¿Qué sanciones contempla la NIS2 por incumplimiento?

La Directiva NIS2 establece sanciones de hasta 10 millones de euros o el 2 % de la facturación mundial anual para entidades esenciales, y hasta 7 millones de euros o el 1,4 % para entidades importantes. La transposición nacional puede modular estas cifras, pero no reducirlas por debajo de los mínimos de la directiva.

Transposición NIS2 en España: estado actual, obligaciones y plazos para la industria

Q: ¿Qué es la NIS2 en España?

NIS2 es la Directiva (UE) 2022/2555, que sustituye a la primera Directiva NIS de 2016. En España, la transposición de la NIS original se realizó mediante el Real Decreto-Ley 12/2018. NIS2 amplía significativamente el ámbito de aplicación: más sectores obligados, sanciones más elevadas y obligaciones directas para la dirección de las empresas afectadas.

Q: ¿Qué empresas deben cumplir con la NIS2?

Deben cumplir las entidades que operen en sectores de alta criticidad (energía, transporte, agua, salud, infraestructura digital, entre otros) o en sectores críticos (fabricación, alimentación, gestión de residuos, químico, postal, investigación), siempre que superen los umbrales de tamaño: 50 o más empleados, o más de 10 millones de euros de facturación anual. Operadores de servicios esenciales designados bajo la normativa anterior también quedan cubiertos.

Q: ¿Cuánto tiempo hay para transponer una directiva europea?

El plazo lo establece cada directiva. En el caso de NIS2, el artículo 41 fijaba el 17 de octubre de 2024. Transcurrido ese plazo sin transposición nacional, el Tribunal de Justicia de la UE puede imponer sanciones al Estado miembro. Para las empresas, el riesgo práctico es que los requisitos sustantivos de la directiva ya son referencia en auditorías y pliegos de contratación, aunque la ley nacional se retrase.

Q: ¿La NIS2 afecta a las redes OT y sistemas SCADA de mi planta?

Sí. NIS2 no distingue entre redes IT y OT. Si tu empresa opera en un sector incluido y supera los umbrales de tamaño, las obligaciones de gestión de riesgos, notificación de incidentes y gobernanza de ciberseguridad cubren toda la infraestructura digital, incluidos sistemas SCADA, PLCs, redes de control y sensores industriales conectados.

La transposición NIS2 en España lleva un retraso que ha generado incertidumbre entre los responsables de ciberseguridad industrial. Mientras la Directiva (UE) 2022/2555 fijaba el 17 de octubre de 2024 como fecha límite para que todos los Estados miembros incorporaran sus disposiciones al derecho nacional, el proceso legislativo español ha avanzado con lentitud. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad es el vehículo elegido para esta transposición, pero su tramitación parlamentaria no ha seguido los plazos inicialmente previstos.

Este artículo analiza, a fecha de mayo de 2026, el estado real de ese proceso, las obligaciones que ya son exigibles para empresas industriales en sectores como energía, agua, manufactura crítica y alimentación, y los pasos concretos que una planta con redes OT debe dar para preparar el cumplimiento. Si tu empresa tiene 50 o más empleados y opera en un sector incluido en NIS2, este contenido es directamente aplicable a tu situación.

El marco regulatorio español no parte de cero. La primera Directiva NIS ya se transpuso mediante el Real Decreto-Ley 12/2018, que estableció el régimen de seguridad de las redes y sistemas de información. Su desarrollo reglamentario llegó con el Real Decreto 43/2021, que detalló las obligaciones de los operadores de servicios esenciales y los proveedores de servicios digitales. NIS2 amplía y sustituye ese marco, pero mientras la nueva ley no se publique en el BOE, el RDL 12/2018 y el RD 43/2021 siguen siendo la referencia operativa.

Para directores industriales y responsables IT que cubren también la capa OT, la pregunta práctica no es si NIS2 les aplica —en la mayoría de casos de mid-market industrial, sí—, sino cuándo exactamente entra en vigor la obligación sancionable y qué deben tener preparado para ese momento.

Solicita diagnóstico de ciberseguridad OT: te conectamos con el especialista adecuado. Sin compromiso.

Qué es la Directiva NIS2 y por qué cambia las reglas para la industria

La Directiva (UE) 2022/2555, conocida como NIS2, es la revisión completa de la primera Directiva NIS de 2016. Publicada en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022, sustituyó a su predecesora con tres objetivos principales: ampliar el número de sectores y entidades obligadas, elevar el nivel mínimo de medidas de ciberseguridad exigibles en toda la Unión, y armonizar los regímenes sancionadores entre Estados miembros para evitar las disparidades que existían bajo NIS1.

Diferencias clave entre NIS1 y NIS2

La primera Directiva NIS dejaba a cada Estado miembro un margen amplio para decidir qué entidades eran “operadores de servicios esenciales” (OES). En la práctica, esto significaba que una empresa del sector energético podía estar obligada en un país y no en otro, dependiendo de los criterios nacionales de designación. NIS2 elimina esa discrecionalidad en gran medida: introduce un criterio de tamaño objetivo (50+ empleados o 10+ M€ de facturación) combinado con la pertenencia a un sector listado en los Anexos I y II de la directiva.

