Controls IEC 62443 SL-2 i obligacions NIS2 en 3 segons.
IgeraIndustria dóna a l’especialista en Ciberseguretat OT/ICS accés instantàni als controls IEC 62443 Security Levels (FR1–FR7), obligacions NIS2 per infraestructures crítiques, anàlisi MITRE ATT&CK for ICS i segmentació per zones del model Purdue. La resposta cita el control exacte.
La ciberseguretat OT/ICS és el camp més especialitzat i menys cobert de la indústria
L’especialista en ciberseguretat OT/ICS ha de dominar simultàniament la normativa (NIS2, IEC 62443), la intel·ligència d’amenaces (MITRE ATT&CK for ICS), els protocols OT (Modbus, PROFINET, DNP3) i les tecnologies de detecció OT. Tota aquesta documentació està en anglès i es troba dispersa entre standards ISO, documents ENISA i base de dades MITRE. IgeraIndustria ho indexa tot.
IEC 62443
13 parts, més de 800 pàgines de requisits tècnics en anglès. L’estàndard de facto per a ciberseguretat IACS. L’especialista ha de citar el SR exacte en les seves recomanacions.
SL-1/4
Security Levels de la IEC 62443-3-3: 51 System Requirements (SR) agrupats en 7 Foundational Requirements (FR). Cada SL afegeix controls addicionals sobre l’anterior.
TRITON
TRITON/TRISIS (2017): el primer malware dissenyat específicament per atacar SIS (Safety Instrumented Systems). Documental en MITRE ATT&CK for ICS T0857. Objectiu: causar accident físic.
10M€
Sanció màxima NIS2 per a entitats essencials per incompliment de l’art.21 (mesures de ciberseguretat). Per a entitats importants: 7M€. En vigor a Espanya des d’octubre 2024.
L’especialista en ciberseguretat OT/ICS passa hores cercant quin SR de la IEC 62443-3-3 aplica a un control concret o quina tècnica MITRE ATT&CK for ICS ha explotat un actor d’amenaces en el seu sector. IgeraIndustria indexa tota la documentació i resol cada consulta en segons.
Consulta instantània d’IEC 62443, NIS2 i MITRE ATT&CK for ICS
IgeraIndustria localitza el control exacte de la IEC 62443, l’obligació NIS2 o la tècnica MITRE ATT&CK for ICS que respon cada consulta de l’especialista en ciberseguretat OT/ICS, i el cita amb la referència exacta.
Controls IEC 62443-3-3 per Security Level
Per a cada Security Level objectiu (SL-1 a SL-4), IgeraIndustria llista els 51 System Requirements (SR) de la IEC 62443-3-3 agrupats per Foundational Requirement (FR1: Control d’accés, FR2: Ús controlat, FR3: Integritat del sistema, FR4: Confidencialitat, FR5: Flux de dades restringit, FR6: Resposta oportuna a esdeveniments, FR7: Disponibilitat del recurs).
Anàlisi MITRE ATT&CK for ICS per sector
Quines tècniques MITRE ATT&CK for ICS són més rellevants per al sector (energia, manufactua, aigüa, químic), quins actors d’amenaces les utilitzen (Sandworm, TEMP.Veles, Dragonfly) i quins controls de la IEC 62443 les mitiga o detecta.
Compliment NIS2 per a infraestructures crítiques
Classificació de la instal·lació com a infraestructura crítica següens la Llei PIC (Llei 8/2011) i la NIS2, obligacions específiques de l’art.21, terminis de notificació d’incidents a l’autoritat competent (CCN-CERT per a AAPP, INCIBE-CERT per a sector privat) i requisits del pla de continuitat.
Segmentació zones Purdue i conduits
Disseny de la segmentació per zones (L0 a L5) i conduits següens la IEC 62443-3-3 SR 5.1: quins controls són obligatoris per a cada zona, com implementar la DMZ entre IT i OT, requisits del firewall industrial per protocol (Modbus/TCP, OPC-UA, DNP3) i quan recomanar un Data Diode.
Avaluació de riscos IACS (IEC 62443-3-2)
Metodologia d’avaluació de riscos per a sistemes IACS: identificació de zones i conduits, càlcul del Target Security Level (SL-T) basat en la criticitat del procés i les amenaces del sector, gap analysis respecte al Security Level actual (SL-C) i plan de tractament de riscos.
