La norma IEC 62443-4-2 define los requisitos de ciberseguridad que debe cumplir cada componente individual de un sistema de automatización industrial: PLCs, RTUs, HMIs, switches gestionados y aplicaciones software embebidas. Publicada por IEC e ISA, forma parte de la familia ISA/IEC 62443 y se dirige específicamente al producto desplegado en planta, no al proceso de desarrollo del fabricante (eso lo cubre IEC 62443-4-1). Si tu empresa opera infraestructura OT en un sector regulado por NIS2, esta norma marca la referencia técnica contra la que se evalúa la seguridad de tus dispositivos de campo.
Solicita diagnóstico de ciberseguridad OT. Sin compromiso.
Qué exige IEC 62443-4-2 y por qué afecta a tu planta
IEC 62443-4-2 organiza los requisitos en siete categorías funcionales, denominadas Foundational Requirements (FR):
| FR | Categoría | Ejemplo práctico |
|---|---|---|
| FR 1 | Control de identificación y autenticación | Cada operador accede al HMI con credenciales individuales, no con usuario genérico compartido |
| FR 2 | Control de uso | Permisos granulares: el técnico de mantenimiento no modifica parámetros de proceso |
| FR 3 | Integridad del sistema | El firmware del PLC se verifica con hash antes de aplicar una actualización |
| FR 4 | Confidencialidad de datos | Comunicaciones Modbus/TCP encapsuladas en TLS donde el dispositivo lo soporte |
| FR 5 | Flujo de datos restringido | El switch industrial segmenta tráfico entre zonas Purdue nivel 1 y nivel 2 |
| FR 6 | Respuesta oportuna a eventos | El componente genera logs de seguridad exportables a un SIEM OT |
| FR 7 | Disponibilidad de recursos | El dispositivo mantiene operación degradada ante ataque DoS a su interfaz de gestión |
Cada requisito se gradúa en cuatro Security Levels (SL): SL-1 protege contra violaciones casuales, SL-2 contra ataques intencionados con recursos limitados, SL-3 contra ataques sofisticados con recursos moderados, y SL-4 contra ataques de estado-nación. La mayoría de plantas industriales mid-market en España necesitan SL-2 o SL-3 según el análisis de riesgo previo (definido en IEC 62443-3-2).
Relación con IEC 62443-3-3
IEC 62443-3-3 evalúa la seguridad del sistema completo (zona o planta). IEC 62443-4-2 baja al componente individual. Un sistema puede alcanzar SL-3 a nivel de zona combinando componentes SL-2 con controles compensatorios (segmentación, monitorización, control de acceso físico). La consultora de ciberseguridad OT que realice la evaluación determinará qué combinación aplica a tu caso.
Marco regulatorio: de IEC 62443 a NIS2
La Directiva NIS2 (UE 2022/2555) obliga a operadores de servicios esenciales e importantes (energía, agua, manufactura crítica, transporte, alimentación) a implantar medidas de gestión de riesgos de ciberseguridad. La norma no prescribe IEC 62443 literalmente, pero el artículo 21 exige medidas “proporcionadas” y “de última generación” — y los organismos de referencia (ENISA, INCIBE-CERT) señalan IEC 62443 como marco técnico de implementación.
Sanciones y responsabilidad de la dirección
NIS2 establece sanciones de hasta 10 M € o 2 % de la facturación mundial para entidades esenciales, y 7 M € o 1,4 % para entidades importantes. La directiva introduce además responsabilidad directa del órgano de dirección en la aprobación y supervisión del plan de ciberseguridad.
En el marco normativo español, la protección de los usuarios de servicios industriales conecta también con el Real Decreto 1/2007, que establece el marco general de defensa de consumidores y usuarios — relevante cuando un incidente OT afecta a servicios públicos como suministro de agua o energía.
La auditoría de ciberseguridad OT según IEC 62443 es el paso técnico que traduce estas obligaciones en un plan concreto para tu planta.
Solicita diagnóstico OT: te conectamos con la consultora adecuada. Sin compromiso.
