¿Qué normativas EU cubre IgeraRegTech?

IgeraRegTech cubre las 5 principales normativas EU de 2024-2026: AI Act (Reglamento EU 2024/1689), DORA (Reglamento EU 2022/2554), CSRD (Directiva EU 2022/2464), NIS2 (Directiva EU 2022/2555) y CBAM (Reglamento EU 2023/956). Cada módulo RAG está entrenado con los textos normativos oficiales, actos delegados y guías técnicas de las autoridades supervisoras.

¿Cómo ayuda IgeraRegTech a evitar multas por incumplimiento?

IgeraRegTech permite a los equipos de compliance acceder a la normativa exacta con cita de artículo, evaluar el estado de cumplimiento actual mediante gap analysis automatizados, generar documentación y plantillas conformes a cada reglamento, y recibir alertas cuando se publican actualizaciones normativas. Esto reduce el riesgo de incumplimiento y las multas asociadas, que pueden alcanzar €35M en el caso del AI Act o el 2% de la facturación global en NIS2.

¿IgeraRegTech reemplaza al abogado o consultor de compliance?

No. IgeraRegTech es una herramienta de asistencia que multiplica la productividad de los equipos legales y de compliance. El sistema RAG cita el artículo exacto y genera borradores, pero la responsabilidad legal y la toma de decisiones finales siempre recae en el profesional cualificado. IgeraRegTech elimina las horas de búsqueda documental para que los expertos se centren en el análisis y la estrategia.

¿Cuál es la diferencia entre entidad esencial e importante en NIS2?

NIS2 distingue: Entidades esenciales (Anexo I): sectores de energía, transporte, banca, infraestructura financiera, salud, agua, infraestructura digital, servicios TIC, administración pública, espacio. Multa máx: €10M o 2% facturación global. Entidades importantes (Anexo II): servicios postales, residuos, química, alimentaria, fabricación. Multa máx: €7M o 1,4% facturación. Umbral de tamaño: >250 empleados O >€50M facturación.

¿Qué plazos de notificación exige NIS2 para incidentes?

El art. 23 NIS2 exige: (1) Alerta temprana en 24 horas desde conocimiento del incidente significativo: tipo de incidente, impacto potencial, medidas iniciales. (2) Notificación completa en 72 horas: análisis preliminar, gravedad, indicadores de compromiso, causa raíz si está disponible. (3) Informe final en 1 mes: causa raíz definitiva, impacto real, medidas correctoras implementadas y planificadas.

¿Qué dice el art. 20 NIS2 sobre la responsabilidad de los directivos?

El art. 20 NIS2 establece que los órganos de dirección deben: (1) aprobar las medidas de gestión de riesgos de ciberseguridad, (2) supervisar su aplicación, (3) recibir formación periódica en ciberseguridad. En caso de incumplimiento grave, las autoridades competentes pueden exigir la suspensión temporal del directivo responsable y prohibirle ejercer funciones directivas.

NIS2NIS2 — Fabricación Industrial · Entidad Importante Anexo II

Tu Planta Industrial es una Entidad Importante NIS2.
Obligaciones desde Octubre 2024.

RAG especializado en NIS2 para el sector manufacturero. Clasifica tu empresa, evalúa las 10 medidas del art. 21 en entornos OT/ICS y genera notificaciones a INCIBE en 24 h. Multa máxima €7M para entidades importantes.

Multa hasta €7M o 1,4% facturaciónOT/ICS en alcance legalResponsabilidad directiva personal24h alerta temprana INCIBE

Solicitar demo gratuita Ver medidas obligatorias

Directiva (UE) 2022/2555 · Sector fabricación Anexo II · Aplicable desde octubre 2024

>50

empleados o >€10M facturación en fabricación = entidad importante NIS2 (art. 3.2)

€7M

multa hasta €7M o 1,4% facturación global para entidades importantes (art. 34)

OT/ICS

SCADA, PLCs, redes industriales son sistemas críticos bajo NIS2

24 h

para early warning a CSIRT tras incidente significativo (art. 23)

NIS2 en Fabricación Industrial

La Directiva NIS2 amplía el alcance de NIS1 de 7 a 18 sectores. El sector de fabricación industrial está incluido en el Anexo II como sector importante. Miles de empresas manufactureras españolas ahora tienen obligaciones de ciberseguridad bajo responsabilidad directiva personal.