Incident response OT: forensia i notificació NIS2
Protocol de resposta a incidents en entorn OT (IEC 62443-2-1 element 4.3.4.5): forensia passiva sense interrompre el procés, contenció per zones, restauració via MOC, test funcional de sistemes de seguretat i notificació NIS2 art.23 en 24h/72h amb el contingut mínim requerit.
Suport complet a l’especialista en ciberseguretat OT/ICS
Des del disseny del programa de seguretat IACS fins a la resposta a un incident OT actiu, IgeraIndustria acompanya l’especialista amb la documentació exacta que necessita en cada moment.
Programa de seguretat IACS (IEC 62443-2-1)
Requisits per a l’establiment, implementació i manteniment d’un programa de gestió de la seguretat IACS: polítiques, procediments, responsabilitats, formació, gestió d’actius, gestió de canvis, gestió d’incidents i revisió contínua. Plantilles i llistes de verificació per a cada element del programa.
Red team i pen test en entorn OT
Consideracions específiques per al pen testing d’entorns OT: per què les eines IT convencionals (Nmap, Metasploit) poden causar danys en entorns OT, eines específiques (Claroty, Dragos Platform, GRASSMARLIN), abast recomanat, precaucions durant l’execució i tractament de resultats amb la IEC 62443-2-4.
Gestió d’accesos remots OT (IEC 62443-3-3 SR 1.3)
Requisits per a l’accés remot a sistemes SCADA i PLCs: autenticació múltiple factor, VPN amb segmentació per rol, sessió gravada i monitorada, revocació ràpida i acord de tercers (IEC 62443-2-4) per a proveidors de manteniment remot.
Inventari i gestió d’actius OT (IEC 62443-2-1)
Metodologia per a l’inventari exhaustiu d’actius OT incloent-hi la detecció passiva (Nozomi Guardian, Claroty) per descobrir actius no documentats, la classificació per criticitat, la gestió del cicle de vida (EoL, EoS) i la integració amb el CMDB corporatiu.
Seguretat de la cadena de subministrament OT
Requisits NIS2 art.21.2.d i IEC 62443-2-4 per a proveidors de serveis IACS: qualificació de proveidors, clàusules contractuals de ciberseguretat, drets d’auditoria, requisits de notificació d’incidents i gestió de l’accés de tercers als sistemes OT.
Exercicis tabletop i simulació d’incidents OT
Disseny d’exercicis de simulació per a equips de resposta a incidents OT: escenaris basats en incidents reals (TRITON, INDUSTROYER, Colonial Pipeline), rols i responsabilitats, procediments d’escalada, comunicació amb l’autoritat competent (CCN-CERT) i lliions apresses.
Els 4 pilars tècnics de la ciberseguretat OT/ICS
Qualsevol decisió de ciberseguretat OT/ICS té suport en un o més d’aquests quatre pilars. IgeraIndustria els té tots indexats i cita el punt exacte en cada resposta.
IEC 62443 — Estàndard tècnic complet
La sèrie IEC 62443 té 13 parts organitzades en 4 categories: general (62443-1-x: terminologia, mètriques, casos d’ús), polítiques i procediments (62443-2-x: programa de seguretat, patch management, requeriments de proveidors), sistema (62443-3-x: models de seguretat, avaluació de riscos, requisits de sistema) i component (62443-4-x: cicle de vida de des. segur, requisits per a components). Per a la majoria dels projectes de ciberseguretat OT, les parts més rellevants són la 62443-2-1, 62443-3-2 i 62443-3-3. IgeraIndustria té les 13 parts indexades.
NIS2 (UE 2022/2555) — Marc jurídic europeu
La NIS2 és la directiva europea de ciberseguretat que ha reemplaat la NIS1 (2016) amb un abast molt més ampli. Per a la indústria, les obligacions clau de l’art.21 són: gestió de riscos, notificació d’incidents, continuitat del negoci i seguretat de la cadena de subministrament. La transposició espanyola està en tramitació (Projecte de Llei de Ciberseguretat nacional). A Espanya, el CCN-CERT és l’autoritat de notificació per a les administracions públiques i les infraestructures crítiques, i INCIBE-CERT per a la resta del sector privat.
