NIS2 en Manufactura: Ciberseguridad OT/ICS y Notificación en 24h.
NIS2 clasifica la fabricación como entidad importante del Anexo II, con obligaciones de ciberseguridad OT/ICS distintas de las de IT tradicional. IgeraIndustria responde qué medida aplica y en qué plazo notificar un incidente.
NIS2 en tres cifras clave para manufactura
NIS2 introduce plazos estrictos de notificación y umbrales de sanción específicos para las entidades importantes del sector fabricación.
24 horas
Plazo máximo para la alerta temprana de un incidente significativo desde que se tiene conocimiento.
7M€ / 1,4%
Multa máxima para entidades importantes: 7 millones de euros o el 1,4% de la facturación global.
Anexo II
Fabricación de dispositivos médicos, ordenadores, vehículos y maquinaria clasificada como entidad importante.
Ciberseguridad OT/ICS: diferente a la seguridad IT
NIS2 exige medidas de gestión de riesgos que deben adaptarse a los sistemas de control industrial, con prioridades distintas a las de la seguridad de la información tradicional.
Disponibilidad antes que confidencialidad
En OT, la prioridad es que la línea de producción siga funcionando de forma segura. Un parche de seguridad IT estándar puede no ser aplicable sin parar producción.
Segmentación de red planta/oficina
NIS2 exige separar la red corporativa IT de la red de control industrial OT para evitar que un incidente en oficinas se propague a PLCs y SCADA.
Inventario de activos industriales
Requisito práctico previo a cualquier gestión de riesgos: catalogar PLCs, HMIs, sistemas SCADA y su conectividad, incluyendo equipos legacy sin soporte de seguridad.
Proveedores de sistemas de control
Art. 21 exige evaluar la seguridad de los proveedores de PLCs, SCADA y software de planta, incluyendo su acceso remoto a la red OT.
Continuidad y gestión de crisis
Planes de continuidad específicos para producción: qué hacer si un ciberataque obliga a parar la planta, con procedimientos de vuelta a operación segura.
Ciberhigiene y formación de operarios
Formación adaptada a operarios de planta, no solo a personal IT, sobre reconocimiento de amenazas y procedimientos de escalado.
Recurso relacionado: fabricantes críticos
Si tu empresa fabrica productos con especial relevancia para infraestructuras críticas, consulta el análisis específico.
FAQ: NIS2 para fabricantes críticos
Criterios específicos que elevan a un fabricante a entidad esencial y obligaciones reforzadas de supervisión.
Preguntas frecuentes — NIS2 manufactura
¿Por qué la manufactura es «entidad importante» y no «entidad esencial» en NIS2?
La Directiva NIS2 (UE 2022/2555) clasifica los sectores en el Anexo I (entidades esenciales: energía, transporte, banca, salud, agua, infraestructura digital) y el Anexo II (entidades importantes: fabricación, servicios postales, gestión de residuos, química, alimentación). La fabricación de determinados productos (dispositivos médicos, ordenadores, vehículos de motor, maquinaria, entre otros) queda en el Anexo II. La diferencia práctica: las entidades esenciales están sujetas a supervisión proactiva por las autoridades, mientras que las importantes solo se supervisan de forma reactiva, tras un incidente o denuncia, aunque las obligaciones de seguridad son sustancialmente las mismas.
¿Qué umbral de empleados o facturación determina si una fábrica está sujeta a NIS2?
Como regla general, NIS2 aplica a medianas y grandes empresas: más de 50 empleados o más de 10 millones de euros de facturación o balance anual, dentro de los sectores cubiertos por los Anexos I y II. Existen excepciones: algunas entidades quedan sujetas independientemente de su tamaño si prestan servicios críticos concretos (por ejemplo, único proveedor de un servicio esencial en un Estado miembro), y los Estados miembros pueden ampliar el ámbito en su transposición nacional.
¿Qué diferencia hay entre ciberseguridad IT y ciberseguridad OT/ICS en una fábrica?
