Trabaja con nosotros
Accede a la web de clientes

Blog / Cumplir la NIS2 desde la red: lo que un switch puede (y no puede) hacer por ti

Cumplir la NIS2 desde la red: lo que un switch puede (y no puede) hacer por ti

03 nov 2025, 6:10 AM

En los últimos tiempos se escuchan las mismas preguntas en los equipos de mantenimiento y OT: ¿Existe un switch o router que “cumpla la NIS2”? ¿Con un cambio de equipos ya estamos cubiertos? ¿Qué debo priorizar hoy en mi planta?. Este artículo responde a esas dudas frecuentes, aclara conceptos y sitúa el papel real de los equipos de red dentro de una estrategia de cumplimiento.

1. Switches y routers NIS2: ¿mito o realidad?

En 2022 entró en vigor la Directiva 2022/2555, también llamada NIS2. Esta norma dispone diferentes medidas que todas las empresas afectadas deberán integrar para poder declarar su correcto cumplimiento de la directiva.

Estas medidas se pueden agrupar en cuatro conceptos generales que afectan de forma transversal:

  1. Responsabilidad
  2. Cooperación
  3. Seguridad
  4. Resiliencia

Las medidas agrupadas en Responsabilidad y Cooperación se centran en reforzar la seguridad, la continuidad y la capacidad de recuperación del negocio de las empresas en sus entornos de gestión y comunicación.

Por otro lado, la agrupadas en Seguridad y Resiliencia tratan de mejorar varios aspectos concretos en los entornos de trabajo, que para este artículo vamos a englobar y denominar como entornos de producción.

Cumplir con los puntos dispuestos en la NIS2 es obligatorio (para las empresas afectadas), pero la forma de abordarlos es libre y no está definida en la norma. Esto, sumado a la creciente prisa por la llegada inminente de sanciones, hace que en muchas empresas se estén buscando soluciones que, de fábrica, cumplan con la NIS2.

De aquí surge una pregunta cada vez más común en los entornos de producción: “¿Tenéis un switch/router que cumpla la NIS2?”

Para poder responder, primero vamos a mirar las fuentes.

2. ¿Qué dice la NIS2?

Para empezar, nos gustaría aclarar una cosa: la NIS2 no existe en el marco legal español y, técnicamente, tampoco va a existir.

En un futuro (entendemos que cercano) se va a hacer una transposición de la directiva europea a ley nacional, por lo que será esa ley bajo la que nos tendremos que regir.

Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

Aunque todavía no exista, está parte del trabajo hecho bajo el nombre de: “Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad”.

El anteproyecto, como mencionamos más arriba, presenta unos puntos mínimos que tienen que cumplir las empresas afectadas y que nosotros dividimos en cuatro verticales:

2.1. Responsabilidad

Esta vertical, definida por la asignación de responsabilidad y la formación a los trabajadores (en toda la pirámide empresarial), busca reforzar la seguridad y facilitar la mejora constante estableciendo un mayor nivel de conocimiento y concienciación general junto a la designación de puestos encargados de gestionar y mantener los proyectos presentes y futuros que busquen mejorar la protección de la empresa.

2.2. Cooperación

Para mejorar la eficacia de las medidas de seguridad aplicadas, es necesario tener información de lo que sucede en el entorno.

Por esto, bajo esta vertical, se juntan la obligación de notificar los incidentes con la necesidad de definir una cadena de suministro segura.

La idea general es facilitar la defensa de las empresas compartiendo información sobre todos los riesgos y amenazas presentes, además de mejorar la coordinación entre las empresas y las entidades públicas que protegen el ciberespacio común.

2.3. Seguridad

Además de mejorar puntos que, aun siendo transversales, no afectan a todas las capas de seguridad, la ley exigirá asegurar un mínimo de seguridad informática sobre las instalaciones.

Control de accesos y gestión de permisos y de activos son apartados que la ley considerará mínimos estrictamente necesarios.

2.4. Resiliencia

Todo plan de seguridad puede fallar. En eso se resumen los puntos agrupados en esta vertical.

El anteproyecto exige la existencia de un plan de continuidad de negocio y un plan de mantenimiento, para conseguir una recuperación más rápida cuando las protecciones no sean suficientes y para asegurar el correcto funcionamiento de las soluciones de seguridad y realizar cambios en caso de que se determinen insuficientes.

Con esto, vemos que la NIS2 (o el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad) no es un listado de requisitos técnicos a seguir, sino un conjunto de conceptos mínimos que se deberán cubrir, siendo la forma de cubrirlos totalmente libre.

Esta falta de puntos técnicos claros, hace que puedan surgir dudas a la hora de intentar adaptarse. De aquí, salen dudas como:

3. ¿Tenéis un switch/router que cumpla la NIS2?

La respuesta corta es: no.

Como la NIS2 cubre empresas, no productos, y lo hace por completo, no hay ningún producto que cumpla por defecto la norma, ni lo hay que haga que las empresas cumplan de forma automática.