MITRE ATT&CK for ICS — Intel·ligència d’amenaces
MITRE ATT&CK for ICS cataloga 12 tàctiques (Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Evasion, Discovery, Lateral Movement, Collection, C2, Inhibit Response Function, Impair Process Control) i més de 80 tècniques documentades en incidents reals com Stuxnet (T0843 Module Firmware, T0831 Manipulation of Control), TRITON (T0857 System Firmware), INDUSTROYER (T0816 Device Restart/Shutdown, T0881 Service Stop) i Black Energy (T0822 External Remote Services).
Model Purdue / ISA-99 — Arquitectura de referència
El Purdue Reference Model (ISA-99) defineix l’arquitectura de referència per a la segmentació de xarxes ICS en 5 nivells (L0: camp, L1: control, L2: supervisió, L3: operacións, L4/L5: corporatiu/internet). La IEC 62443-3-3 utilitza el concepte de “zone and conduit model” com a implementació de la segmentació Purdue. Per a entorns Industry 4.0, el model Purdue s’està evolucionant cap a una arquitectura de zones més flexible (ISA-95 a la cloud), però els principis de segmentació continuen sent vàlids.
Com funciona IgeraIndustria per a Ciberseguretat OT/ICS
Cinc passos des de la indexació dels estàndards fins a la resposta amb control exacte de la IEC 62443 i tècnica MITRE ATT&CK for ICS aplicable.
Indexes la documentació tècnica i la normativa OT/ICS
IgeraIndustria té preindexada la IEC 62443 completa (13 parts), la NIS2, les guies CCN-STIC per a entorns industrials i el marc MITRE ATT&CK for ICS. Tu pots afegir la documentació específica dels teus sistemes OT i les teves polítiques internes.
Connectes l’assistent a l’equip de ciberseguretat i al SOC OT
Embed al portal del SOC, Jira, Confluence o com a bot de consulta per als analistes. Durant una investigació d’incident o un projecte de millora, l’analista pot consultar la referència exacta sense sortir del flux de treball.
L’especialista pregunta en llengua natural
«Quins controls IEC 62443-3-3 cobreix el SR 3.3 i com s’apliquen a SL-2?», «Quina tècnica MITRE ATT&CK for ICS utilitza Sandworm per comprometre SCADAs energetics?», «Quina és l’obligació NIS2 de notificació si detectem una APT a la xarxa OT?»
IgeraIndustria cerca en 4 cossos de coneixement
IEC 62443 (controls tècnics), NIS2 i CCN-STIC (marc jurídic i guies), MITRE ATT&CK for ICS (intel·ligència d’amenaces) i documentació interna (arquitectura de xarxa, inventari d’actius, polítiques). Correlaciona els quatre cossos si la consulta ho requereix.
Resposta amb referència exacta i mapa de controls vs amenaces
La resposta cita el SR exacte de la IEC 62443, la tècnica MITRE ATT&CK for ICS rellevant, l’obligació NIS2 aplicable i el control intern de la teva documentació que ja mitiga (o no mitiga) l’amenaca. Gap analysis immediat.
IgeraIndustria en acció — controls IEC 62443-3-3 SL-2
Consulta sobre els controls FR1–FR7 de la IEC 62443-3-3 per a Security Level 2 resolta en menys de 3 segons amb les referències exactes dels System Requirements.
Especialista Ciberseguretat OT
Quins controls de la IEC 62443-3-3 són obligatoris per assolir Security Level 2 en el nostre sistema SCADA? Resumeix per FR.