¿Eres entidad importante o esencial?

Fabricantes con >50 empleados o >€10M de facturación son entidades importantes (Anexo II). Los de >250 empleados o >€50M son entidades esenciales (Anexo I). La categoría determina el nivel de multas y el tipo de supervisión de la autoridad competente.

Obligaciones art. 21 (10 medidas de seguridad)

El art. 21 NIS2 establece 10 medidas técnicas y organizativas mínimas: política de riesgos TIC, gestión de incidentes, continuidad de negocio, seguridad cadena suministro, adquisición segura de sistemas, formación, cifrado, MFA y más. Aplican tanto a sistemas IT como a entornos OT de planta.

Seguridad OT/ICS (SCADA/PLC/redes industriales)

NIS2 cubre explícitamente los sistemas de control industrial. Las plantas manufactureras deben extender sus medidas de ciberseguridad a SCADAs, PLCs, HMIs y redes OT. La segmentación IT/OT (modelo Purdue) y el inventario de activos industriales son requisitos prioritarios.

Cadena suministro (proveedores OT críticos)

Art. 21.2(d) NIS2 exige evaluar la ciberseguridad de proveedores de SCADA, PLCs, sistemas MES y plataformas de automatización industrial. Los contratos deben incluir cláusulas de notificación de incidentes, derecho de auditoría y requisitos mínimos de seguridad OT.

Notificación incidentes (24h/72h/1 mes)

Art. 23 NIS2: alerta temprana en 24 h, notificación completa en 72 h e informe final en un mes. Un incidente en línea de producción puede ser significativo bajo NIS2 si provoca paradas prolongadas o pérdidas económicas relevantes. El protocolo debe estar documentado antes de que ocurra el incidente.

Gobernanza: responsabilidad órgano directivo

Art. 20 NIS2: el consejo de administración o órgano equivalente es personalmente responsable de aprobar y supervisar las medidas del art. 21. En caso de incumplimiento grave, las autoridades pueden emitir advertencias públicas, exigir planes de cumplimiento y suspender temporalmente al directivo responsable.

Medidas Técnicas Requeridas (art. 21 NIS2)

Las 10 medidas técnicas y organizativas del art. 21 son obligatorias para todas las entidades NIS2. Para el sector de fabricación, su implementación debe extenderse a los sistemas OT/ICS de planta, no solo a los entornos IT corporativos.

Política de seguridad de la información

Política formal de gestión de riesgos TIC aprobada por el órgano directivo, que cubra tanto sistemas IT corporativos como sistemas OT de producción. Debe revisarse anualmente y ser accesible a toda la organización.

Art. 21.2(a) NIS2

Gestión de incidentes con procedimiento documentado

Procedimiento formal de gestión de incidentes que incluya detección, respuesta, notificación a INCIBE en 24 h y registro de lecciones aprendidas. El procedimiento debe estar probado con simulacros periódicos antes de un incidente real.

Art. 21.2(b) NIS2

Continuidad de negocio y recuperación ante desastres

Plan de continuidad (BCP) y recuperación ante desastres (DRP) que contemple escenarios de ciberataque en líneas de producción. Incluye copias de seguridad de configuraciones PLC/SCADA y procedimientos de recuperación de sistemas OT.

Art. 21.2(c) NIS2

Seguridad cadena de suministro (proveedores OT)

Evaluación de ciberseguridad de proveedores críticos: fabricantes de PLCs, integradores SCADA, proveedores de sistemas MES y plataformas de monitorización industrial. Contratos con cláusulas NIS2 y cuestionarios de evaluación periódica.

Art. 21.2(d) NIS2

Adquisición y desarrollo seguro de sistemas

Los nuevos sistemas OT y equipos de planta deben adquirirse con requisitos mínimos de ciberseguridad: actualizaciones de firmware, gestión de credenciales, configuración segura por defecto y documentación de vulnerabilidades conocidas.

