. Más relevante aún: la responsabilidad recae sobre la dirección, no solo sobre el departamento de sistemas.

5 IT vs OT: por qué la seguridad industrial es distinta

El error más caro es aplicar a la planta las recetas de la informática de oficina. IT y OT tienen prioridades opuestas, y eso lo cambia todo:

CriterioIT (informática)OT (industrial)
PrioridadConfidencialidad del datoDisponibilidad y seguridad física del proceso
Ciclo de vida3-5 años15-25 años (PLC, SCADA)
ParcheoFrecuente, casi automáticoEn ventanas planificadas; muchas veces no se puede parar
ProtocolosDiseñados con seguridadIndustriales heredados, a menudo sin cifrado ni autenticación
Impacto de un falloFuga o pérdida de datosParada de producción, daño físico, riesgo para personas

Por eso no se puede «copiar y pegar» el modelo de IT sobre la fábrica. Un antivirus pesado puede tumbar un HMI y reiniciar un equipo para actualizarlo puede parar una línea entera. La seguridad OT necesita un enfoque propio que entienda el proceso —el mismo conocimiento con el que se diseña un sistema SCADA o se compara un SCADA frente a un HMI.

6 Buenas prácticas de seguridad OT (y dónde encaja IEC 62443)

Cumplir NIS2 en la planta se traduce en medidas técnicas concretas. El estándar de referencia es la IEC 62443, la norma internacional de ciberseguridad para sistemas de automatización y control industrial (IACS): mientras NIS2 fija el qué (obligaciones legales), IEC 62443 aporta el cómo técnico con su modelo de zonas y conductos. Estas son las prácticas con más impacto:

01
Inventario de activos OT
No puedes proteger lo que no conoces. Cataloga cada PLC, HMI, SCADA, variador y switch de la red industrial.
02
Segmentación de red
Separa IT de OT con el modelo Purdue y zonas IEC 62443. Una intrusión en oficinas no debe llegar a la línea.
03
Gestión de accesos
Acceso remoto controlado y registrado, mínimo privilegio y doble factor para mantenimiento de proveedores.
04
Parcheo planificado
Actualiza SCADA y PLC en ventanas de parada, con pruebas previas. Donde no se puede parchear, compensa con segmentación.
05
Monitorización y respaldo
Detecta anomalías en la red OT y mantén copias de los programas de PLC y proyectos SCADA, probadas y a buen recaudo.
06
Plan de respuesta
Procedimiento claro para detectar, contener y notificar (24 h/72 h), ensayado antes de que ocurra el incidente.

El modelo Purdue ordena la red en niveles —del campo (sensores y actuadores) a la gestión (ERP)— y ayuda a decidir qué se comunica con qué. IEC 62443 lo refina con zonas (grupos de activos con el mismo nivel de seguridad) y conductos (las comunicaciones controladas entre ellas). Combinar ambos es hoy la base de cualquier arquitectura OT defendible, y enlaza de forma natural con prácticas como el mantenimiento predictivo, que también vive en esa red industrial.

Sigue leyendo

Preguntas frecuentes

¿Qué es la directiva NIS2 y a qué empresas industriales aplica?

NIS2 (Directiva UE 2022/2555) es la norma europea que eleva el nivel mínimo de ciberseguridad en sectores críticos. Aplica a entidades esenciales e importantes con 50 o más empleados o más de 10 millones de euros de facturación que operen en sectores cubiertos, entre ellos energía, agua, alimentación, fabricación de productos críticos, química o transporte. Muchas plantas industriales entran como entidad importante.

¿Cuándo entra en vigor NIS2 en España?

El plazo europeo de transposición venció el 17 de octubre de 2024. España no llegó a tiempo y la transpone de forma escalonada: parte vía Real Decreto-ley 7/2025 y el resto con la Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación, con plena aplicación e inspecciones esperadas a lo largo de 2026.

¿Cuáles son las obligaciones clave de NIS2 para una planta?

Gestión de riesgos de ciberseguridad sobre redes IT y OT, notificación de incidentes (alerta temprana en 24 h, notificación en 72 h e informe final en un mes), responsabilidad directa de la dirección sobre las medidas, formación, continuidad de negocio y seguridad de la cadena de suministro. El incumplimiento puede acarrear multas de hasta 10 millones de euros o el 2 % de la facturación global.

¿En qué se diferencia la seguridad OT de la seguridad IT?

En IT la prioridad es la confidencialidad de los datos; en OT la prioridad es la disponibilidad y la seguridad física del proceso. Los sistemas OT (PLC, SCADA, HMI) tienen ciclos de vida muy largos, no se pueden parar para parchear cuando se quiere y muchos protocolos industriales nacieron sin seguridad. Por eso OT necesita un enfoque propio, no copiar sin más las prácticas de IT.

¿Qué es la norma IEC 62443 y cómo se relaciona con NIS2?

IEC 62443 es el estándar internacional de ciberseguridad para sistemas de automatización y control industrial (IACS). Define el modelo de zonas y conductos, niveles de seguridad y requisitos para fabricantes, integradores y operadores. NIS2 fija el qué (gestión de riesgos y obligaciones legales); IEC 62443 aporta el cómo técnico para cumplirlo en el entorno OT.

¿Qué buenas prácticas de seguridad OT debería aplicar primero?

Empieza por inventariar todos los activos OT, segmentar la red separando IT de OT siguiendo el modelo Purdue y zonas IEC 62443, controlar y registrar los accesos remotos, gestionar el parcheo de SCADA y PLC con ventanas planificadas, y definir un plan de respuesta a incidentes con copias de seguridad probadas. Son las medidas con más impacto y menor coste relativo.

En definitiva

NIS2 convierte la ciberseguridad OT en una obligación con nombre y apellidos: gestión de riesgos sobre la red industrial, notificación de incidentes en plazos cortos y responsabilidad de la dirección. No es un proyecto de informática, sino de continuidad de la planta —y la adaptación técnica lleva meses, así que conviene empezar ya.

La buena noticia es que las primeras medidas (inventario, segmentación, accesos) son las de mayor impacto y se apoyan en el conocimiento del proceso, no en comprar cajas. Descubre cómo lo enfocamos en nuestros sistemas SCADA seguros.

¿Tu planta está preparada para NIS2?

Te ayudamos a inventariar, segmentar y asegurar tu red OT —de PLC a SCADA— alineada con NIS2 e IEC 62443, sin parar la producción. Cuéntanos tu caso.

Hablar con un experto en seguridad OT

Nexum Blog

Artículos relacionados

Precio de un robot industrial: guía 2026

25 jun 2026

Precio de un robot industrial: guía 2026

Cuánto cuesta un robot industrial en 2026: precio del brazo por tipo, marca, carga y alcance, costes de integración y ROI. Guía clara para presupuestar.

Leer artículo
Automatización Industrial Madrid: Guía Completa 2026

10 abr 2026

Automatización Industrial Madrid: Guía Completa 2026

Guía completa de automatización industrial en Madrid: SCADA, robótica, cuadros eléctricos, BMS y líneas de producción. Criterios para elegir integrador.

Leer artículo
GTB en naves: precio y ayudas 2026

26 jun 2026

GTB en naves: precio y ayudas 2026

Cuánto cuesta una GTB en una nave industrial (15.000–120.000 €) y qué ayudas IDAE, fondos Next Generation y CAE pueden financiar tu instalación.

Leer artículo