Cuando un modelo de IA desaparece de la noche a la mañana:
Tobias Massow
6 Min. de lectura Anthropic desconectó el 12 de junio dos de sus modelos más recientes a nivel mundial ...
Leer artículo
7 min de lectura
Los dispositivos de planta, sensores y dispositivos edge eran considerados durante mucho tiempo como el dominio de los equipos de OT, poco relevantes para los CIO. NIS2 ha cambiado eso. Quien no aclare ahora quién lleva la gobernanza, entrará en la próxima auditoría con el flanco abierto.
Lo más importante en resumen
- NIS2 convierte a OT en un tema para los CIO. Los operadores de instalaciones esenciales en sectores KRITIS deben incluir dispositivos edge y componentes OT en el alcance de su ISMS.
- La brecha de gobernanza es real. Los CISOs conocen los requisitos de seguridad, pero no los activos OT. Los CIOs conocen los activos, pero no el alcance de NIS2. Nadie lleva ambos.
- La responsabilidad del consejo es personal. NIS2 hace a los miembros de la dirección personalmente responsables de los incumplimientos de conformidad, no solo al departamento de IT.
- La obligación de reportar incidentes también se aplica a incidentes OT. Aviso anticipado de 24 horas, notificación de 72 horas, incluso si el sensor afectado está en la planta.
- El inventario de activos es el comienzo. Quien no sepa qué dispositivos edge están en la red, no podrá protegerlos ni reportarlos.
¿Qué es el IoT industrial en el contexto de NIS2? El IoT industrial se refiere a dispositivos conectados en entornos de producción, energía e infraestructura: sensores, sistemas de control (PLCs, DCS), gateways edge y sistemas de monitoreo de condiciones. Tan pronto como estos dispositivos están conectados a la red corporativa a través de la capa edge, caen dentro del alcance del ISMS para las empresas afectadas por NIS2. La diferencia con la seguridad informática clásica: los dispositivos OT a menudo funcionan sin posibilidad de parcheo, con protocolos propietarios y tiempos de ejecución de 10-20 años.
El mecanismo que ha cambiado la situación es sencillo: NIS2 amplía considerablemente el ámbito de aplicación en comparación con la primera directiva NIS. Ahora también están afectadas las empresas medianas a partir de 50 empleados o 10 millones de Euros de facturación en ciertos sectores: energía, transporte, agua, salud, infraestructura digital y industria manufacturera para productos críticos.
El resultado: muchas empresas que hasta ahora no estaban sujetas a regulación, deben demostrar ahora un ISMS completo, incluyendo todos los dispositivos conectados. Y esto abarca típicamente en las empresas productoras desde varios cientos hasta varios miles de componentes OT.
35.000+
Empresas afectadas por KRITIS en DE
Fuente: Estimación BSI NIS2-Scope, 2024
24 h
Obligación de preaviso en caso de incidente grave
Art. 23 Directiva NIS2
10 Mio €
Multa máxima para instalaciones esenciales
o el 2% del volumen de negocios anual mundial
¿Quién asume la gobernanza: el CIO o el CISO?
La respuesta honesta es: esta es la pregunta abierta en la mayoría de las empresas de la región DACH. La situación típica es la siguiente: el CISO conoce los requisitos de NIS2 y la arquitectura de seguridad de TI, pero no tiene una visión general de los activos de OT ni acceso directo a los sistemas de la planta. El CIO tiene la visión de la red y la responsabilidad de la infraestructura de TI, pero tradicionalmente la OT estaba a cargo del equipo de producción o de la planta.
| Aspecto | CIO | CISO |
|---|---|---|
| Obligaciones de NIS2 | Responsabilidad del marco de cumplimiento | Medidas de seguridad técnica |
| Inventario de activos de OT | Visión de red disponible | A menudo sin acceso directo |
| Notificación de incidentes | No siempre responsable | Formalmente, a menudo el primer responsable |
| Informe al consejo | Conexión regular con el consejo | A menudo solo presente en caso de incidentes |
La respuesta estructural que NIS2 impone: una de las dos funciones debe asumir la propiedad de todo el alcance de los activos, y el consejo debe decidirlo activamente. No como una delegación, sino como una asignación formal documentada en el ISMS.
