Saltar al contenido
Todo Automatizado
Ciberseguridad Industrial

NIS2: Cómo Automatizar el Cumplimiento Normativo en la Industria sin Morir en el Intento

Automatiza el cumplimiento de NIS2 en tu planta industrial. Herramientas, workflows y pasos prácticos para cubrir los requisitos sin enterrar al equipo en papeleo.

Carlos 16 min de lectura

NIS2: Cómo Automatizar el Cumplimiento Normativo en la Industria sin Morir en el Intento

Keywords secundarias: nis2 cumplimiento automatizado, automatización normativa industrial, nis2 industria herramientas, cumplimiento nis2 ot, gestión riesgos nis2 automatizada, directiva nis2 planta industrial Fecha: 2026-08-15 Autor: Carlos @ automatizatodo.com Categoría: Ciberseguridad Industrial / Normativa


Te han dicho que tu planta entra en el ámbito de NIS2. Tu responsable de ciberseguridad (si lo tienes) te pasa un documento de 80 páginas con los requisitos. Te sientas a leerlo, llegas al artículo 21 y piensas: “¿En serio tenemos que hacer todo esto con hojas de Excel y correos electrónicos?” La respuesta corta es no. La respuesta larga es este artículo sobre cómo automatizar el cumplimiento normativo de NIS2 en la industria con herramientas que ya existen.

Porque el problema de NIS2 no es que los requisitos sean irrazonables — son necesarios. El problema es que cumplirlos de forma manual en un entorno industrial con cientos de activos OT, rotaciones de turno y equipos que llevan diez años sin un parche es un suicidio operativo. La automatización no es un lujo: es la única forma realista de cumplir sin paralizar la producción.

Antes de automatizar nada, necesitas entender qué te piden. La Directiva NIS2 (Directiva UE 2022/2555) amplía el número de sectores obligados a cumplir medidas de ciberseguridad. Si tu empresa opera en energía, agua, alimentación, fabricación, química, transporte o gestión de residuos y supera los 50 empleados o los 10 millones de euros de facturación, probablemente te afecta.

El artículo 21 es el corazón de las obligaciones. Resumido sin abogados de por medio:

  • Análisis de riesgos y políticas de seguridad. Tienes que evaluar los riesgos de tus sistemas de red e información y mantener políticas actualizadas.
  • Gestión de incidentes. Detectar, responder y notificar incidentes significativos. Tienes 24 horas para la alerta inicial y 72 horas para el informe preliminar.
  • Continuidad de negocio. Planes de backup, recuperación ante desastres y gestión de crisis.
  • Seguridad de la cadena de suministro. Evaluar los riesgos de tus proveedores, incluido el software que usan e integran.
  • Gestión de vulnerabilidades. Descubrimiento, divulgación coordinada y parcheo.
  • Formación en ciberseguridad. Para la dirección y para el personal.
  • Criptografía y control de acceso. Políticas de cifrado y gestión de identidades.
  • Autenticación multifactor. MFA o equivalente para accesos críticos.

Para una planta con 200 activos OT (PLCs, HMIs, switches industriales, gateways IoT, estaciones de ingeniería), cumplir cada uno de estos puntos de forma manual significa cientos de horas de trabajo administrativo al año. Horas que tu equipo de mantenimiento no tiene y tu departamento de IT no puede asumir.

Por qué el cumplimiento manual no funciona en entornos OT

Aquí es donde la teoría choca con la realidad de planta. Los consultores de ciberseguridad IT te dirán que “solo” necesitas documentar, auditar y mantener. Pero en OT:

  • Los activos no se inventarían solos. Muchos PLCs y dispositivos embebidos no aparecen en un escaneo de red convencional. Algunos usan protocolos propietarios (Profinet, EtherNet/IP, Modbus TCP) que las herramientas IT ni detectan.
  • Las ventanas de mantenimiento son mínimas. No puedes parar una línea de producción para hacer un escaneo de vulnerabilidades. Cualquier actividad de cumplimiento tiene que convivir con la operación.
  • El personal es escaso y multitarea. El mismo técnico que programa el PLC configura el switch y ahora tiene que rellenar formularios de cumplimiento normativo. Si no automatizas, no cumple o no produce — elige.
  • La documentación caduca al instante. Haces un inventario de activos en enero y en marzo ya han cambiado tres firmwares, han añadido un gateway y han movido un HMI de línea. El Excel está obsoleto antes de imprimirlo.

