Colonial Pipeline, 2021: un ransomware paralizó el suministro de combustible en la costa este de EE. UU. durante seis días. Norsk Hydro, 2019: tres semanas de parada y 70 M € de impacto estimado. Ambos operadores carecían de controles alineados con IEC 62443 en su red OT. Si tu planta opera en un sector regulado por NIS2, entender qué exige esta norma es el paso previo a cualquier presupuesto de ciberseguridad industrial.
Solicita diagnóstico de ciberseguridad OT: te conectamos con el especialista adecuado. Sin compromiso.
Qué es la norma IEC 62443 y por qué afecta a tu planta
La familia ISA/IEC 62443 es un conjunto de estándares desarrollados por la International Society of Automation (ISA) y la International Electrotechnical Commission (IEC). Su objetivo: definir requisitos de ciberseguridad para sistemas de automatización y control industrial (IACS), desde la política organizativa hasta el firmware del PLC.
A diferencia de marcos generalistas como ISO 27001, el estándar parte de una premisa OT: la disponibilidad del proceso físico es prioritaria. Un HMI caído no es solo un incidente IT — es una línea de producción parada a 15 000 €/h.
Para empresas industriales en España con más de 50 empleados o más de 10 M € de facturación en sectores NIS2, esta familia normativa se convierte en referencia técnica directa. Organismos como INCIBE la reconocen como estándar de referencia para la capa OT.
Las 4 categorías: qué cubre cada una
El estándar se organiza en cuatro categorías, cada una dirigida a un actor distinto de la cadena de valor:
Categoría 1 — General (62443-1-x): conceptos, terminología y modelos de referencia. Define el vocabulario común — zonas, conductos, niveles de seguridad — que usan el resto de partes.
Categoría 2 — Políticas y procedimientos (62443-2-x): requisitos para el operador del activo. Incluye gestión de parches (parte 2-3), evaluación de riesgo y programa de seguridad de la organización. Es la capa que más afecta al director de operaciones.
Categoría 3 — Sistema (62443-3-x): requisitos técnicos a nivel de sistema integrado. La parte 3-3 define siete requisitos fundacionales (FR) y los niveles de seguridad SL 1 a SL 4. La parte 3-2 establece la metodología de evaluación de riesgo por zonas y conductos.
Categoría 4 — Componente (62443-4-x): requisitos para fabricantes. La parte 4-1 regula el ciclo de desarrollo seguro; la 4-2 establece requisitos técnicos del componente individual (PLC, RTU, sensor, actuador).
| Categoría | Parte clave | Dirigida a | Foco |
|---|---|---|---|
| General | 1-1, 1-4 | Todos | Terminología, modelo IACS |
| Políticas | 2-1, 2-3 | Operador | Gestión de seguridad, parches |
| Sistema | 3-2, 3-3 | Integrador | Evaluación de riesgo, requisitos técnicos |
| Componente | 4-1, 4-2 | Fabricante | Desarrollo seguro, requisitos de dispositivo |
Niveles de seguridad (SL): qué exige cada escalón
La parte 3-3 gradúa la resistencia del sistema en cuatro niveles frente a distintos perfiles de amenaza:
- SL 1: protección contra violaciones casuales o involuntarias. Mínimo para entornos sin exposición externa.
- SL 2: protección contra ataques intencionados con recursos limitados (insider, malware genérico). Objetivo inicial habitual en plantas mid-market.
- SL 3: protección contra ataques sofisticados con recursos moderados y conocimiento específico del sistema (APT sectorial).
- SL 4: protección contra actores estado-nación con recursos avanzados. Reservado para infraestructuras críticas.
El nivel SL no se asigna de forma uniforme a toda la planta. La metodología de la parte 3-2 exige segmentar la red OT en zonas y conductos y asignar un SL-Target a cada zona según su criticidad. Una zona con PLCs de proceso continuo puede requerir SL 3 mientras que la de monitorización ambiental opera con SL 1.
Diferencia con ISO 27001
| Criterio | ISO 27001 | IEC 62443 |
|---|---|---|
| Prioridad | Confidencialidad de datos | Disponibilidad del proceso |
| Entorno | IT (oficinas, CPDs) | OT (planta, SCADA, PLCs) |
| Ciclo de vida del activo | 3-5 años | 15-25 años (equipos legacy) |
| Parcheo | Mensual o trimestral | Inviable en muchos dispositivos |
| Certificación | Organización completa | Por zona, sistema o componente |
Ambos marcos son complementarios. Una empresa con ISO 27001 en el entorno IT no tiene cubierta la capa OT: los PLCs de 2005 no entran en el alcance del SGSI corporativo. El estándar industrial exige controles compensatorios para activos que no soportan actualizaciones — algo que ISO 27001 no contempla.