El resultado es que el número de entidades afectadas en España se multiplica. Bajo NIS1 y el Real Decreto-Ley 12/2018, los operadores de servicios esenciales designados en España rondaban unos pocos cientos. Con NIS2, las estimaciones de INCIBE y del propio Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad sugieren que miles de entidades quedarán bajo el ámbito de la norma.

Los dos niveles de entidades: esenciales e importantes

NIS2 clasifica a las entidades obligadas en dos categorías con distinto nivel de supervisión y sanciones:

Entidades esenciales: operan en sectores de alta criticidad listados en el Anexo I de la directiva. Incluyen energía (electricidad, petróleo, gas, hidrógeno, calefacción y refrigeración urbana), transporte (aéreo, ferroviario, marítimo, por carretera), agua potable, aguas residuales, infraestructura digital, banca y mercados financieros, salud, administración pública y espacio. También se consideran esenciales los operadores designados como infraestructura crítica bajo la Ley 8/2011, con independencia de su tamaño.
Entidades importantes: operan en los sectores del Anexo II, que abarca fabricación (incluyendo fabricación de productos informáticos, electrónicos, ópticos, maquinaria, vehículos de motor, equipos de transporte), producción y distribución de productos químicos, producción y distribución de alimentos, servicios postales y de mensajería, gestión de residuos, investigación, y otros servicios digitales como marketplaces y motores de búsqueda.

La distinción importa porque el régimen sancionador es diferente, las entidades esenciales están sujetas a supervisión proactiva (inspecciones sin incidente previo) y las importantes a supervisión reactiva (tras incidente o indicios de incumplimiento).

Por qué NIS2 es distinta para entornos OT

Las directivas anteriores de ciberseguridad a nivel europeo se diseñaron pensando principalmente en redes IT. Los sistemas de información, los servidores web, los correos electrónicos y las bases de datos eran el foco. NIS2 mantiene esa cobertura pero, al incluir sectores como energía, agua, manufactura y transporte, arrastra por definición a los sistemas de tecnología operacional (OT) que controlan las operaciones físicas de esas industrias.

Un sistema SCADA que gestiona la distribución de agua potable en una ciudad de 80 000 habitantes, una red de PLCs que controla una línea de estampación en una planta de automoción, o un sistema de control distribuido (DCS) en una refinería: todos ellos caen dentro del perímetro de “redes y sistemas de información” según la definición amplia de NIS2, que incluye explícitamente los sistemas que afectan a la seguridad de las operaciones.

Esto genera un problema concreto: muchas empresas industriales españolas del rango 50–250 empleados tienen un responsable IT que gestiona servidores, red corporativa y correo, pero no tiene formación específica en seguridad OT. Los protocolos industriales (Modbus, Profinet, OPC UA, EtherNet/IP), la arquitectura de red de planta (modelo Purdue, zonas y conductos según IEC 62443) y la gestión de vulnerabilidades en PLCs y HMIs de más de una década de antigüedad requieren un perfil especializado que la empresa no tiene en plantilla.

Es precisamente en ese escenario donde un diagnóstico preliminar coordinado por especialistas OT verificados permite mapear la superficie de ataque real antes de definir un plan de cumplimiento.

Estado de la transposición NIS2 en España a mayo de 2026

Cronología del proceso legislativo

El plazo de transposición de la Directiva NIS2 venció el 17 de octubre de 2024. A esa fecha, España no había publicado la ley de transposición en el BOE. El Gobierno presentó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad como instrumento de transposición, aprobado por el Consejo de Ministros para su tramitación. Sin embargo, la complejidad del texto —que no solo transpone NIS2 sino que reestructura la gobernanza de ciberseguridad en España, distribuyendo competencias entre CCN-CERT, INCIBE-CERT y el Mando Conjunto del Ciberespacio— ha ralentizado su paso por los órganos consultivos y las comisiones parlamentarias.

A fecha de redacción de este artículo (mayo de 2026), el estado exacto del trámite parlamentario debe verificarse en el BOE. Si la ley definitiva se ha publicado entre la fecha de redacción y tu lectura, las obligaciones y plazos concretos de la norma nacional prevalecen sobre cualquier estimación incluida en este texto.

Qué significa el retraso para las empresas

El retraso en la transposición no significa que las empresas puedan ignorar NIS2. Hay varias razones prácticas:

Efecto directo parcial. Aunque las directivas europeas requieren transposición nacional para ser plenamente exigibles frente a particulares, el Tribunal de Justicia de la UE ha establecido jurisprudencia sobre el efecto directo de disposiciones claras e incondicionales de directivas no transpuestas. Algunas obligaciones de NIS2 —como la responsabilidad de los órganos de dirección (artículo 20) o los criterios de identificación de entidades (artículo 2)— son lo suficientemente precisas como para que un tribunal pudiera invocarlas.