La conclusión es clara: si intentas cumplir NIS2 en una planta industrial con procesos manuales, vas a fracasar. O vas a cumplir sobre el papel mientras la realidad de tu red OT es completamente distinta a lo documentado — que es peor, porque te da una falsa sensación de seguridad.

Las 5 áreas de NIS2 que puedes (y debes) automatizar

No todo se puede automatizar, pero una parte enorme sí. Estas son las cinco áreas donde la automatización tiene más impacto y mejor retorno:

1. Inventario y descubrimiento de activos OT

El requisito: NIS2 exige conocer tus activos y sus riesgos. No puedes proteger lo que no sabes que tienes.

La automatización: Herramientas de descubrimiento pasivo de activos OT como Nozomi Networks, Claroty o la alternativa open source Grassmarlin analizan el tráfico de red sin enviar paquetes — fundamental para no interferir con PLCs sensibles. Se conectan al puerto mirror de un switch industrial y construyen un mapa de activos con fabricante, modelo, firmware y protocolos en uso.

Workflow práctico con n8n:

  1. La herramienta de descubrimiento exporta su inventario vía API cada 24 horas.
  2. Un workflow de n8n compara el inventario nuevo con el anterior.
  3. Si detecta cambios (nuevo activo, firmware modificado, activo desaparecido), genera una alerta en tu canal de Telegram o Teams.
  4. Registra el cambio en una base de datos PostgreSQL con marca de tiempo — tu log de auditoría.

Resultado: inventario actualizado 24/7 sin que nadie abra un Excel.

2. Gestión automatizada de vulnerabilidades

El requisito: Identificar, priorizar y gestionar vulnerabilidades de forma continua.

La automatización: Una vez tienes el inventario de activos con versiones de firmware y software, puedes cruzarlo automáticamente contra bases de datos de vulnerabilidades.

Workflow práctico:

  1. Un cron diario consulta la API de NIST NVD (National Vulnerability Database) o la base de datos de ICS-CERT buscando CVEs que afecten a los productos de tu inventario.
  2. Cruza los CVEs encontrados con tus activos: ¿tienes un Siemens S7-1500 con firmware V2.9.4? ¿Hay un CVE publicado para esa versión?
  3. Clasifica por severidad CVSS y por criticidad del activo en tu proceso (no es lo mismo un PLC que controla un horno que uno que cuenta piezas).
  4. Genera un ticket en tu sistema de gestión (Jira, Redmine, incluso un Trello) con la información del CVE, el activo afectado y la prioridad calculada.
  5. Envía un resumen semanal al responsable de ciberseguridad con las vulnerabilidades abiertas, las gestionadas y las pendientes.

Con este enfoque, pasas de “no sabemos qué vulnerabilidades nos afectan” a “tenemos un pipeline automatizado que nos avisa antes de que nos lo diga el regulador” — o peor, un atacante.

3. Notificación y gestión de incidentes

El requisito: NIS2 establece plazos estrictos: 24 horas para la alerta temprana al CSIRT competente (en España, INCIBE-CERT para sectores estratégicos o CCN-CERT para administración pública), 72 horas para el informe de incidente y un mes para el informe final.

La automatización: No puedes automatizar la decisión de qué constituye un incidente significativo (eso requiere criterio humano), pero sí puedes automatizar el 80% del proceso:

  • Detección: Los sistemas IDS/IPS industriales (Suricata con reglas OT, Zeek, Snort) detectan anomalías y generan alertas estructuradas.
  • Enriquecimiento: Un workflow recoge la alerta, consulta el inventario de activos para añadir contexto (qué activo, qué zona, qué proceso), consulta el histórico de alertas similares y genera un informe preliminar.
  • Notificación interna: Escala automáticamente según la severidad. Alerta crítica en un PLC de seguridad → llamada al responsable. Alerta informativa en un switch → registro en el log.
  • Plantilla regulatoria: Prepara el formulario de notificación a INCIBE-CERT con los campos ya rellenados (tipo de incidente, activos afectados, impacto estimado, medidas tomadas). El responsable solo revisa y envía.
  • Seguimiento de plazos: Un temporizador automático avisa cuando quedan 12 horas para el deadline de 24h, cuando quedan 24h para el de 72h y cuando se acerca el plazo del informe final.