Es decir, para cumplir con lo marcado en la directiva no solo vale con actualizar los equipos o con cambiar unos por otros, tiene que haber una integración clara y adecuada de los equipos que se tienen en la arquitectura que se monta o se tiene.

Ahora bien, el producto adecuado puede ayudar. Claro que sí.

Aunque no hay equipos de red mágicos, la elección de un buen producto puede facilitar mucho el cumplimiento de la directiva.

Por ejemplo, las gamas de switches industriales gestionados y de routers industriales de Weidmüller reducen parte del trabajo, ahora sí, a seguir unas especificaciones técnicas.

Estas especificaciones técnicas están definidas en la familia de estándares IEC62443.

4. ¿Cómo ayuda la IEC62443 a cumplir la NIS2?

Aunque los estándares suelen estar separados de las normativas vigentes, al haber temas cubiertos por ambos, nos podemos apoyar en unos (los estándares, que son de cumplimiento opcional) para cumplir los otros (las normas de cumplimiento obligatorio).

La IEC62443 es un conjunto de documentos que definen requisitos de seguridad para tecnologías en entornos de la operación (OT).

Cada documento tiene como objetivo cubrir una parte del ecosistema industrial. Son los siguientes:

Normas IEC 62443

 

Si bien la aplicación de estos estándares puede variar entre instalaciones y situaciones, la existencia de un modelo a seguir general hace que el crecimiento interno de las estructuras, ya sea por aumento de equipos conectados o por necesidades de tráfico, se pueda hacer de una forma más sencilla, sin dificultar la conservación del nivel de seguridad.

Por ejemplo, esta es la arquitectura tipo propuesta por Weidmüller basada en la IEC62443:

Concept zones and conduits

Gracias al uso de los conceptos “zona” y “conducto” definidos en la IEC62443, esta es una estructura de red en la que la gestión de seguridad se puede dividir en secciones, por lo que, tanto el crecimiento de la red, como la aplicación de un nuevo plan de seguridad, se reducen en complejidad.

Ahora bien, aunque los estándares se pueden aplicar en casi todas las situaciones, la correcta aplicación de algunos requisitos puede requerir la utilización de hardware específico, que esté adaptado a las necesidades de seguridad.

5. ¿Y cómo nos puede ayudar Weidmüller en todo esto?

En los últimos años Weidmüller ha hecho una fuerte apuesta por sus gamas de equipos industriales de red, posicionándose como una referencia para todos aquellos proyectos en los que haya que abordar nuevas normativas de ciberseguridad.

La certificación de modelos con la IEC62443-4-1 y la IEC62443-4-2 y la adaptación a la CRA de sus productos, hace que tanto sus switches gestionables como sus routers de seguridad se hayan convertido en duros rivales para otras marcas que ya estaban asentadas en el sector.

Switches gestionables Weidmüller
Switches gestionables Weidmüller
Routers de seguridad industrial de Weidmüller
Routers de seguridad industrial de Weidmüller

Además de sus características “normativas”, cuentan también con una potente lista de especificaciones técnicas que permiten alcanzar un buen nivel de maduración en la red.

Funciones como firewall, NAT o simplemente la creación de VLANes a nivel de máquina, otorgan un mayor control de la red, con el que perimetrar, controlar accesos y hasta aislar activos de forma temporal en caso de necesidad.

Esto hace que el cumplimiento normativo se pueda llegar a reducir a hacer una configuración adecuada.

Como decíamos antes, no existen los switches o los routers mágicos. Por mucho que pueda facilitar las cosas un equipo, es necesario un trabajo previo de análisis, además del conocimiento para plasmar todo lo que sea necesario en la configuración.

Por eso desde Grupo Elektra, de la mano de Weidmüller, se ofrece la ayuda necesaria para que esas necesidades, tanto normativas como funcionales, se puedan ver cubiertas de forma satisfactoria, duradera y, sobre todo, segura.

Date de alta como cliente y déjate acompañar por una empresa de expertos en todas las áreas industriales que te interesan

En Grupo Elektra no nos limitamos a distribuir productos: acompañamos a las empresas industriales en todo el ciclo de sus proyectos, aportando experiencia técnica y visión estratégica desde la concepción hasta la puesta en marcha.

Además, formamos y capacitamos continuamente a nuestros equipos internos, ofrecemos soporte continuo y ayudamos a anticipar problemas antes de que ocurran.

Date de alta como cliente y recibe asesoramiento experto para transformar tus proyectos industriales en soluciones seguras, eficientes y sostenibles. Sigue el enlace y encuentra tu punto de venta más cercano.

Encuentra tu punto de venta

Etiquetas: Ciberseguridad, normativa NIS2,

Entradas relacionadas:

Buscar

Grupo Elektra

Noticias por áreas

Noticias por empresa

Síguenos en las redes