Lista de verificación de cumplimiento NIS2 para redes OT: ¿son seguros tus switches?

Tabla de contenidos

  1. ¿Qué significa realmente NIS2 para las redes OT?
  2. Lista de verificación NIS2 para switches OT e infraestructura de red industrial
  3. 1. Inventario de activos y visibilidad de los switches
  4. 2. Segmentación real entre IT y OT
  5. 3. Administración restringida y trazable
  6. 4. Acceso remoto controlado
  7. 5. Puertos no utilizados y servicios inseguros deshabilitados
  8. 6. Registro, retención y revisión de logs
  9. 7. Actualizaciones de firmware y gestión de vulnerabilidades
  10. 8. Copia de seguridad y recuperación de configuración
  11. 9. Redundancia y resiliencia operativa
  12. 10. Seguridad de la cadena de suministro y ciclo de vida del proveedor
  13. 11. Escalado de incidentes y preparación para su notificación
  14. 12. Responsabilidad de la dirección sobre el riesgo cibernético en OT
  15. Señales de que tus switches OT aún no están preparados para NIS2
  16. ¿Qué evidencias debes preparar para una auditoría NIS2?
  17. Por qué esto importa en 2026

En 2026, la pregunta «¿son seguros nuestros switches OT?» ya no es solo una cuestión técnica. Para muchas organizaciones, ahora es una cuestión de cumplimiento con NIS2, resiliencia operativa y capacidad de demostrar durante una auditoría que la seguridad de la red industrial va mucho más allá de una contraseña de administrador por defecto y unos pocos VLAN.

La Directiva NIS2 establece un marco común de ciberseguridad para sectores críticos e importantes en toda la Unión Europea y refuerza el énfasis en la gestión de riesgos, la responsabilidad, la notificación de incidentes y la seguridad de la cadena de suministro. En la práctica, esto significa que los entornos OT deben evaluarse no solo por su disponibilidad y continuidad de proceso, sino también por el nivel de protección frente a amenazas cibernéticas, errores de configuración y accesos no autorizados.

Conviene aclarar un punto desde el principio: NIS2 no certifica un switch industrial individual como “conforme con NIS2”. La directiva no dice que un modelo concreto haga que tu red OT sea automáticamente conforme. Lo que exige es que las organizaciones implanten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar el riesgo, prevenir incidentes y reducir su impacto. En otras palabras, tu switch es solo una parte de una postura de ciberseguridad más amplia que debe estar bien diseñada, mantenida y documentada.

Esta distinción importa aún más en 2026 porque, junto con NIS2, el mercado también se prepara para el impacto práctico del Cyber Resilience Act. Mientras que NIS2 se centra en el operador y en la seguridad de los servicios esenciales, la CRA se dirige más directamente a los fabricantes de productos con elementos digitales. Para compradores OT e integradores de sistemas, esto significa que la evaluación de switches, routers y gateways debe incluir no solo las funciones técnicas actuales, sino también el soporte de ciclo de vida, la gestión de vulnerabilidades, el mantenimiento del firmware y la transparencia del proveedor.

¿Qué significa realmente NIS2 para las redes OT?

En OT, NIS2 significa que la seguridad de red ya no puede tratarse como un complemento opcional de un proyecto de automatización. La directiva espera que las organizaciones aborden la evaluación de riesgos, la gestión de incidentes, la continuidad de negocio, las estrategias de backup, la adquisición y el mantenimiento seguros de los sistemas, la seguridad de la cadena de suministro, el control de acceso, la ciberhigiene y el uso de autenticación robusta cuando corresponda.

Para los switches industriales, esto cambia la lógica de compra y despliegue. Un switch no debe evaluarse solo por el número de puertos, el soporte PoE, el rango de temperatura o el montaje en carril DIN. También debe evaluarse por su papel en la segmentación de red, la administración segura, el registro de eventos, la gestión del firmware, la redundancia, el backup de configuración y la capacidad de respaldar una arquitectura OT defendible.

Lista de verificación NIS2 para switches OT e infraestructura de red industrial.

1. ¿Dispones de un inventario completo de switches y de su papel en la arquitectura OT?

La primera prueba de cumplimiento es sencilla: ¿sabes qué switches tienes, dónde están instalados, qué versiones de firmware ejecutan, quién los administra y qué zonas de red conectan? Sin eso, no hay una evaluación de riesgos fiable, ni una monitorización útil, ni un plan realista de respuesta a incidentes. En OT, la infraestructura no documentada es una de las formas más rápidas de perder el control tanto sobre la seguridad como sobre la continuidad operativa.

2. ¿Existe una segmentación real entre IT y OT?