Referencia en contratación y auditoría. Con independencia de la ley nacional, los departamentos de compras de grandes cuentas industriales ya están incluyendo requisitos NIS2 en sus pliegos de contratación. Si eres proveedor tier 2 de una utility eléctrica o de un fabricante de automoción que ya cumple NIS2, te van a exigir evidencias de cumplimiento en la cadena de suministro. La directiva lo prevé expresamente en su artículo 21, apartado 2, letra d: seguridad de la cadena de suministro.

Plazo de implementación tras publicación. Cuando la ley nacional se publique finalmente en el BOE, las entidades tendrán un plazo para adaptarse. En la primera NIS, el Real Decreto 43/2021 otorgó plazos específicos para la notificación de incidentes y la adopción de medidas de seguridad. Es previsible que la nueva ley siga un esquema similar, pero ese plazo empieza a contar desde la publicación y suele ser de 9 a 21 meses según el tipo de obligación. Una empresa que no haya empezado a prepararse antes de la publicación probablemente no llegue a tiempo.

El ransomware no espera. Este argumento no es normativo sino operativo. El MTTD (tiempo medio de detección) en entornos OT sin monitorización dedicada supera los 200 días según datos publicados por organismos como ENISA en sus informes de panorama de amenazas. Un incidente de ransomware que cifre los HMIs de una planta de manufactura y detenga la producción durante 5 días puede costar entre 500 000 € y 5 000 000 € dependiendo del sector y la capacidad de la planta. Esa pérdida operativa ocurre con o sin ley publicada en el BOE.

El marco vigente mientras llega la transposición

Mientras la ley de transposición NIS2 no esté publicada, el marco legal operativo en España para ciberseguridad de redes y sistemas de información sigue siendo:

Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información, que transpuso la primera Directiva NIS.
Real Decreto 43/2021, que desarrolló el RDL 12/2018 con detalle sobre notificación de incidentes, medidas de seguridad y obligaciones de los operadores de servicios esenciales.
Ley 8/2011, de protección de infraestructuras críticas, que sigue siendo aplicable a los operadores designados como críticos.

Las empresas que ya están designadas como operadores de servicios esenciales bajo este marco deben seguir cumpliendo sus obligaciones vigentes. Las que no estaban bajo NIS1 pero quedarán cubiertas por NIS2 no tienen, estrictamente, una obligación legal sancionable hasta que se publique la ley nacional, pero como se ha explicado, las razones para prepararse anticipadamente son de peso tanto comercial como operativo.

Qué empresas industriales están obligadas a cumplir la NIS2

Criterio de tamaño: el umbral de 50 empleados y 10 millones de euros

NIS2 aplica a entidades medianas y grandes según la definición de la Recomendación 2003/361/CE de la Comisión Europea. En la práctica, esto significa:

Entidades con 50 o más empleados, o
Entidades con facturación anual superior a 10 millones de euros, o
Entidades con balance anual superior a 10 millones de euros.

Basta con cumplir uno de estos tres criterios para quedar dentro del ámbito, siempre que la entidad opere en un sector listado en los Anexos I o II de la directiva.

Hay excepciones al criterio de tamaño: algunos tipos de entidades quedan obligadas con independencia de su tamaño, como los proveedores de servicios DNS, los registros de nombres de dominio de primer nivel, los proveedores de servicios de confianza cualificados, y los operadores designados como infraestructura crítica bajo la normativa nacional (Ley 8/2011 en el caso de España).

Sectores industriales incluidos: mapa detallado

Para un director de planta o un responsable IT de empresa industrial en España, la pregunta clave es si su sector concreto aparece en los Anexos de NIS2. Esta es una clasificación operativa, agrupada por relevancia para el tejido industrial español:

Sectores de alta criticidad (Anexo I — entidades esenciales):

Energía: generación, distribución y transporte de electricidad; producción, almacenamiento y transporte de petróleo y gas; operadores de puntos de recarga de vehículos eléctricos; operadores de hidrógeno; operadores de calefacción y refrigeración urbana. Una subestación eléctrica con sistema SCADA de control, una planta de cogeneración o un parque eólico con red de control distribuido quedan incluidos.
Transporte: operadores de infraestructuras aeroportuarias, ferroviarias, portuarias y de transporte por carretera. Los centros de control de tráfico, las señalizaciones ferroviarias gestionadas por PLC, los sistemas de gestión de terminales portuarias, todos caen dentro del ámbito.
Agua potable y aguas residuales: empresas que gestionan captación, potabilización, distribución de agua potable o recogida y tratamiento de aguas residuales. Los sistemas SCADA que controlan estaciones de bombeo, ETAP y EDAR son parte del perímetro.
Salud: no solo hospitales, sino fabricantes de productos sanitarios, fabricantes farmacéuticos (especialmente los que producen bajo GMP con sistemas de control automatizados), y laboratorios de referencia.