IgeraIndustria
IEC 62443-3-3 — System Requirements per Security Level 2
Controls obligatoris per FR (SL-2 inclou SL-1 + mès):
- • FR1 (Control Accés): SR 1.1 identificació i autenticació humans, SR 1.3 gestió comptes
- • FR2 (Ús Controlat): SR 2.1 autorització, SR 2.6 accesos remots
- • FR3 (Integritat): SR 3.1 integritat comunicació, SR 3.3 protecció sequència
- • FR4 (Confidencialitat): SR 4.1 informació en trànsit, SR 4.2 en repòs
- • FR5 (Flux Dades): SR 5.1 separació xarxa, SR 5.2 protecció zona frontera
- • FR6 (Resposta): SR 6.1 monitoratge, SR 6.2 log d’auditoria
- • FR7 (Disponibilitat): SR 7.1 DoS protection, SR 7.3 backup i recuperació
⚠️ SL-2 afegeix reforement (RE) als SR de SL-1: ex. SR 1.1 RE1 (unicitat d’identificadors de hardware)
✓ IEC 62443-3-3:2013 FR1–FR7 · Security Level 2 · Confiança: 99,6%
500
empleats operador infraestructura crítica energia
0
incidents OT en 24 mesos
NIS2
compliant: auditoria superada sense observacions
Com a operador d’infraestructura crítica energtica, la NIS2 ens va exigir implementar controls que el nostre petit equip de ciberseguretat OT no podia documentar ràpidament. Amb IgeraIndustria, el nostre especialista localitza en segons el SR exacte de la IEC 62443-3-3 que necessita, la tècnica MITRE ATT&CK for ICS que vol mitigar i el requisit NIS2 que ha de complir. Hem passat l’auditoria de certificació NIS2 sense cap observació i portem 24 mesos sense cap incident OT.
*Testimoni representatiu basat en resultats de clients reals
Preguntes freqüents — Ciberseguretat OT/ICS
Quina és la diferència entre la ciberseguretat IT i OT?
La ciberseguretat IT (tecnologies d’informació) i OT (tecnologies d’operació) comparteixen conceptes generals però difereixen en prioritats, entorn tècnic i impacte. En IT, la prioritat és la triàda CIA: Confidencialitat, Integritat i Disponibilitat, en aquest ordre. En OT, la prioritat s’inverteix: (1) Seguretat física de persones i instal·lacions; (2) Disponibilitat del procés productiu (una aturada no planificada pot costar milers d’euros per minut); (3) Integritat del procés (comandes erronies a un PLC poden causar accidents); (4) Confidencialitat (menys prioritaria en OT pur). Els protocols OT (Modbus, PROFINET, DNP3, OPC-UA) van dissenyar-se sense autenticació ni xifratge perquè l’aïllament físic era el control de seguretat. La convergència IT-OT ha eliminat aquest aïllament sense reemplaar els protocols insegurs.
Què són els Security Levels de la IEC 62443 i com s’apliquen?
La IEC 62443 defineix quatre Security Levels (SL) que representen la robustesa requerida d’un sistema IACS davant d’atacants amb capacitats creixents: SL-1 (protecció contra violació casual o accidental, sense intenció maliciosa), SL-2 (protecció contra atacants amb motivació i habilitats bàsiques, com actors d’amenaces internes), SL-3 (protecció contra actors estatals amb recursos moderats, incloent-hi eines especialitzades OT), SL-4 (protecció contra actors estatals d’elit amb recursos il·limitats, aplicable a infraestructures crítiques nuclears o de defensa). Per a la major part de la indústria, l’objectiu és SL-2 per als sistemes de control de procés i SL-3 per als SIS (Safety Instrumented Systems). La IEC 62443-3-3 defineix 51 requisits de sistema (SR) agrupats en 7 Foundational Requirements (FR) que s’han de satisfer per assolir cada SL.
Quines obligacions de ciberseguretat OT imposa la NIS2 als fabricants industrials?
La Directiva NIS2 (UE 2022/2555) classifica la manufactura de productes crítics (maquinària, vehicles, equips electrònics, químics) com a sector d’“entitats importants” (annex II). Les obligacions de l’art.21 per a fabricants industrials inclouen: (1) polítiques de gestió de riscos de ciberseguretat documentades i revisades; (2) gestió d’incidents: detecció, contenció, recuperació i notificació en 24h (avis) / 72h (informe); (3) continuitat de negoci i gestió de crisis; (4) seguretat de la cadena de subministrament (avaluació de riscos OT de proveidors d’equip); (5) gestió de vulnerabilitats i patches; (6) formació en ciberseguretat per al personal (incloent-hi els tècnics OT de planta). Les sancions per a entitats importants arriben fins a 7 milions d’euros o l’1,4% de la facturació mundial anual.
Com s’utilitza el marc MITRE ATT&CK for ICS per a la defensa OT?