Art. 21.2(e) NIS2

Formación en ciberseguridad para directivos y técnicos

Art. 20.2 NIS2 exige formación periódica del órgano directivo en ciberseguridad. Los técnicos de planta y operadores OT también deben recibir formación específica en ciberriesgos industriales. Toda la formación debe quedar documentada y ser auditable.

Art. 20.2 + 21.2(g) NIS2

OT/ICS Security en Planta Industrial

La ciberseguridad OT en fabricación es el mayor reto técnico de NIS2 para el sector manufacturero. Los sistemas industriales (SCADA, PLCs, HMIs) fueron diseñados para disponibilidad y rendimiento, no para seguridad cibernética. NIS2 obliga a integrar ambos mundos.

Segmentación red OT vs. red IT (modelo Purdue)

La segmentación física y lógica entre la red de planta OT y la red corporativa IT es la medida más crítica bajo NIS2 para fabricantes. El modelo Purdue (IEC 62443) establece niveles de seguridad: zona corporativa (nivel 4-5), zona de supervisión (nivel 3), zona de control (nivel 2), zona de dispositivos de campo (nivel 0-1). Las comunicaciones entre zonas deben pasar por DMZ industriales con filtrado estricto.

IEC 62443 + NIS2 art. 21

Inventario activos OT (PLCs, SCADAs, HMIs)

No puedes proteger lo que no conoces. El inventario completo de activos OT es el punto de partida obligatorio: PLCs por línea de producción (marca, modelo, versión firmware), servidores SCADA, paneles HMI, switches industriales, sensores conectados y sistemas de control de acceso físico a planta. El inventario debe mantenerse actualizado y vincular cada activo a su propietario funcional y nivel de criticidad.

NIS2 art. 21.2(a) + IEC 62443-2-1

Gestión vulnerabilidades sistemas industriales

La gestión de vulnerabilidades en OT es radicalmente distinta a IT: muchos PLCs y SCADAs no se pueden actualizar sin parar la producción. La estrategia NIS2 para fabricación incluye: escaneo pasivo de vulnerabilidades (sin interrumpir operaciones), ventanas de mantenimiento planificadas para parcheo, compensating controls para sistemas sin parche disponible y seguimiento de alertas de los fabricantes OT (Siemens, Rockwell, Schneider Electric).

NIS2 art. 21.2(e) + ICS-CERT

Detección de anomalías en red OT (IDS industrial)

Los sistemas de detección de intrusiones (IDS) industriales monitorizan el tráfico de protocolos OT específicos: Modbus, DNP3, EtherNet/IP, PROFINET, OPC-UA. A diferencia de los IDS IT, los IDS OT establecen una línea base del comportamiento normal de la red de planta y alertan sobre desviaciones sin interrumpir el proceso productivo. Esencial para cumplir el requisito de detección de incidentes significativos NIS2 en entornos industriales.

NIS2 art. 21.2(b) + Dragos/Claroty/Nozomi

IgeraRegTech NIS2 en acción

Entrenado con la Directiva (UE) 2022/2555, guías de INCIBE, estándares IEC 62443 y regulación industrial española. Respuestas con cita exacta del artículo.

IgeraRegTech NIS2 — Consulta fabricación industrial

>Somos fabricante de componentes metálicos, 180 empleados, 25M€ facturación. ¿Somos entidad importante NIS2?

📄NIS2 Directiva (UE) 2022/2555 — Art. 3.2 + Anexo II (Sectores importantes)

EVALUACIÓN NIS2:

✓ Sector: Fabricación (Anexo II, categoría “Fabricación de maquinaria y equipos”)

✓ Tamaño: 180 empleados (>50) y 25M€ (>10M€) → MEDIANA EMPRESA

RESULTADO: ENTIDAD IMPORTANTE NIS2 (art. 3.2.b)

OBLIGACIONES APLICABLES (art. 21):

