NIS2 para empresas de fabricación
La fabricación de productos sanitarios, electrónica, equipos eléctricos, maquinaria y vehículos está dentro del ámbito de aplicación del anexo II de NIS2. Si su empresa tiene más de 50 empleados, esto es lo que exige el BSIG y cómo afrontar el reto OT/IT.
¿Por qué se aplica NIS2 a la fabricación?
La fabricación moderna depende de la convergencia de la TI y la OT (tecnología operativa). Los sistemas ERP gestionan la planificación de la producción. Las plataformas MES gestionan la ejecución en planta. Los sistemas SCADA controlan la maquinaria y la automatización de procesos. Los sistemas CAD/CAM definen qué se fabrica. Cuando estos sistemas están interconectados (y en la mayoría de las fábricas lo están), un ciberataque a uno puede propagarse en cascada por toda la cadena de producción. Una infección por ransomware en la red de oficina que alcanza el MES puede paralizar las líneas de producción.
La UE clasificó la fabricación en el anexo II de la Directiva NIS2, abarcando: la fabricación de productos sanitarios, la fabricación de equipos informáticos y electrónicos, la fabricación de equipos eléctricos, la fabricación de maquinaria y equipos, la fabricación de vehículos de motor y la fabricación de otro material de transporte. Las empresas que alcanzan el umbral de tamaño (más de 50 empleados o más de 10 millones de euros de facturación anual) son «wichtige Einrichtungen» (entidades importantes) conforme al §28(2) BSIG.
La fabricación tiene un reto singular que la mayoría de los demás sectores de NIS2 no afrontan en la misma medida: la seguridad de la OT. Los equipos de producción suelen ejecutar sistemas operativos especializados, utilizan protocolos propietarios y tienen restricciones de ciclo de vida que dificultan la aplicación de parches. Una máquina CNC de 2015 puede ejecutar Windows 7 Embedded y no poder actualizarse sin la intervención del fabricante. NIS2 no ignora esta realidad: el §30 BSIG exige medidas que sean «proporcionadas» al riesgo. Pero debe documentar los riesgos y los controles compensatorios.
Sistema de ejecución de la fabricación (MES)
El sistema que gestiona las operaciones en planta: planificación de la producción, ejecución de órdenes de trabajo, seguimiento de la calidad y supervisión del rendimiento. Sistemas comunes son SAP ME, MPDV HYDRA, Forcam o soluciones a medida. El MES se sitúa entre el ERP y la planta de producción. Si se cae, pierde la visibilidad y la planificación de la producción. Una entrada de activo por instalación.
SCADA y controles industriales
Sistemas de supervisión, control y adquisición de datos, PLC (controladores lógicos programables), HMI (interfaces hombre-máquina) y controladores CNC. Controlan directamente los procesos físicos de producción. A menudo ejecutan sistemas operativos antiguos con capacidades de seguridad limitadas. Representan el riesgo de mayor impacto porque su compromiso puede dañar equipos o provocar incidentes de seguridad física. Agrúpelos por línea o célula de producción.
Sistema ERP
El sistema de negocio central para la gestión de pedidos, las compras, el inventario, las finanzas y la planificación de la producción. Habitualmente SAP, proALPHA, Microsoft Dynamics o abas. El ERP determina qué se produce y cuándo. Su compromiso detiene el procesamiento de pedidos, los pagos a proveedores y las entregas a clientes. Una entrada de activo.
CAD/CAM e ingeniería
Sistemas de diseño asistido por ordenador y de fabricación asistida por ordenador: SolidWorks, AutoCAD, Siemens NX, CATIA o similares. Contienen su propiedad intelectual: diseños de productos, procesos de fabricación, tolerancias. Una brecha aquí puede suponer la pérdida de secretos comerciales. También incluye el PLM (gestión del ciclo de vida del producto) si se utiliza. Una entrada agrupada.
Infraestructura de red
La red que conecta la TI de oficina, la ingeniería y la planta de producción. Incluye de forma crítica el límite IT/OT: cortafuegos, segmentos DMZ y diodos de datos entre la red de oficina y la red de planta. Si sus redes de TI y OT son planas (sin segmentación), este es su riesgo de mayor prioridad. Incluya la VPN y el acceso remoto para el mantenimiento de los proveedores.
Endpoints y TI de oficina
Portátiles, ordenadores de sobremesa y dispositivos móviles para el personal de oficina, la ingeniería y la dirección de producción. Aplicaciones ofimáticas estándar, correo electrónico, herramientas de colaboración. Grundschutz permite agrupar: «80 portátiles Windows estándar» es una entrada. Incluya también los servidores (de archivos, impresión, aplicaciones) como una entrada agrupada aparte si son significativos.
1. Regístrese ante el BSI
Complete su registro del §33 BSIG a través de muk.bsi.bund.de. Esto lleva de 30 a 60 minutos y le inscribe en el registro. La sanción por no registrarse es de hasta 500.000 euros. Si el plazo ya ha vencido, regístrese de inmediato.
2. Construya su inventario de activos (TI y OT)
Aquí es donde la fabricación difiere de otros sectores. Necesita inventariar tanto los sistemas de TI (ERP, correo electrónico, ingeniería) como los sistemas de OT (MES, SCADA, PLC, máquinas CNC). Para los activos de OT, documente el sistema operativo, la versión del firmware, la conectividad de red y si el fabricante proporciona actualizaciones de seguridad. Este inventario es la base de todo lo que sigue.