Sectores críticos (Anexo II — entidades importantes):

Fabricación: fabricantes de productos informáticos, electrónicos y ópticos; fabricantes de equipos eléctricos; fabricantes de maquinaria y equipo n.c.o.p.; fabricantes de vehículos de motor, remolques y semirremolques; fabricantes de otros materiales de transporte. Una planta de automoción con líneas de soldadura robotizadas controladas por PLC, un fabricante de componentes eléctricos con sistemas MES integrados con la capa OT, un fabricante de maquinaria con bancos de pruebas automatizados: todos dentro del alcance.
Productos químicos: fabricantes y distribuidores de productos químicos industriales. Una planta de producción de polímeros con DCS, una empresa de tratamiento de superficies con baños electrolíticos automatizados, entran en este grupo.
Alimentación: fabricantes y distribuidores de productos alimenticios cuando superen los umbrales de tamaño. Plantas de envasado con líneas automáticas controladas por PLC, centrales de refrigeración con monitorización SCADA, quedan incluidas.
Gestión de residuos: plantas de tratamiento de residuos industriales con sistemas de control automatizados.

Cómo saber si tu empresa concreta está incluida

La verificación práctica requiere cruzar tres datos:

Código CNAE de tu actividad principal — mapearlo al sector correspondiente de los Anexos I o II de NIS2.
Tamaño de la empresa — número de empleados y cifra de facturación según las últimas cuentas anuales depositadas.
Designación previa — si tu empresa ya fue designada como operador de servicios esenciales bajo el Real Decreto-Ley 12/2018, queda automáticamente incluida.

Si la respuesta a las tres preguntas es positiva (sector incluido + tamaño suficiente), tu empresa debe preparar el cumplimiento. Si hay duda sobre el mapeo CNAE al sector NIS2, INCIBE ha publicado guías de orientación que detallan los códigos NACE correspondientes a cada sector del Anexo.

Obligaciones concretas para entidades esenciales e importantes

NIS2 no se limita a decir “tengan ciberseguridad”. El artículo 21 de la directiva establece un catálogo detallado de medidas de gestión de riesgos de ciberseguridad que las entidades deben adoptar. Estas medidas son proporcionadas al riesgo, pero el nivel mínimo es exigente, especialmente para entornos OT donde muchas de estas prácticas no se aplicaban hasta ahora.

Gobernanza y responsabilidad de la dirección

El artículo 20 de NIS2 introduce una novedad que ha generado atención entre los comités de dirección: los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y podrán ser considerados responsables por el incumplimiento. Además, los miembros de los órganos de dirección deben recibir formación en ciberseguridad.

Esto cambia la dinámica habitual en muchas empresas industriales españolas donde la ciberseguridad era “cosa del informático”. Con NIS2, el consejo de administración o el administrador único son los responsables últimos. Si la empresa sufre un incidente y se demuestra que la dirección no había aprobado un plan de ciberseguridad ni supervisaba su ejecución, las sanciones pueden incluir la inhabilitación temporal de los cargos directivos (artículo 32.5 de la directiva).

Medidas de gestión de riesgos: el catálogo del artículo 21

Las medidas mínimas que la directiva exige incluyen, como mínimo:

Políticas de análisis de riesgos y seguridad de sistemas de información. Para entornos OT, esto implica un análisis de riesgos que cubra no solo la red corporativa sino también la red de planta, los sistemas SCADA, los PLCs, los HMIs y cualquier dispositivo IoT industrial conectado. El estándar de referencia para este análisis en entornos OT es IEC 62443-3-2, que define una metodología específica de evaluación de riesgos para sistemas de automatización y control industrial (IACS).
Gestión de incidentes. Procedimientos para prevenir, detectar, responder y recuperarse de incidentes. En OT, esto incluye la capacidad de detectar anomalías en el tráfico de red industrial (protocolo Modbus con escrituras no autorizadas, conexiones OPC UA desde direcciones IP no conocidas, cambios de firmware en PLCs fuera de ventanas de mantenimiento).
Continuidad de las operaciones y gestión de crisis. Planes de continuidad que contemplen escenarios de pérdida de los sistemas de control industrial. Para una planta de producción, esto incluye procedimientos de operación manual degradada, RTO (Recovery Time Objective) y RPO (Recovery Point Objective) específicos para la capa OT, y backups verificados de configuraciones de PLCs y programas de automatización.
Seguridad de la cadena de suministro. Evaluación de riesgos asociados a proveedores y prestadores de servicios. Para empresas industriales, esto incluye a los integradores de automatización, los fabricantes de PLCs cuyo firmware se ejecuta en tu planta, los proveedores de servicios de mantenimiento remoto que acceden a tu red OT vía VPN o conexiones punto a punto.
Seguridad en la adquisición, desarrollo y mantenimiento de sistemas. Gestión de vulnerabilidades, incluyendo su divulgación. En OT, esto es particularmente complejo: muchos PLCs y sistemas embebidos no son parcheables en producción sin parada de línea, y los ciclos de parche del fabricante pueden ser de 6 a 18 meses. La gestión de vulnerabilidades en OT no es “parchear todo” sino “evaluar, priorizar, compensar y documentar”.
Políticas y procedimientos de cifrado. La directiva exige políticas de uso de criptografía y, cuando proceda, cifrado. En entornos OT, muchos protocolos industriales (Modbus RTU, Profibus DP, BACnet MS/TP) no soportan cifrado nativo. La compensación pasa por segmentación de red, uso de protocolos cifrados donde sea viable (OPC UA con Security Mode Sign o SignAndEncrypt, TLS para comunicaciones norte-sur) y data diodes o firewalls industriales en los puntos de interconexión IT/OT.
Control de acceso y gestión de activos. Inventario completo de activos, gestión de identidades y accesos. En OT, el inventario de activos es un problema crónico: muchas plantas no tienen un registro actualizado de todos los PLCs, switches industriales, convertidores serie-Ethernet y dispositivos legacy que están conectados a la red de planta. El primer paso de cualquier diagnóstico OT suele ser un descubrimiento pasivo de activos.
Autenticación multifactor y comunicaciones seguras. NIS2 menciona expresamente la autenticación multifactor (MFA) o la autenticación continua. En OT, la implementación de MFA en estaciones de ingeniería y jump servers es viable; en HMIs de planta con operadores que trabajan con guantes y necesitan acceso en segundos, la solución suele ser un acceso físico controlado combinado con autenticación de red a nivel de zona (modelo Purdue, zonas de confianza diferenciadas).