1. Política gestión riesgos ciberseguridad (incluye OT/SCADA) — plazo: ya aplicable

2. Notificación incidentes: 24h early warning → 72h notificación → 1 mes informe final

3. Seguridad cadena suministro: evaluar proveedores OT críticos (PLCs, SCADAs, MES)

4. Formación dirección en ciberseguridad — responsabilidad personal del órgano directivo

MULTA máxima entidad importante: €7.000.000 o 1,4% facturación global (lo que sea mayor)

✓ NIS2 Dir. (UE) 2022/2555 Art. 3.2 + Art. 21 + Art. 34 · Transpuesta en España: pendiente

Caso de éxito: Fabricante de equipamiento industrial

Cómo un fabricante mediano implementó el cumplimiento NIS2 completo en 4 meses, incluyendo segmentación OT y protocolo de incidentes 24h.

220

empleados en planta y oficinas

4 meses

de plazo para cumplimiento NIS2 completo

0 multas

riesgo regulatorio eliminado

Mes 1: Clasificación y gap analysis

IgeraRegTech confirmó la clasificación como entidad importante NIS2 (Anexo II, fabricación de maquinaria). Gap analysis de las 10 medidas del art. 21 identificó 6 gaps críticos: sin política OT, sin inventario de activos industriales, sin protocolo de incidentes documentado, sin evaluación de proveedores SCADA y sin formación directiva en ciberseguridad.

Mes 2: Segmentación OT/IT y inventario de activos

Implementación del modelo Purdue: DMZ industrial entre red corporativa y red de planta, VLANs por línea de producción y firewall industrial con reglas específicas para protocolos Modbus y EtherNet/IP. Inventario completo: 47 PLCs (Siemens S7, Allen-Bradley), 3 servidores SCADA WinCC y 12 paneles HMI catalogados con nivel de criticidad.

Mes 3: Procedimiento incidentes 24h testejat y cadena suministro

Protocolo de notificación NIS2 documentado y probado con simulacro: equipo de respuesta definido, plantillas de early warning (24h) y notificación completa (72h) para INCIBE, canal de comunicación seguro con la autoridad. Evaluación de 8 proveedores OT críticos: 3 con cláusulas NIS2 añadidas al contrato, 5 con cuestionario de seguridad completado.

Mes 4: Formación directiva y evidencias de cumplimiento

Sesión de formación NIS2 para consejo de administración (art. 20.2) documentada y archivada. Política de seguridad OT aprobada formalmente por el consejo. Expediente de cumplimiento NIS2 completo: 47 evidencias documentales listas para auditoría de la autoridad competente. Riesgo regulatorio eliminado.

Planes IgeraRegTech NIS2 Fabricación

Desde la clasificación inicial hasta el expediente completo de cumplimiento NIS2. Precio RegTech especializado para empresas manufactureras.

Starter

€199/mes

Para fabricantes que empiezan a evaluar su cumplimiento NIS2

Clasificador entidad importante/esencial NIS2
Gap analysis básico 10 medidas art. 21
Consultas ilimitadas a RAG NIS2
Plantilla política de seguridad OT básica
1 usuario administrador

Empezar 14 días gratis

Más popular

Professional

€399/mes

Para fabricantes medianos con OT en planta y cadena de suministro compleja

Todo lo del plan Starter
Gap analysis completo IT + OT/ICS
Protocolo notificación incidentes 24h/72h
Cuestionario evaluación proveedores OT
Plan formación directiva art. 20.2 NIS2
Expediente cumplimiento NIS2 básico
5 usuarios

Solicitar demo gratuita

Enterprise

€799/mes

Para grupos industriales con múltiples plantas y requisitos de auditoría externa

Todo lo del plan Professional
Múltiples plantas y entidades jurídicas
Expediente cumplimiento NIS2 completo auditable
Mapeo NIS2 con IEC 62443 (OT)
Integración SIEM/SOC industrial
SLA prioritario + soporte dedicado
Usuarios ilimitados

Contactar ventas

14 días de prueba gratuita · Sin tarjeta de crédito · Cancelación en cualquier momento