3. Evalúe y segmente su red OT
La medida técnica de mayor impacto para los fabricantes. Si su TI de oficina y su OT de producción comparten una red plana, una infección por ransomware en la oficina puede alcanzar sus controladores de producción. Implemente la segmentación de red: separe la TI y la OT en zonas de red distintas con un cortafuegos entre ellas. Este es el requisito IND.1 de Grundschutz y la principal recomendación del BSI para entornos industriales.
4. Configure la notificación de incidentes
Defina qué significa un incidente significativo para sus operaciones de fabricación. Un ataque de ransomware que detiene las líneas de producción es claramente significativo. Un intento de correo de phishing que fue bloqueado no lo es. Establezca la cadena de notificación, incluyendo quién tiene autoridad para presentar la notificación al BSI y cómo localizarlos fuera del horario laboral. Pruebe el proceso con un ejercicio de simulación de mesa.
5. Documente las relaciones con proveedores
Las empresas de fabricación suelen tener varios proveedores de OT con acceso remoto a los sistemas de producción para el mantenimiento y las actualizaciones. Documente cada proveedor con acceso a su red, a qué pueden llegar y qué medidas de seguridad se comprometen a aplicar. Las conexiones de mantenimiento remoto a los sistemas SCADA son un vector de ataque habitual: asegúrese de que están debidamente protegidas y supervisadas.
El reto de la convergencia IT/OT define el cumplimiento de NIS2 en la fabricación. Su equipo de TI de oficina entiende los parches, los controles de acceso y la seguridad de la red. Pero los equipos de producción operan con reglas distintas: no puede reiniciar una máquina CNC durante una tirada de producción para aplicar parches. Los PLC pueden ejecutar firmware que no se ha actualizado en años porque el fabricante no ha publicado ninguna actualización. Los sistemas SCADA pueden utilizar protocolos propietarios que las herramientas de seguridad de TI estándar no comprenden.
La solución no es imponer prácticas de seguridad de TI a la OT. Es construir un modelo de seguridad que respete las restricciones. La segmentación de red aísla la OT de los riesgos de TI. La supervisión detecta anomalías sin necesidad de agentes en los controladores. Los controles compensatorios (acceso físico restringido, redes de mantenimiento dedicadas, registro de eventos) proporcionan protección donde los controles de TI tradicionales no son viables. Documéntelo todo: el BSI espera medidas «proporcionadas», y documentar por qué eligió controles compensatorios en lugar de aplicar parches directamente es un enfoque válido.
Las empresas de fabricación también afrontan un riesgo de propiedad intelectual que otros sectores pueden no tener. Los archivos CAD, los procesos de producción, las tolerancias y las especificaciones de proveedores son valiosos secretos comerciales. Una brecha que los exponga no solo crea un problema de cumplimiento: crea una desventaja competitiva. Los controles de acceso a los sistemas de ingeniería y el cifrado de los archivos de diseño deben priorizarse junto con el trabajo de segmentación de la OT.
Preguntas frecuentes
Nuestras máquinas de producción ejecutan Windows 7 o anterior. ¿NIS2 nos obliga a actualizar?
NIS2 no obliga a versiones específicas de sistema operativo. Exige una gestión del riesgo «adecuada y proporcionada». Para los sistemas de OT antiguos, esto significa: documentar el riesgo (sistema operativo sin soporte, sin parches), implementar controles compensatorios (aislamiento de red, acceso restringido, supervisión) y planificar la sustitución por ciclo de vida. El BSI espera que reconozca el riesgo y lo gestione, no que realice actualizaciones imposibles en equipos que no pueden actualizarse.
¿Necesitamos separar nuestras redes de TI y OT?
La segmentación de red entre TI y OT es la medida de seguridad de mayor impacto para los fabricantes, y está firmemente recomendada tanto por el BSI (Grundschutz IND.1) como por el CIR 2024/2690. Si sus redes son actualmente planas, esta debería ser su principal prioridad técnica. Como mínimo, despliegue un cortafuegos entre la red de oficina y la red de producción, restrinja el tráfico a solo lo necesario y registre todas las conexiones entre zonas.
Nuestro proveedor de maquinaria tiene acceso remoto para el mantenimiento. ¿Es un problema?
El acceso de mantenimiento remoto es habitual y necesario, pero es un vector de riesgo significativo. Bajo NIS2, debe documentar este acceso, incluir requisitos de seguridad en el contrato del proveedor e implementar controles: conexiones VPN dedicadas (no puertos abiertos), acceso por tiempo limitado (habilitado solo cuando se necesite), registro de todas las sesiones remotas y autenticación multifactor. El proveedor pasa a formar parte de su evaluación de seguridad de la cadena de suministro conforme al §30(2)(4) BSIG.
Somos un proveedor de automoción de nivel 2 (Tier 2). ¿Se aplica NIS2 aunque nuestro OEM no haya preguntado por ello?
Si fabrica vehículos de motor, piezas o material de transporte y tiene más de 50 empleados, NIS2 se le aplica con independencia de lo que exija su cliente OEM. La fabricación de vehículos de motor y de otro material de transporte está explícitamente enumerada en el anexo II. En la práctica, los OEM de automoción exigirán cada vez más el cumplimiento de NIS2 a su cadena de suministro: TISAX ya cubre un terreno similar. Adelantarse a este requisito es estratégicamente inteligente.