La ciberseguridad IT protege sistemas de información tradicionales (ERP, correo, redes corporativas). La ciberseguridad OT (Operational Technology) e ICS (Industrial Control Systems) protege los sistemas que controlan procesos físicos: PLCs, SCADA, sistemas de control distribuido y sensores de planta. Las prioridades son distintas: en IT prima la confidencialidad de los datos; en OT prima la disponibilidad y la seguridad física, porque un fallo de ciberseguridad puede parar la producción o causar un accidente. NIS2 exige medidas técnicas y organizativas específicas que deben adaptarse a esta diferencia, en lugar de aplicar directamente controles IT genéricos a los sistemas OT.
¿En cuánto tiempo debo notificar un incidente de ciberseguridad bajo NIS2?
NIS2 establece un proceso de notificación en tres fases: alerta temprana (early warning) en un plazo de 24 horas desde que se tiene conocimiento del incidente significativo, notificación de incidente completa en 72 horas con una evaluación inicial de gravedad e impacto, e informe final en el plazo de un mes, con descripción detallada, causa raíz y medidas de mitigación aplicadas. Un incidente se considera «significativo» cuando causa o puede causar perturbación operativa grave o pérdidas financieras considerables, o afecta a otras personas causando pérdidas materiales o inmateriales significativas.
¿Qué obligaciones de seguridad de la cadena de suministro impone NIS2?
El artículo 21 de NIS2 exige evaluar y gestionar los riesgos de ciberseguridad de proveedores directos y proveedores de servicios, incluyendo la calidad de las prácticas de desarrollo seguro de los proveedores de sistemas OT/ICS (PLCs, SCADA, software de control de planta). Esto es especialmente relevante en manufactura, donde muchos incidentes de alto impacto han entrado a través de proveedores de equipos o software industrial con acceso remoto a la red de planta.
¿Qué sanciones contempla NIS2 para entidades importantes que incumplen?
Para entidades importantes, la multa administrativa máxima es de 7 millones de euros o el 1,4% de la facturación global anual, lo que sea mayor. (Para entidades esenciales, el máximo es de 10 millones de euros o el 2% de la facturación global). Además de las multas, las autoridades nacionales pueden imponer medidas correctivas obligatorias, auditorías de seguridad y, en casos graves, suspender temporalmente certificaciones o autorizaciones relevantes, o incluso inhabilitar temporalmente a directivos responsables.
¿Qué medidas mínimas de gestión de riesgos exige el artículo 21 de NIS2?
El artículo 21.2 detalla diez áreas mínimas: análisis de riesgos y políticas de seguridad de sistemas de información, gestión de incidentes, continuidad de negocio y gestión de crisis, seguridad de la cadena de suministro, seguridad en la adquisición/desarrollo/mantenimiento de sistemas, políticas de evaluación de eficacia de medidas, ciberhigiene básica y formación, criptografía y cifrado, seguridad de recursos humanos y control de accesos, y uso de autenticación multifactor y comunicaciones seguras.
¿Cómo ayuda IgeraIndustria a preparar el cumplimiento de NIS2 en planta?
IgeraIndustria indexa la Directiva NIS2 completa junto con tu documentación interna de ciberseguridad OT/ICS —políticas de segmentación de red, inventario de activos industriales, planes de respuesta a incidentes—, permitiendo al responsable de seguridad consultar en lenguaje natural qué medida del artículo 21 aplica a un escenario concreto y qué plazo de notificación corresponde. Para un análisis específico sobre fabricantes críticos, consulta también nuestra FAQ sobre fabricantes críticos bajo NIS2.
¿Tu planta está lista para NIS2?
- Prueba gratis 14 días — sin tarjeta de crédito
- Directiva NIS2 completa preindexada desde el día 1
- Sube tus políticas OT/ICS, inventario de activos y planes de respuesta
- Respuesta con artículo exacto y plazo de notificación aplicable