Por qué el sector de fabricación está ahora en el alcance de NIS2

La Directiva NIS2 (UE) 2022/2555 amplió significativamente el alcance de la original NIS1, incorporando el sector de fabricación industrial en el Anexo II como sector importante. Esta inclusión reconoce que las plantas industriales modernas son infraestructuras críticas: un ciberataque a una línea de producción puede paralizar la cadena de suministro de sectores enteros, con impacto económico masivo y riesgo para la seguridad pública en el caso de fabricación de bienes críticos (dispositivos médicos, componentes aeroespaciales, maquinaria de seguridad). El Anexo II de NIS2 incluye específicamente: fabricación de productos informáticos, electrónicos y ópticos; fabricación de maquinaria y equipos; fabricación de vehículos de motor; y fabricación de otros medios de transporte. Cualquier empresa en estos subsectores con más de 50 empleados o más de €10M de facturación tiene obligaciones NIS2 aplicables.

El reto de integrar ciberseguridad IT y OT en una planta manufacturera

La mayor dificultad técnica de NIS2 para fabricantes es que las medidas de seguridad del art. 21 deben aplicarse tanto a los sistemas IT corporativos (ERP, correo, red de oficinas) como a los sistemas OT de planta (SCADA, PLCs, redes industriales). Históricamente, estos dos mundos han operado de forma separada y con culturas de seguridad muy distintas: los equipos IT priorizan la confidencialidad e integridad, mientras que los equipos OT priorizan la disponibilidad y la continuidad del proceso productivo. NIS2 obliga a integrar ambas perspectivas con una política de seguridad unificada que contemple los requisitos específicos de los sistemas industriales: protocolos OT (Modbus, DNP3, OPC-UA), ciclos de vida de equipos de 15-25 años sin actualizaciones disponibles, y restricciones de acceso físico y lógico diferenciadas por zona de planta.

Notificación de incidentes en fabricación: ¿qué es un incidente significativo?

Para los fabricantes, determinar si un incidente es “significativo” bajo NIS2 (art. 23.3) requiere evaluar el impacto económico y operacional, no solo el técnico. Un ransomware que cifra los servidores SCADA y para tres líneas de producción durante 24 horas es claramente significativo: el impacto económico puede superar fácilmente el umbral regulatorio y la interrupción del servicio es prolongada. En cambio, un intento de intrusión fallido en la red IT que no llega a los sistemas OT puede no ser significativo. El protocolo interno debe definir, para cada tipo de activo industrial, los umbrales de impacto que determinan la obligación de notificar: tiempo máximo de parada de línea, pérdida máxima de producción, número de clientes afectados por retrasos en entregas.

NIS2 y el estándar IEC 62443 para seguridad en sistemas industriales

El estándar IEC 62443 (seguridad en sistemas de automatización y control industrial, IACS) es el marco de referencia técnico más relevante para implementar las medidas NIS2 en entornos OT. IEC 62443-2-1 define los requisitos de gestión de seguridad (compatibles con el art. 21 NIS2), IEC 62443-3-3 define los requisitos técnicos del sistema de control y IEC 62443-4-2 define los requisitos de seguridad de los componentes individuales (PLCs, switches industriales, HMIs). Para un fabricante que ya tiene certificación o alineación con IEC 62443, el gap hasta el cumplimiento NIS2 es significativamente menor. IgeraRegTech proporciona el mapeo completo entre los controles IEC 62443 y las medidas del art. 21 NIS2, permitiendo aprovechar el trabajo ya realizado en cumplimiento OT.

IgeraRegTech automatiza el cumplimiento NIS2 para el sector de fabricación

IgeraRegTech NIS2 Fabricación es un sistema RAG entrenado con la Directiva (UE) 2022/2555, guías de INCIBE y CCN-CERT, estándares IEC 62443 para seguridad OT y jurisprudencia regulatoria relevante. El sistema permite a los equipos de compliance, ciberseguridad y operaciones de fabricantes industriales clasificar su empresa (entidad importante o esencial), realizar el gap analysis de las 10 medidas del art. 21 adaptado a entornos OT, generar protocolos de notificación de incidentes a INCIBE en el formato requerido, evaluar proveedores OT críticos y documentar la formación directiva del art. 20.2, todo ello citando el artículo exacto de la Directiva o la guía de referencia como base de cada respuesta.

