kireygroup.com
Kireygroup.com

Get your daily dose of tech!

We Shape Your Knowledge

NIS 2 en el sector manufacturing: por qué es un desafío y cómo abordar el cumplimiento

NIS 2 marca un cambio significativo en la forma en que el sector manufacturing aborda la ciberseguri...

Descubre más
10 abril 2026

NIS 2 en el sector manufacturing: por qué es un desafío y cómo abordar el cumplimiento

Kirey

  

    NIS 2 marca un cambio significativo en la forma en que el sector manufacturing aborda la ciberseguridad. La Directiva Europea ha introducido obligaciones más estrictas y una mayor responsabilidad en un sector que es un pilar de la economía nacional, así como uno de los más expuestos a ciberataques.

    En este artículo, exploraremos por qué NIS 2 representa un punto de inflexión para el sector manufacturing, qué desafíos existen en el camino hacia el cumplimiento y cómo abordarlo de forma concreta y eficaz.

    Puntos clave

    • El sector manufacturing se encuentra entre los más afectados por la ciberdelincuencia, representando el 12,6 % de los incidentes en Italia y enfrentándose a ataques cada vez más impactantes sobre la continuidad operativa.
    • La Directiva NIS 2 introduce obligaciones estrictas en gobernanza, gestión de riesgos y respuesta a incidentes, transformando la ciberseguridad en un proceso continuo y estructural.
    • La protección frente a las amenazas cibernéticas es compleja debido a la presencia de entornos IT/OT integrados, sistemas legacy y cadenas de suministro extendidas. Esto hace que el apoyo de experiencia especializada sea esencial.

    El sector manufacturing bajo ataque: en Italia es el segundo más afectado  

    Según el último informe de Clusit, el sector manufacturing se mantiene firmemente entre los más atacados por las actividades cibernéticas. A nivel global, en 2025, los ataques contra el manufacturing aumentaron un 79 % en comparación con el año anterior, con un incremento significativo en su gravedad: los clasificados como críticos y extremos pasaron del 20 % al 30 % del total.

    Los datos adquieren aún más relevancia en el contexto italiano. En un país con una fuerte vocación industrial, donde la producción representa un pilar de la economía, el manufacturing es el segundo sector más afectado, representando el 12,6 % del total de incidentes registrados. Pero, ¿por qué está tan expuesto?

    •  Alta importancia estratégica del sector  

      Atacar a una empresa manufacturing implica impactar directamente en la producción, la cadena de suministro y, en algunos casos, en ecosistemas industriales completos.  

    •  Costes de inactividad extremadamente altos  

      Incluso unas pocas horas de inactividad pueden generar pérdidas económicas significativas, haciendo que las empresas sean más vulnerables al chantaje y al ransomware.  

    •  Ecosistemas IT y OT complejos  

       La coexistencia de sistemas IT tradicionales y tecnologías operacionales (OT) crea superficies de ataque amplias y difíciles de gestionar.  

    •  Presencia de tecnologías legacy  

      Muchos entornos de producción dependen de sistemas obsoletos que hoy en día son difíciles de actualizar o reemplazar.  

      Para la ciberdelincuencia, todo esto convierte al sector manufacturing en un objetivo ideal: alto impacto, una elevada probabilidad de éxito y un potencial retorno económico inmediato para los atacantes.  

    NIS 2 en el sector manufacturing: las 5 áreas clave a abordar

    La Directiva NIS 2 impone un enfoque continuo en la gestión de la ciberseguridad. No basta con adoptar medidas técnicas individuales: es necesario construir un modelo organizativo capaz de gobernar el riesgo de forma sistémica, involucrando procesos, tecnologías y personas.  

    Gobernanza y gestión de riesgos  

    Con NIS 2, la ciberseguridad se convierte en un elemento permanente en la agenda de la alta dirección, que asume la responsabilidad directa de definir políticas y supervisar su eficacia. Esto no implica necesariamente una experiencia técnica operativa, sino la capacidad de guiar, decidir y verificar, definiendo prioridades, asignando recursos y evaluando riesgos y resultados. De este modo, la seguridad deja de ser un ámbito exclusivo del IT y pasa a convertirse en una palanca de gobierno corporativo.

    Junto a esto, surge otro elemento central: la necesidad de adoptar un sistema estructurado de gestión del riesgo cibernético, es decir, un proceso continuo de identificación de activos críticos, análisis de vulnerabilidades, evaluación de impactos potenciales y definición de medidas de mitigación coherentes.

    Convergencia IT/OT y seguridad del entorno de producción  

    Uno de los elementos clave de la digitalización en el sector manufacturing es la convergencia entre IT y OT (Operational Technology), donde OT se refiere a los sistemas que controlan directamente la producción, desde PLCs hasta sistemas SCADA, incluyendo actuadores individuales y líneas de producción totalmente automatizadas. Esta es una característica distintiva del sector manufacturing frente a muchos otros y, al mismo tiempo, una de las más complejas de gestionar.

    Los entornos OT no fueron diseñados originalmente para estar expuestos a amenazas cibernéticas. Se construyeron en contextos cerrados, con prioridad absoluta en la continuidad operativa, la estabilidad y la seguridad (física), más que en la protección frente a ataques externos. Sin embargo, con la creciente integración con sistemas IT y los paradigmas de la Industria 4.0, estos entornos pasan a formar parte de un ecosistema interconectado, aumentando significativamente la superficie de ataque.

    Modelos como el Purdue Model ayudan a estructurar esta complejidad al definir niveles y proponer la segmentación entre entornos IT y OT. En la práctica, sin embargo, la cuestión no es solo arquitectónica: también se refiere a la gestión concreta de las interacciones entre sistemas con lógicas, prioridades y ciclos de vida diferentes.