Notificación de incidentes: plazos estrictos

NIS2 establece un régimen de notificación de incidentes significativos con plazos que no tienen precedente en la legislación española de ciberseguridad:

24 horas: alerta temprana al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público) indicando si el incidente es potencialmente resultado de actos ilícitos o tiene impacto transfronterizo.
72 horas: notificación formal del incidente con evaluación inicial de su gravedad e impacto, incluyendo indicadores de compromiso si están disponibles.
Un mes: informe final con descripción detallada del incidente, tipo de amenaza o causa raíz, medidas de mitigación aplicadas e impacto transfronterizo si lo hubiera.

Para una planta industrial, la detección de un incidente en la red OT dentro de las primeras 24 horas solo es posible si existe monitorización activa de esa red. Sin un sistema de detección de anomalías en el tráfico OT, el MTTD puede superar los 200 días. Esto convierte la obligación de notificación en 24 horas en un requisito implícito de monitorización continua.

Solicita diagnóstico de ciberseguridad OT: coordinamos la evaluación con un especialista verificado. Sin compromiso.

Sanciones por incumplimiento de la NIS2

Cuantías máximas

El régimen sancionador de NIS2 es significativamente más severo que el de su predecesora. Las cuantías máximas previstas en la directiva son:

Entidades esenciales: hasta 10 000 000 € o el 2 % de la facturación mundial anual total de la empresa en el ejercicio anterior, la cifra que resulte mayor.
Entidades importantes: hasta 7 000 000 € o el 1,4 % de la facturación mundial anual total, la cifra que resulte mayor.

La transposición nacional puede modular los tramos de sanción dentro de estos límites, pero no puede establecer máximos inferiores a los de la directiva. El Real Decreto-Ley 12/2018 ya establecía un régimen sancionador para la primera NIS, con sanciones de hasta 1 000 000 € para infracciones muy graves. NIS2 multiplica esa cifra por diez.

Responsabilidad personal de la dirección

Como se ha mencionado, NIS2 introduce la responsabilidad de los órganos de dirección. El artículo 32.5 permite a los Estados miembros prever que, en caso de incumplimiento persistente por parte de una entidad esencial, la autoridad competente pueda imponer la prohibición temporal de ejercer funciones directivas a cualquier persona física responsable del cumplimiento a nivel de dirección. Esta previsión no aplica a las administraciones públicas.

Para un director general o un consejero delegado de una empresa industrial de 200 empleados, esta disposición cambia el análisis de riesgo: el incumplimiento de NIS2 ya no es solo un riesgo financiero para la empresa, sino un riesgo personal para el directivo.

Infracciones típicas en entornos OT industriales

Las infracciones que con mayor probabilidad afectarán a empresas industriales son:

Ausencia de análisis de riesgos que incluya la red OT. Muchas empresas tienen análisis de riesgos IT pero ninguno que cubra los sistemas SCADA, PLCs y redes de planta.
Inexistencia de plan de continuidad de operaciones para escenarios de ciberincidente OT. El plan de continuidad cubre incendios y cortes de suministro eléctrico, pero no contempla un ransomware que cifre los HMIs y deje la planta sin supervisión de proceso.
Falta de notificación de incidentes en plazo. Sin monitorización OT, muchos incidentes ni siquiera se detectan, lo que hace imposible notificarlos.
Ausencia de supervisión de la dirección. El consejo no ha aprobado formalmente un plan de ciberseguridad que cubra OT, ni recibe informes periódicos sobre la postura de seguridad de la red de planta.
Gestión de accesos deficiente en la red OT. Contraseñas por defecto en PLCs y HMIs, acceso remoto sin MFA a la red de planta, ausencia de segmentación entre la red corporativa y la red de control.