Preguntas frecuentes — NIS2 Fabricación

Respuestas directas sobre NIS2 para empresas del sector manufacturero español

¿Cómo sé si mi empresa manufacturera es entidad importante o esencial NIS2?

Las empresas del sector de fabricación (Anexo II NIS2) son entidades importantes si tienen más de 50 empleados o más de €10M de facturación anual. Son entidades esenciales las de más de 250 empleados o más de €50M de facturación. Los fabricantes de productos críticos (dispositivos médicos, vehículos de motor, maquinaria y equipo eléctrico) están explícitamente listados en el Anexo II de la Directiva 2022/2555. Si tienes dudas, el clasificador NIS2 de IgeraRegTech resuelve tu clasificación en menos de 10 minutos.

¿Qué diferencia hay entre entidad importante y entidad esencial en términos de obligaciones?

Ambas categorías deben cumplir las 10 medidas del art. 21 NIS2. La diferencia principal es la supervisión y las multas: las entidades esenciales (Anexo I) tienen supervisión ex-ante con auditorías periódicas sin necesidad de incidente previo y multas de hasta €10M o 2% de facturación global. Las entidades importantes (Anexo II) tienen supervisión ex-post (activada por incidente o denuncia) y multas de hasta €7M o 1,4% de facturación global. Para la mayoría de fabricantes medianos, la categoría aplicable es entidad importante.

¿Los sistemas OT (SCADA, PLCs) están en el alcance de NIS2?

Sí. El art. 21 NIS2 incluye explícitamente la seguridad de “redes y sistemas de información”, término que abarca tanto sistemas IT como sistemas OT/ICS (SCADA, PLCs, HMIs, DCS). Las medidas de seguridad deben extenderse a los sistemas de control industrial de planta. La segmentación de la red OT respecto a la red IT corporativa (modelo Purdue / IEC 62443) es una medida técnica prioritaria bajo NIS2.

¿Cuándo debo notificar un incidente y a quién?

Art. 23 NIS2: en las primeras 24 horas, alerta temprana a INCIBE (sector privado) o CCN-CERT (sector público) indicando si el incidente parece de origen malicioso y si tiene impacto transfronterizo. En 72 horas, notificación completa con análisis técnico preliminar. En el plazo de un mes, informe final con evaluación completa del impacto y medidas adoptadas. Un incidente es significativo si provoca interrupciones graves del servicio productivo o pérdidas económicas relevantes.

¿Qué pasa si NIS2 no está transpuesta en España todavía?

La Directiva NIS2 debía transponerse antes del 17 de octubre de 2024. Aunque España aún no ha publicado la Ley NIS2 nacional, las empresas deben prepararse ya siguiendo la Directiva directamente. INCIBE y CCN-CERT han publicado guías provisionales de implementación. Cuando se apruebe la transposición, las empresas ya cumplientes tendrán ventaja competitiva. El riesgo de esperar es que la Ley puede entrar en vigor con períodos transitorios cortos o sin período transitorio.

¿Cómo afecta NIS2 a mis proveedores de tecnología industrial (OT)?

El art. 21.2(d) NIS2 obliga a evaluar y gestionar los riesgos de ciberseguridad de los proveedores de la cadena de suministro, incluidos los proveedores de PLCs, SCADA, HMIs, sistemas MES y software de automatización industrial. Los contratos deben incluir cláusulas de notificación de incidentes en menos de 24 horas, derecho de auditoría de seguridad y requisitos mínimos de seguridad. La evaluación periódica de proveedores OT críticos es obligatoria y debe estar documentada.

¿Hablamos sobre NIS2 en tu planta industrial?

Cuéntanos el tamaño de tu empresa, el sector exacto de fabricación y los sistemas OT en planta. Te mostramos tu clasificación NIS2 y las medidas prioritarias del art. 21.

Tu Planta Industrial es una Entidad Importante NIS2.Obligaciones desde Octubre 2024.