    NIS 2 no aborda explícitamente el OT, pero al imponer un enfoque de seguridad de 360 grados, lo involucra inevitablemente. Aquí es donde surge uno de los retos más relevantes para el sector manufacturing: proteger entornos críticos sin comprometer su funcionamiento y, en consecuencia, la seguridad física de los operadores. Un equilibrio delicado que requiere experiencia específica en seguridad industrial, mucho más allá de la ciberseguridad IT tradicional.

    Seguridad de la cadena de suministro  

    NIS 2 amplía el alcance de la seguridad introduciendo un principio clave: la responsabilidad no termina en la propia postura de ciberseguridad, sino que también se extiende a las entidades con las que la organización está interconectada.

    Para el sector manufacturing, el reto es complejo porque las empresas operan dentro de cadenas de suministro estructuradas, a menudo globales, compuestas por proveedores, socios logísticos, subcontratistas e integradores tecnológicos. Cada uno de estos actores puede representar un posible punto de entrada y vulnerabilidad para un ciberataque.

    La Directiva de la UE exige mapear, evaluar y gestionar el riesgo a lo largo de toda la cadena de suministro, introduciendo criterios de seguridad en los procesos de selección y gestión de proveedores: definir estándares mínimos de seguridad, verificar las medidas adoptadas y monitorizar posibles incidencias a lo largo del tiempo.

    Fromacion continua y cultura de seguridad  

    NIS 2 reconoce el factor humano como una de las principales fuentes de riesgo y, al mismo tiempo, una palanca para reforzar la postura de seguridad. Por este motivo, la Directiva exige a las empresas estructurar programas de formación continua, no limitados a iniciativas puntuales, sino integrados en los procesos de negocio.  

    Respuesta a incidentes y obligaciones de notificación  

    Otro pilar de NIS 2 es la capacidad de gestionar incidentes de forma rápida y eficaz. La Directiva introduce obligaciones estrictas de notificación: un ataque significativo debe ser comunicado a las autoridades competentes en un plazo de 24 horas desde su identificación.

    Este requisito implica un cambio de enfoque. Ya no es suficiente reaccionar de manera ad hoc: es necesario contar con procesos estructurados de respuesta a incidentes, con roles definidos, procedimientos formalizados y la capacidad de detectar rápidamente eventos anómalos.

    Para las empresas del sector manufacturing, el reto es doble: por un lado, garantizar la visibilidad en entornos complejos y distribuidos; por otro, intervenir sin comprometer la continuidad operativa.

    NIS 2 en el sector manufacturing: cómo abordar el cumplimiento de forma eficaz  

    El camino hacia el cumplimiento de NIS 2 ya está en marcha. Las organizaciones afectadas deben implementar todas las medidas técnicas y organizativas requeridas antes del 1 de octubre de 2026, lo que lo convierte en una prioridad para muchas de ellas.

    Más allá de los hitos individuales, NIS 2 introduce un modelo de gestión de la seguridad continuo. Por ello, en el sector manufacturing es fundamental adoptar un enfoque gradual y progresivo que tenga en cuenta la complejidad de los entornos de producción y las prioridades reales del negocio. A continuación, algunas recomendaciones.

    1. Empieza por el riesgo, no por el checklist

      Un enfoque puramente orientado al cumplimiento puede dar lugar a inversiones ineficientes. Es más eficaz empezar por mapear procesos críticos, activos e impactos potenciales en el negocio, definiendo prioridades claras y acciones progresivas. Posteriormente, un gap analysis permitirá identificar desviaciones respecto a los requisitos de la Directiva y facilitar la creación de un plan de remediación coherente.  

    2.  Involucra al negocio desde el inicio, no solo a IT 

      NIS 2 requiere decisiones que impactan en la producción, la cadena de suministro y la organización. Sin la implicación directa e inmediata de las áreas de negocio y la dirección, existe el riesgo de crear modelos difíciles de aplicar en la práctica y no totalmente alineados con la normativa europea. 

    3.  Evalúa las capacidades actuales de ciberseguridad 

      Además de mapear procesos y activos, es fundamental analizar objetivamente las medidas de seguridad existentes. Pueden surgir desequilibrios significativos: organizaciones fuertes en prevención pero débiles en detección o respuesta a incidentes, o que carecen de planes de continuidad de negocio y recuperación ante desastres correctamente probados. 

    4.  Desarrolla capacidades y elige los partners adecuados

      La complejidad de NIS 2, especialmente en el contexto manufacturing, dificulta abordar todo el proceso únicamente con recursos internos. Por ello, apoyarse en partners con experiencia específica en el sector industrial se convierte en un factor clave.  

    NIS 2 y el sector manufacturing: nuestro apoyo para empresas más seguras y productivas  

    En Kirey ayudamos a las empresas a reforzar su postura de seguridad y garantizar el cumplimiento tanto de normativas generales como específicas del sector. En el caso de NIS 2, nuestro objetivo no es solo cumplir con los requisitos regulatorios, sino construir organizaciones sólidas, resilientes y conscientes, capaces de afrontar los riesgos de la digitalización y convertirlos en una ventaja competitiva.

    Contáctanos para descubrir cómo podemos acompañar a tu empresa hacia un modelo de seguridad más maduro, eficaz y sostenible en el tiempo.

    AI security: cómo defender los sistemas de IA en e...

    La expresión AI security (seguridad de la IA) no tiene un significado único. Por un lado, indica el ...

    La identidad en el centro de la ciberresiliencia

    A cargo de Roberto Marzocca, Head of Cybersecurity de Kirey

    Supply Chain Security y NIS 2: qué cambia para las...

    En la última década, la seguridad extendida a la cadena de suministro (Supply Chain Security) se ha ...