Efecto práctico antes de la primera inspección

La experiencia con NIS1 y con el Real Decreto 43/2021 muestra que las primeras inspecciones tras la entrada en vigor de una norma nueva suelen centrarse en los operadores de mayor criticidad y en los que han sufrido incidentes notificados. Para una empresa industrial de tamaño medio (100–250 empleados) en el sector de fabricación (entidad importante bajo NIS2), el riesgo de inspección proactiva en los primeros 12 meses es menor que para una utility eléctrica, pero el riesgo de inspección reactiva tras un incidente es idéntico.

El coste de preparación anticipada (diagnóstico OT, plan director de ciberseguridad, medidas básicas de segmentación y monitorización) es una fracción del coste de una sanción o, más relevante para el director de operaciones, del coste de una parada de producción por ransomware que podría haberse detectado a tiempo.

Cómo preparar tu empresa industrial para el cumplimiento NIS2

Fase 1: scoping y diagnóstico inicial

El primer paso es determinar con precisión si tu empresa entra en el ámbito de NIS2 y, en caso afirmativo, en qué categoría (esencial o importante). Esto requiere:

Mapeo del código CNAE al sector NIS2: verificar que la actividad principal de la empresa corresponde a uno de los sectores de los Anexos I o II.
Verificación de umbrales de tamaño: confirmar el número de empleados y la cifra de facturación según las últimas cuentas anuales.
Revisión de designaciones previas: comprobar si la empresa ya fue designada como operador de servicios esenciales o como infraestructura crítica.

Una vez confirmado que la empresa está en el ámbito, el siguiente paso es un diagnóstico de la postura de seguridad actual, tanto IT como OT. En la capa OT, este diagnóstico suele incluir:

Inventario de activos OT: descubrimiento pasivo (sin inyección de tráfico en la red de planta) de todos los dispositivos conectados: PLCs, HMIs, estaciones de ingeniería, switches industriales, pasarelas de protocolos, servidores OPC, historiadores de proceso.
Mapa de red OT: topología real de la red de planta, puntos de interconexión con la red corporativa IT, accesos remotos existentes, flujos de datos entre zonas.
Evaluación de la arquitectura de seguridad: comparación del estado actual con el modelo Purdue / IEC 62443 zonas y conductos. Identificación de la existencia (o ausencia) de DMZ industrial, firewalls entre zonas, segmentación de redes de control.
Evaluación de vulnerabilidades conocidas: cruce del inventario de activos (modelos, versiones de firmware) con bases de datos de vulnerabilidades publicadas (CVE) y advisories de ICS-CERT/CISA.
Evaluación de prácticas de acceso: cómo acceden los operadores, los técnicos de mantenimiento y los proveedores externos a los sistemas OT. Uso de contraseñas por defecto, accesos remotos sin cifrar, ausencia de registro de sesiones.

Este diagnóstico lo realiza una consultora de ciberseguridad OT especializada. La complejidad y el coste dependen del tamaño de la planta y del número de activos OT: una planta con 20 PLCs y una red de control sencilla requiere un esfuerzo distinto que una instalación con 500 dispositivos de campo distribuidos en varios edificios y con múltiples protocolos industriales.

En Fortiot identificamos al especialista OT verificado y coordinamos este diagnóstico preliminar adaptado al sector y tamaño de tu empresa.

Fase 2: análisis de riesgos OT

Con el diagnóstico completado, la consultora especializada elabora un análisis de riesgos formal siguiendo la metodología IEC 62443-3-2 (o equivalente aceptada por la autoridad competente). Este análisis:

Define las zonas y conductos de la red de planta según el modelo de la IEC 62443.
Identifica los escenarios de amenaza relevantes (ransomware, acceso no autorizado, manipulación de proceso, denegación de servicio) con referencia a la taxonomía MITRE ATT&CK for ICS.
Evalúa la probabilidad y el impacto de cada escenario, considerando el impacto operativo (parada de producción, coste/hora de downtime), el impacto en seguridad física (procesos con riesgo de explosión, emisión tóxica, contaminación del agua), y el impacto regulatorio (notificación obligatoria, posible sanción).
Establece los niveles de seguridad objetivo (Security Level Target, SL-T) para cada zona, según la escala SL 1 a SL 4 de IEC 62443-3-3.

Fase 3: plan director de ciberseguridad OT

A partir del análisis de riesgos, la consultora elabora un plan director que prioriza las medidas de seguridad por criticidad y viabilidad operativa. Las medidas típicas en entornos OT industriales incluyen:

Medidas de segmentación de red:

Implementación de DMZ industrial entre la red corporativa y la red de control.
Segmentación interna de la red OT en zonas según criticidad (zona de seguridad, zona de control de proceso, zona de supervisión).
Firewalls industriales con reglas específicas por protocolo (permitir Modbus TCP desde el servidor SCADA al PLC, denegar todo lo demás).
Gestión de accesos remotos a través de jump server con MFA y registro de sesiones.