Si tu planta ya tiene ISO 27001, el trabajo de cumplimiento OT no parte de cero: la política de gestión de riesgos y el marco documental son reutilizables. Pero los controles técnicos son distintos.
Datos que necesitas antes de solicitar propuestas
Antes de pedir presupuesto a una consultora de ciberseguridad OT, recopila esta información. Cada dato acorta el diagnóstico y mejora la precisión de la oferta:
Inventario de activos OT: número de PLCs, RTUs, HMIs, switches industriales y gateways. Fabricante, modelo, versión de firmware y estado de soporte (activo, end-of-life, sin soporte).
Arquitectura de red: diagrama de red OT (si existe), puntos de conexión IT/OT (firewall, DMZ, conexiones directas) y accesos remotos habilitados (VPN, jump servers).
Contexto regulatorio: sector NIS2 (esencial o importante), tamaño de la entidad y certificaciones existentes (ISO 27001, ENS).
Contexto operativo: coste estimado por hora de parada, turnos de operación y ventanas de mantenimiento disponibles para intervenciones en red.
Nivel de madurez actual: ¿existe segmentación IT/OT? ¿Se monitorizan protocolos industriales (Modbus, OPC UA, Profinet)? ¿Hay un responsable de seguridad OT designado?
Con estos datos, una consultora OT verificada dimensiona el alcance del proyecto y asigna el SL-Target adecuado a cada zona. ENISA publica guías sectoriales que pueden orientar la preparación del inventario.
Cuándo conviene escalar a un estudio personalizado
No toda planta necesita el mismo nivel de profundidad. Estas señales indican que conviene pasar del autodiagnóstico a un estudio con especialista OT:
- Más de 50 activos OT en red: la complejidad de inventario y segmentación supera lo que un equipo IT interno puede evaluar sin experiencia OT.
- Sector NIS2 esencial (energía, agua, transporte, sanidad): las sanciones por incumplimiento pueden alcanzar el 2 % de la facturación mundial.
- Equipos legacy sin soporte: PLCs con más de 15 años requieren controles compensatorios que solo un especialista OT sabe diseñar.
- Incidente previo o intento de intrusión detectado en la red industrial.
- Requisito de cadena de suministro: tier 1 de automoción o farmacéutica que exige cumplimiento documentado a proveedores.
Coordinamos el diagnóstico preliminar con consultoras OT verificadas e independientes de fabricante: tú recibes la propuesta técnica adaptada a tu planta, no un catálogo genérico.
Solicita diagnóstico de ciberseguridad OT. Sin compromiso.
Preguntas frecuentes sobre IEC 62443
¿Qué es la norma IEC 62443?
Es la familia de estándares internacionales que define requisitos de ciberseguridad para sistemas de automatización y control industrial. Cubre desde políticas organizativas (gestión de parches en OT) hasta requisitos técnicos de componentes individuales. Publicada conjuntamente por IEC e ISA, es la referencia principal en entornos OT a nivel global.
¿Cuáles son las 4 categorías de la ISA/IEC 62443?
General, políticas y procedimientos, sistema y componente. La categoría 2 se dirige al operador del activo, la 3 al integrador del sistema y la 4 al fabricante del dispositivo. El detalle por parte se recoge en la tabla anterior.
¿Qué es la parte 3-3?
Define los requisitos técnicos de seguridad a nivel de sistema integrado. Establece siete requisitos fundacionales — control de acceso, integridad, confidencialidad, flujo de datos restringido, respuesta a eventos, disponibilidad de recursos y autenticación — graduados en cuatro niveles de seguridad (SL 1 a SL 4).
¿Qué es la parte 4-2?
Establece requisitos de seguridad a nivel de componente individual. Es la referencia para fabricantes que certifican PLCs, RTUs, sensores o software embebido. Para el operador, conocer esta parte ayuda a exigir dispositivos certificados en las especificaciones de compra.
¿Se puede cumplir solo con ISO 27001?
No. ISO 27001 cubre el entorno IT. La capa OT necesita controles específicos para activos legacy, protocolos industriales y priorización de disponibilidad. Los dos marcos son complementarios, no sustitutivos.
La norma marca el camino técnico para proteger la capa OT de tu planta. El primer paso real es un diagnóstico que identifique el nivel de madurez actual y el SL-Target por zona. Coordinamos ese diagnóstico con consultoras OT verificadas, independientes de fabricante.
Solicita diagnóstico de ciberseguridad OT. Sin compromiso.