Una de las debilidades más comunes en entornos industriales es la ilusión de separación. Sobre el papel, IT y OT pueden parecer aislados, mientras que en la práctica el tráfico sigue fluyendo con demasiada libertad entre sistemas de oficina, SCADA, herramientas de acceso remoto y controladores industriales. Un switch OT seguro debe respaldar una arquitectura en la que la segmentación no sea teórica, sino aplicada mediante diseño de VLAN, ACL, uplinks gestionados, interconexiones monitorizadas y zonas claramente definidas. En muchos entornos, una DMZ OT adecuada es tan importante como el propio hardware de switching.

3. ¿Está restringido y es trazable el acceso administrativo a los switches?

Las credenciales compartidas de administrador, las cuentas de servicio no documentadas y el acceso remoto permanente son señales de alerta graves. Para estar preparado para NIS2, el acceso administrativo debe limitarse únicamente al personal autorizado, separarse del acceso de usuario estándar y registrarse de forma que permita trazabilidad completa. Cuando esté justificado, debe emplearse autenticación multifactor para la administración remota. Un switch que puede ser gestionado por demasiadas personas y de demasiadas maneras no es un activo OT seguro.

4. ¿Está controlado, es temporal y está justificado el acceso remoto?

Los integradores, equipos de mantenimiento y proveedores suelen necesitar acceso remoto a la infraestructura industrial, pero esto nunca debería convertirse en una puerta trasera permanente hacia OT. La buena práctica consiste en que el acceso remoto sea temporal, aprobado, monitorizado y limitado exactamente a la tarea necesaria. El acceso no debe eludir las políticas de seguridad, control de cambios o segmentación de red. En muchas auditorías, un acceso remoto mal gobernado es una de las primeras áreas que evidencia una madurez débil en seguridad OT.

5. ¿Has deshabilitado los puertos no utilizados, los servicios y los métodos de gestión inseguros?

Este es uno de los controles más simples, pero también uno de los más ignorados. Los puertos de switch no utilizados, los servicios heredados y los protocolos de gestión débiles aumentan la superficie de ataque sin aportar valor operativo. En OT, todo servicio habilitado debe tener una razón para existir. Si un puerto, una interfaz web, un mecanismo de descubrimiento o un protocolo de gestión no es necesario, debe deshabilitarse tras verificar que el cambio no afectará al proceso ni a los equipos conectados.

6. ¿Tus switches generan logs y alguien los revisa realmente?

El registro de eventos no es solo una función técnica. Es evidencia. Si tus switches no registran intentos de inicio de sesión, cambios de configuración, reinicios, eventos de puerto o anomalías, pierdes tanto visibilidad como trazabilidad. Igual de importante es que los logs estén centralizados, se conserven y se revisen. Una auditoría de seguridad no se detendrá en la pregunta “¿el switch soporta syslog?”, sino que avanzará rápidamente a “¿adónde van los logs, cuánto tiempo se almacenan y quién los analiza?”.

7. ¿Dispones de un proceso seguro de actualización de firmware y gestión de vulnerabilidades?

OT no funciona bien con la regla simplista de “aplica todos los parches inmediatamente”. Los entornos industriales necesitan un proceso controlado: identificación de vulnerabilidades, priorización del riesgo, evaluación de impacto, pruebas, ventanas de mantenimiento, planificación de rollback y documentación. Los switches seguros no son solo dispositivos que pueden actualizarse; son dispositivos respaldados por un proveedor con una política clara de avisos de seguridad, disponibilidad de parches y comunicación del ciclo de vida. Si nadie sabe cuándo se actualizó por última vez el firmware o si se evaluaron las vulnerabilidades críticas, tu red OT está expuesta.

8. ¿Las configuraciones de los switches están respaldadas y pueden recuperarse?

La continuidad de negocio es una parte esencial de NIS2 y, para la infraestructura industrial de switching, eso significa más que tener hardware de repuesto en una estantería. Debes poder restaurar rápida y fiablemente los archivos de configuración, incluyendo ajustes de VLAN, ACL, parámetros de gestión, configuraciones de redundancia y controles administrativos. La prueba real no es si existe un backup, sino si la organización puede restaurar un switch averiado o comprometido sin improvisar durante el tiempo de inactividad.

9. ¿Existe redundancia donde el fallo de un switch afectaría a la producción o a servicios críticos?