Cómo se implementa IEC 62443-4-2 en una planta real
Paso 1: inventario y clasificación de activos
La consultora de ciberseguridad OT realiza un inventario completo de dispositivos de campo: PLCs, RTUs, HMIs, switches, pasarelas y estaciones de ingeniería. Cada activo se clasifica por criticidad operativa, antigüedad y capacidad de actualización. Un PLC de 2005 sin soporte de TLS no se descarta — se documenta para aplicar controles compensatorios.
Paso 2: evaluación de riesgo (IEC 62443-3-2)
Antes de evaluar componentes individuales, se define el nivel SL objetivo por zona según IEC 62443-3-2. El especialista OT analiza amenazas, vulnerabilidades y consecuencias para cada zona Purdue. El resultado es una matriz que asigna SL-target a cada zona y, derivado de ella, los requisitos que cada componente debe cumplir según IEC 62443-4-2.
Paso 3: gap analysis por componente
Se compara el estado actual de cada dispositivo contra los FR de su SL-target. Caso tipo: planta de tratamiento de aguas con 40 RTUs Modbus desplegadas en 2012 — ninguna soporta autenticación individual (FR 1) ni cifrado (FR 4). El gap analysis documenta cada carencia y propone controles compensatorios: segmentación de red, jump server con MFA, monitorización pasiva del tráfico Modbus.
Paso 4: plan de remediación y plazos
El plan prioriza por riesgo residual. Los dispositivos en zonas críticas (Purdue nivel 0-1) con SL-target 3 reciben atención inmediata. Los plazos típicos del sector oscilan entre 3 y 12 meses según el alcance, la antigüedad de la infraestructura y la disponibilidad de ventanas de parada. El plazo concreto lo confirma la consultora seleccionada tras el diagnóstico inicial.
Certificación IEC 62443
La certificación formal de componentes la emiten organismos acreditados (en España, AENOR entre otros). El proceso evalúa tanto el cumplimiento de IEC 62443-4-2 (requisitos del producto) como de IEC 62443-4-1 (proceso de desarrollo). Para el operador industrial, la certificación de sus proveedores de componentes es un criterio de selección de compra — no un proceso que ejecute directamente.
Preguntas frecuentes sobre IEC 62443-4-2
¿Qué es IEC 62443-4-2?
Es la norma internacional que define requisitos técnicos de ciberseguridad para componentes individuales de sistemas de automatización industrial. Cubre PLCs, RTUs, HMIs, switches industriales y software embebido. Se estructura en siete categorías funcionales graduadas en cuatro niveles de seguridad (SL-1 a SL-4).
¿Qué diferencia hay entre IEC 62443-4-1 e IEC 62443-4-2?
IEC 62443-4-1 regula el proceso de desarrollo seguro del fabricante. IEC 62443-4-2 regula el producto resultante. Un fabricante puede tener un SDL certificado (4-1) pero su producto no alcanzar SL-3 (4-2) si carece de funcionalidades como cifrado o autenticación robusta.
¿Cuáles son las principales normas de ciberseguridad industrial?
La familia IEC 62443 es el estándar de referencia. Se complementa con NIST SP 800-82 (guía operativa OT, actualmente Rev. 3), NIST CSF v2.0 para gestión de riesgo, y en Europa con la Directiva NIS2 como marco regulatorio obligatorio. El cumplimiento NIS2 para industria requiere medidas técnicas que IEC 62443 estructura de forma verificable.
¿Qué es IEC 62443-3-3 y cómo se relaciona con la parte 4-2?
IEC 62443-3-3 define requisitos a nivel de sistema (zona o planta completa). IEC 62443-4-2 baja al nivel de componente. Ambas usan la misma escala SL-1 a SL-4. En la práctica, la evaluación de tu planta según IEC 62443-3-3 determina el SL-target que luego cada componente debe cumplir según 4-2.
Solicita diagnóstico de ciberseguridad OT. Identificamos al especialista OT verificado y coordinamos un diagnóstico preliminar de tu postura de seguridad industrial frente a NIS2 e IEC 62443. Sin compromiso.
Fortiot.es no ejecuta auditorías ni implementa controles de ciberseguridad directamente. Conectamos empresas industriales con consultoras de ciberseguridad OT verificadas que realizan el diagnóstico, la evaluación y la remediación. Los datos normativos de este artículo tienen carácter informativo — verifica la edición vigente de cada norma y el estado de transposición de NIS2 en el BOE antes de tomar decisiones de cumplimiento.