MITRE ATT&CK for ICS és una base de coneixement de tàctiques, tècniques i procediments (TTPs) documentats d’atacants que han comproms sistemes de control industrial. Conté 12 tàctiques específiques OT i més de 80 tècniques, cadascuna amb exemples d’incidents reals (Stuxnet, TRITON/TRISIS, INDUSTROYER, Sandworm). Per a la defensa, s’utilitza per: (1) mapear les defenses existents contra les tècniques més habituals per al sector; (2) identificar gaps de detecció on no hi ha cap control que detectaria l’atac; (3) prioritzar inversions de seguretat basant-se en la relevància de les amenaces per al sector; (4) dissenyar escenaris de red team OT per provar les defenses; (5) crear regles de detecció al SIEM o a les eines de monitoratge OT (Claroty, Dragos, Nozomi) basades en les TTPs documentades.
Com s’ha d’implementar la segmentació per zones del model Purdue?
El model Purdue (ISA-95 / IEC 62264) defineix 5 nivells (L0 a L5) que s’han de segmentar en zones amb controls d’accés entre elles: L0 (dispositius de camp: sensors, actuadors), L1 (control bàsic: PLCs, RTUs), L2 (supervisió: SCADA, HMI), L3 (operacións: MES, historizadors, servidors de recs), L4 (corporatiu: ERP, email), L5 (internet). La IEC 62443-3-3 afegeix el concepte de “conduit” per a la comunicació entre zones, que ha d’implementar-se amb firewalls industrials o Data Diodes. Els punts crítics són: la DMZ entre L3 i L4 (accés remot controlat), la separació L2-L3 (no permès accés directe IT a SCADA), i la protecció del L1 (PLCs mai accessibles des de IT). La NIS2 art.21.2.h exigeix aquesta segmentació com a mesura obligatòria per a entitats essencials.
Quin procés de resposta a incidents s’ha de seguir en un entorn OT?
La resposta a incidents en entorns OT difereix de la IT en tres aspectes clau: (1) la contenció no pot implicar apagar el sistema si el procés productiu no es pot aturar de forma segura — primer cal avaluar l’impacte en la seguretat física (SIS, EPIs, procés qumíc); (2) l’erradicació requereix un MOC complet i test funcional abans de tornar a producció; (3) la notificació NIS2 art.23 és obligatòria en 24h (avis inicial) i 72h (informe complet) per a incidents que afecten la disponibilitat, autenticitat o integritat del servei. El procés típic té 6 fases: (1) Preparació (playbooks, exercicis tabletop); (2) Detecció (SIEM OT, monitoratge passiu); (3) Anàlisi (forensi OT sense interrompre el procés); (4) Contenció (aïllament de zona vs parada de procés); (5) Erradicació i recuperació (restauració PLC, test funcional, MOC); (6) Lliure activitat post-incident (notificació NIS2, lliions apresses).
Plans IgeraIndustria Ciberseguretat OT/ICS
Sense permànencia. Cancel·la quan vulguis.
Starter
Per a equips de ciberseguretat industrial que necessiten accés ràpid als controls IEC 62443 i les obligacions NIS2 sense invertir hores en llegir estàndards en anglès.
- IEC 62443 i NIS2 preindexats
- Controls per Security Level
- MITRE ATT&CK for ICS bàsic
- 1.000 consultes/mes
- Widget per a l’equip OT
- Suport per email
Professional
Per a especialistes en ciberseguretat OT que necessiten suport contínu per a avaluació de riscos, incident response i compliment NIS2 en entitats essencials.
- IEC 62443 complet (13 parts)
- MITRE ATT&CK for ICS complet
- Avaluació riscos IEC 62443-3-2
- 5.000 consultes/mes
- Guies CCN-STIC indexades
- Suport prioritari
Enterprise
Per a operadors d’infraestructures crítiques amb SOC OT propi, equip de red team intern i necessitat d’integrar la intel·ligència d’amenaces OT al flux de treball del SOC.
- Tot Professional més
- Documentació OT interna indexada
- Gap analysis IEC 62443 automàtic
- Consultes il·limitades
- SLA 99,9% uptime
- Customer success dedicat
Domina la IEC 62443 i la NIS2 en el teu entorn OT. Comena avui.
- Prova gratuïta 14 dies — sense targeta de crèdit
- IEC 62443 (13 parts), NIS2 i MITRE ATT&CK for ICS preindexats des del dia 1
- Puja la documentació OT interna (polítiques, arquitectura, inventari) en menys de 24 h
- Gap analysis IEC 62443-3-3 per Security Level llest per a auditories NIS2