Lo que el informe al consejo sobre la seguridad de OT debe incluir ahora
NIS2 estipula explícitamente que la gestión debe ser informada regularmente sobre los riesgos de ciberseguridad y recibir formación. Esto significa: los riesgos de seguridad de OT deben ser destacados del informe técnico y preparados en un formato que informe las decisiones del consejo de administración.
Tres elementos que faltan en cada informe al consejo sobre la seguridad de OT:
Primero: número y criticidad de los activos de OT no gestionados. No tener un inventario es un riesgo que se puede cuantificar. Si de 800 dispositivos OT, 300 no están registrados en el ISMS, es una declaración para el consejo.
Segundo: estado de los parches y exposición a vulnerabilidades conocidas. Los dispositivos OT que no han recibido actualizaciones en años y contienen CVE conocidos son auditables y deben ser notificados si están afectados.
Tercero: estado de aislamiento del segmento. ¿Cuántos dispositivos OT tienen acceso no controlado a la red corporativa? Esta es la pregunta que un auditor hace primero.
Preguntas frecuentes
¿Se aplica NIS2 también a las empresas industriales medianas que no son explícitamente KRITIS?
Sí, si pertenecen a uno de los sectores regulados y superan los umbrales. NIS2 distingue entre «instalaciones esenciales» (empresas más grandes en sectores críticos) e «instalaciones importantes» (empresas de tamaño medio). Incluso las «instalaciones importantes» están sujetas a obligaciones de seguridad y supervisión, aunque con penas máximas ligeramente menores. La industria manufacturera de productos críticos (productos médicos, químicos, automotrices) está explícitamente dentro del alcance.
¿En qué se diferencia el cumplimiento de NIS2 de ISO 27001 para entornos OT?
ISO 27001 es un estándar voluntario con un alcance seleccionable. NIS2 es una obligación legal con un alcance definido. En la práctica: las empresas con certificación ISO 27001 tienen una buena base de partida, pero el alcance de OT a menudo debe ampliarse explícitamente. NIS2 requiere además medidas técnicas concretas (seguridad de la cadena de suministro, cifrado, MFA) y obligaciones de notificación que van más allá de la evidencia de un ISMS ISO 27001.
¿Cuáles son los primeros tres pasos para un CIO que debe asumir la gobernanza de OT?
Primero: crear un inventario completo de activos OT (herramientas como Claroty, Dragos o Nozomi ayudan en la detección pasiva de red sin interrumpir la producción). Segundo: revisar y documentar la segmentación de red entre OT e IT y dónde se encuentran realmente los límites. Tercero: aclarar formalmente con el CISO quién es responsable de qué partes de los requisitos de NIS2 y anclarlo en los documentos del ISMS.
¿Cómo funciona la obligación de notificación de 24 horas en caso de un incidente OT en la práctica?
En caso de un incidente significativo (interrupción operativa significativa o impacto en otros), debe enviarse una alerta temprana a la autoridad competente (en Alemania, BSI) dentro de las 24 horas. En 72 horas sigue una notificación más detallada, y al cabo de un mes, un informe final. Esto requiere rutas de escalación claras y plantillas de notificación predefinidas internamente, que suelen faltar en la mayoría de los entornos OT.
¿Qué tecnologías ayudan en la gobernanza de seguridad OT sin interrumpir la producción?
Detección pasiva de red (sin escaneos activos que puedan interferir con los sistemas de control), integración SIEM específica de OT (Splunk OT Security, Microsoft Sentinel con conectores OT) y plataformas de gestión de activos que combinan IT y OT en una sola vista. Importante: los dispositivos OT reaccionan de manera diferente a los escaneos que los dispositivos IT; los métodos de escaneo agresivos de IT pueden causar fallos en entornos OT.
Recomendaciones de lectura de la redacción
Más del MBF Media Netzwerk
Fuente de la imagen de portada: Pexels