En muchas redes OT, un único punto de fallo no gestionado puede detener una línea de producción, desconectar un segmento de automatización de edificios o interrumpir una función de energía, agua o control de proceso. Allí donde la disponibilidad es crítica, la redundancia debe diseñarse dentro de la capa de switching mediante una topología resiliente, rutas de respaldo y planificación de failover. NIS2 no trata solo de prevenir ataques; también trata de reducir el impacto de los fallos y garantizar resiliencia operativa en condiciones adversas.

10. ¿Evalúas el soporte del proveedor, la seguridad de la cadena de suministro y el ciclo de vida del producto?

NIS2 destaca explícitamente la seguridad de la cadena de suministro, lo que convierte la evaluación del proveedor en una cuestión de cumplimiento más que en una simple preferencia de compra. Antes de seleccionar switches industriales, las organizaciones deberían hacerse preguntas prácticas: ¿durante cuánto tiempo se dará soporte al firmware? ¿Publica el proveedor avisos de seguridad? ¿Existe un proceso responsable de divulgación de vulnerabilidades? ¿Están documentadas y accesibles las actualizaciones de software? Un switch que hoy parece técnicamente sólido pero tiene un soporte débil y políticas poco claras de ciclo de vida puede crear problemas de cumplimiento y resiliencia a largo plazo.

11. ¿Sabes cuándo un incidente OT relacionado con switches debe escalarse y notificarse?

NIS2 no se limita a controles preventivos. También introduce una notificación estructurada de incidentes. Si un compromiso de switch, una mala configuración, una caída o un evento de acceso no autorizado tiene un impacto significativo en la continuidad o la seguridad del servicio, la organización debe ser capaz de clasificar el incidente, escalarlo internamente y seguir la ruta de notificación requerida. Eso significa que tu equipo OT, tu equipo de ciberseguridad y la dirección ya deben saber quién decide, quién documenta y quién comunica cuando se produce un incidente serio de red.

12. ¿La dirección entiende el riesgo cibernético OT y asume su responsabilidad?

Uno de los cambios más importantes bajo NIS2 es que la ciberseguridad ya no se trata como una tarea técnica secundaria delegada por completo a ingenieros o administradores IT. Se espera que la dirección entienda el riesgo, apoye el programa de seguridad y garantice la implantación de medidas adecuadas. En la práctica, esto significa que decisiones como mantener switches obsoletos y sin soporte en un segmento OT crítico pueden convertirse en fallos de gobernanza, no solo en compromisos de ingeniería.

Señales de que tus switches OT aún no están preparados para NIS2.

Si tu organización no dispone de un inventario fiable de activos, si IT y OT solo están separados de forma superficial, si todavía existen cuentas de administrador compartidas, si el acceso remoto es permanente, si faltan copias de seguridad de configuración, si los logs no se recopilan de forma centralizada o si los switches industriales siguen en servicio mucho después de que haya terminado el soporte del proveedor, entonces tu capa de switching OT aún no está donde debería. Eso no significa automáticamente un incumplimiento formal en sentido legal, pero sí que tu capacidad para demostrar una protección adecuada y proporcionada es mucho más débil.

¿Qué evidencias debes preparar para una auditoría NIS2?

En una revisión real de cumplimiento, las declaraciones nunca son suficientes. Debes estar preparado para mostrar diagramas de zonas de red, inventarios de switches con versiones de firmware, estándares de configuración segura, políticas de control de acceso, procedimientos de acceso remoto, registros de cambios, procedimientos de backup y restore, flujos de escalado de incidentes, arquitectura de logging y decisiones de ciclo de vida para hardware legado. Cuanto más sólida sea tu trazabilidad de evidencias, más fácil será demostrar que la seguridad OT se gobierna de forma sistemática y no improvisada.

Por qué esto importa en 2026.

En 2026, la ciberseguridad OT está cada vez más determinada tanto por la regulación como por la presión operativa. Se espera que las organizaciones vayan más allá de la concienciación general y pasen a una implantación medible. Eso significa que los switches industriales deben revisarse ahora no solo como dispositivos de red, sino como componentes de infraestructura relevantes para la seguridad que deben soportar segmentación, administración segura, observabilidad, resiliencia y una gestión controlada del ciclo de vida.

El mensaje práctico es claro: NIS2 no pregunta si compraste un “switch seguro” de un folleto. Pregunta si tu organización puede demostrar que la red OT ha sido diseñada, configurada, mantenida y gobernada de una manera adecuada al riesgo. Un switch industrial seguro, en este contexto, es aquel que respalda la arquitectura de seguridad más amplia y está apoyado por procesos documentados, administración competente y disciplina operativa.

Si quieres evaluar tu infraestructura de switching OT, la segmentación de red industrial o el nivel de preparación en ciberseguridad para proyectos impulsados por NIS2, contacta con nuestro equipo.