Medidas de monitorización y detección:

Despliegue de monitorización pasiva (passive listening, sin impacto en la red de producción) del tráfico OT.
Configuración de alertas sobre anomalías: cambios de firmware, nuevas conexiones, escrituras en registros críticos de PLCs, comunicaciones con direcciones IP no autorizadas.
Integración con el SOC corporativo o con un servicio gestionado de detección OT.

Medidas de gestión de vulnerabilidades:

Para activos parcheables: proceso de evaluación, prueba en entorno de laboratorio y despliegue en ventana de mantenimiento.
Para activos legacy no parcheables (PLCs de más de 10 años sin soporte del fabricante): compensating controls documentados (aislamiento de red, monitorización reforzada, control de acceso físico, jump server dedicado).

Medidas de respuesta a incidentes:

Procedimiento de respuesta a incidentes OT (distinto del IT: en OT la prioridad es la seguridad del proceso físico antes que la preservación de evidencias forenses).
Runbooks específicos por escenario: ransomware en red OT, acceso no autorizado al HMI, pérdida de comunicaciones con PLCs.
Contactos de emergencia: CSIRT de referencia, consultora de respuesta a incidentes OT, fabricantes de equipos críticos.

Medidas de continuidad:

Backups verificados de programas de PLC, configuraciones de HMI, históricos de proceso.
Procedimientos de recuperación con RTO/RPO definidos para la capa OT.
Ensayos periódicos de recuperación (al menos anuales) con la participación del equipo de operaciones.

Fase 4: implementación y evidencias

La implementación del plan director la ejecuta la consultora especializada junto con el equipo de la empresa. Para cumplir con NIS2, es fundamental generar evidencias documentales de cada medida implementada:

Política de ciberseguridad aprobada por la dirección (requisito del artículo 20).
Análisis de riesgos documentado y firmado.
Plan de continuidad de operaciones que incluya escenarios ciber-OT.
Registro de incidentes y procedimiento de notificación.
Evidencias de formación de la dirección en ciberseguridad (requisito explícito de NIS2).
Contratos con proveedores que incluyan cláusulas de ciberseguridad de la cadena de suministro.

Los plazos típicos del sector para completar el ciclo completo (diagnóstico, análisis de riesgos, plan director, implementación de medidas prioritarias) oscilan entre 6 y 18 meses según el tamaño de la empresa y la complejidad de la instalación OT. En plantas de 50 a 100 empleados con una red OT relativamente simple (20-50 dispositivos), el rango habitual es de 6 a 9 meses. En instalaciones de más de 200 empleados con múltiples líneas de producción y protocolos heterogéneos, puede alcanzar los 12 a 18 meses.

Caso tipo: planta de manufactura en el País Vasco

Caso tipo (empresa ficticia, datos verosímiles del sector): planta de fabricación de componentes de automoción tier 2 en Álava, 180 empleados, facturación 28 M€/año. Código CNAE 2932 (fabricación de otros componentes, piezas y accesorios para vehículos de motor). Sector NIS2: fabricación (Anexo II, entidad importante).

Red OT: 45 PLCs Siemens S7-1500, 12 HMIs Siemens Comfort Panel, 8 robots KUKA con controladores KRC4, 3 servidores SCADA WinCC, red Profinet en anillo. Interconexión IT/OT: un firewall entre la red corporativa y la red de planta, sin DMZ industrial, acceso remoto del integrador de automatización vía VPN site-to-site sin MFA.

Situación pre-diagnóstico: el responsable IT gestiona la red corporativa y tiene acceso administrativo al firewall IT/OT, pero no tiene formación específica en protocolos industriales ni en seguridad OT. El integrador de automatización accede cada mes para actualizaciones de programa en los robots, utilizando la VPN sin segundo factor. No existe inventario formal de activos OT (se sabe que hay “unos 45 PLCs” pero no hay registro de versiones de firmware). No hay monitorización de tráfico en la red de planta.

Diagnóstico realizado por la consultora OT verificada: descubrimiento pasivo identificó 68 dispositivos activos en la red de planta (23 más de los documentados informalmente), incluyendo 4 switches industriales no gestionados, 3 pasarelas serie-Ethernet legacy conectando PLCs S7-300 antiguos, y 2 cámaras IP de calidad industrial que compartían VLAN con los PLCs. Coste-hora de parada estimado por la empresa: 22 000 €/h (línea de estampación principal). El diagnóstico recomendó como medidas prioritarias la segmentación de la red OT en 3 zonas, la implementación de una DMZ industrial y el despliegue de monitorización pasiva. Plazo estimado de implementación de medidas prioritarias: 4 meses.

Este tipo de escenario es representativo de una parte significativa del tejido industrial español de mid-market. La diferencia entre tener un diagnóstico hecho antes de que la ley entre en vigor y no tenerlo es la diferencia entre cumplir en plazo o no.

Preguntas frecuentes sobre la transposición NIS2 en España

¿Cuándo se traspone la NIS2 en España?

La Directiva NIS2 (UE 2022/2555) establecía como fecha límite de transposición el 17 de octubre de 2024. España no cumplió ese plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se presentó como vehículo de transposición y ha seguido su tramitación parlamentaria. A fecha de mayo de 2026, el estado exacto de publicación en el BOE debe verificarse directamente, ya que el proceso ha sufrido varios ajustes de calendario. Lo que es seguro es que los requisitos sustantivos de la directiva ya son referencia en auditorías, pliegos de contratación de grandes cuentas industriales y evaluaciones de riesgo de aseguradoras.

¿Qué es la NIS2 en España?

NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, que establece medidas destinadas a garantizar un nivel elevado común de ciberseguridad en la Unión. En España, sustituirá al marco establecido por el Real Decreto-Ley 12/2018 y el Real Decreto 43/2021, que transponían la primera Directiva NIS. Las principales novedades son la ampliación del ámbito de aplicación (más sectores, criterio de tamaño objetivo), sanciones significativamente más elevadas, responsabilidad directa de los órganos de dirección, y plazos de notificación de incidentes más exigentes (24 horas para alerta temprana, 72 horas para notificación, un mes para informe final).

¿Qué empresas deben cumplir con la NIS2?

Deben cumplir las entidades que operen en los sectores listados en los Anexos I y II de la directiva y que superen los umbrales de tamaño: 50 o más empleados, o más de 10 millones de euros de facturación anual. Los sectores del Anexo I (entidades esenciales) incluyen energía, transporte, agua, salud e infraestructura digital. Los del Anexo II (entidades importantes) incluyen fabricación, alimentación, productos químicos, gestión de residuos, servicios postales e investigación. Además, los operadores designados como infraestructura crítica bajo la Ley 8/2011 quedan obligados con independencia de su tamaño.

¿Cuánto tiempo hay para transponer una directiva europea?

El plazo lo establece cada directiva en su articulado. NIS2 fijaba el 17 de octubre de 2024 (artículo 41). Transcurrido el plazo sin transposición, la Comisión Europea puede iniciar un procedimiento de infracción contra el Estado miembro ante el Tribunal de Justicia de la UE, que puede resultar en sanciones económicas al Estado. Para las empresas, el retraso no elimina el riesgo: los requisitos de la directiva ya se aplican como referencia en contratación, auditorías de clientes y evaluaciones de riesgo, incluso antes de la publicación de la ley nacional.

¿La NIS2 afecta a las redes OT y sistemas SCADA de mi planta?

Sí. NIS2 define “redes y sistemas de información” de forma amplia, incluyendo cualquier sistema que gestione, procese o almacene datos por medios electrónicos y que afecte a la provisión del servicio. Los sistemas SCADA, los PLCs, los HMIs, las redes de control industrial y los dispositivos IoT de planta quedan dentro de esta definición. Si tu empresa opera en un sector incluido y supera los umbrales de tamaño, las obligaciones de gestión de riesgos, notificación de incidentes y gobernanza cubren toda la infraestructura, IT y OT. No existe una excepción específica para sistemas legacy o para redes OT aisladas (air-gapped), que en la práctica rara vez lo están realmente.

¿Qué pasa si mis PLCs son antiguos y no soportan parches de seguridad?

NIS2 exige gestión de vulnerabilidades, pero no exige que todo sistema sea parcheable. Para activos legacy (PLCs, RTUs, controladores de más de 10 años sin soporte del fabricante), la respuesta son los controles compensatorios: segmentación de red estricta (aislar el PLC en su propio segmento con firewall industrial y reglas específicas por protocolo), monitorización reforzada del tráfico hacia y desde ese activo, control de acceso físico, registro de todas las sesiones de programación, y backups verificados del programa de PLC. Estos controles deben estar documentados y justificados en el análisis de riesgos como medida proporcional al riesgo identificado. La consultora OT que realice el análisis de riesgos formal documenta cada compensating control según los requisitos de IEC 62443-3-3 para el nivel de seguridad objetivo asignado a esa zona.

Disclaimer de vigencia

Este artículo refleja el estado normativo y de tramitación legislativa conocido a fecha de mayo de 2026. La transposición de la Directiva NIS2 en España está sujeta al proceso parlamentario y puede haber cambiado entre la fecha de redacción y tu lectura. Verifica siempre el estado actual en el BOE. Las cifras de sanciones corresponden a los máximos establecidos en la directiva; la ley nacional de transposición puede modular los tramos dentro de esos límites.

Las referencias a estándares técnicos (IEC 62443, NIST SP 800-82, NIST CSF) corresponden a las ediciones vigentes en la fecha de redacción. Consulta la edición actualizada antes de utilizarlas como referencia en análisis de riesgos o certificaciones.

Fortiot no ejecuta auditorías, evaluaciones de riesgo ni implementaciones de ciberseguridad OT. Conectamos empresas industriales con consultoras de ciberseguridad OT verificadas y coordinamos la propuesta de diagnóstico preliminar. La responsabilidad técnica de las medidas de seguridad recae en la consultora especializada que la empresa contrate. Ver servicios de ciberseguridad OT · Aviso legal · Diagnóstico de ciberseguridad OT

Solicita diagnóstico de ciberseguridad OT: identificamos al especialista adecuado para tu sector. Sin compromiso.