La diferencia entre tener esto automatizado y no tenerlo es la diferencia entre cumplir los plazos o recibir una sanción que puede llegar a los 10 millones de euros (o el 2% de la facturación global para entidades esenciales).

4. Auditoría continua y generación de evidencias

El requisito: Demostrar ante el regulador que cumples de forma continuada, no solo el día de la auditoría.

La automatización: Este es quizás el punto donde más tiempo ahorra la automatización. En lugar de preparar una auditoría anual recopilando documentos a última hora, generas evidencias de forma continua:

  • Logs centralizados. Todos los dispositivos OT que permitan syslog (switches gestionados, firewalls industriales, servidores SCADA) envían logs a un SIEM o a un stack ELK (Elasticsearch, Logstash, Kibana). Si usas Grafana Loki, tienes una alternativa más ligera y gratuita.
  • Dashboards de cumplimiento. Un panel en Grafana muestra en tiempo real el estado de cumplimiento: activos inventariados vs. total estimado, vulnerabilidades abiertas por severidad, incidentes en los últimos 30 días, políticas revisadas vs. pendientes.
  • Informes automáticos. Un workflow mensual genera un PDF con el estado de cumplimiento, lo firma digitalmente y lo archiva. Cuando llegue el auditor, le entregas 12 meses de informes generados automáticamente en vez de un Excel hecho la semana anterior.
  • Control de cambios. Cada modificación en la configuración de un PLC o un switch se registra automáticamente. Herramientas como Unimus o RANCID para dispositivos de red, y soluciones de backup de configuración de PLC como Versiondog o CODESYS, mantienen un historial versionado.

5. Formación y concienciación automatizada

El requisito: NIS2 exige que la dirección reciba formación en ciberseguridad y que el personal esté concienciado.

La automatización: No vas a reemplazar un curso presencial con un bot, pero puedes automatizar la logística y el seguimiento:

  • Campaña de phishing simulado automatizada. Herramientas como GoPhish (open source) permiten programar campañas periódicas de prueba. Un workflow en n8n puede programar las campañas, recopilar resultados y generar informes de quién cayó, quién reportó y cómo evoluciona la tasa a lo largo del tiempo.
  • Microformaciones automáticas. Un mensaje semanal por Telegram o email al equipo con un consejo de ciberseguridad industrial: “¿Sabías que conectar un USB no autorizado a una estación de ingeniería puede comprometer toda la red OT?” Corto, directo, regular.
  • Registro de formación. Cada curso completado, cada certificación obtenida y cada campaña de phishing realizada se registra automáticamente en una base de datos. Cuando el auditor pregunte “¿su personal recibe formación?”, le muestras datos, no buenas intenciones.

Stack tecnológico para automatizar NIS2 en tu planta

Hay dos caminos: comprar una plataforma GRC (Governance, Risk, Compliance) que prometa hacerlo todo, o construir un stack con herramientas que ya conoces y que puedes controlar. Para una PYME industrial, el segundo camino suele ser más realista — y más barato.

Herramientas recomendadas por capa

Descubrimiento de activos OT:

  • Nozomi Networks Guardian o Claroty (comerciales, potentes)
  • Grassmarlin (open source, mantenido por la NSA hasta 2019, comunidad activa)
  • Un script Python con Scapy para descubrimiento pasivo básico en redes Modbus/TCP

Gestión de vulnerabilidades:

  • OpenVAS/Greenbone para escaneos activos (solo en ventanas de mantenimiento)
  • API de NIST NVD para correlación de CVEs con inventario
  • Dependency-Track (open source) para gestionar SBOMs y vulnerabilidades

Orquestación de workflows:

  • n8n (self-hosted, open source) para conectar todo: APIs, alertas, notificaciones, informes
  • Alternativamente, scripts Python con cron si prefieres control total

Centralización de logs:

  • Grafana + Loki para logs y dashboards (ligero, gratuito)
  • Wazuh (open source SIEM) si necesitas correlación de eventos y detección de amenazas
  • ELK Stack si ya lo tienes montado en IT

Gestión de evidencias:

  • PostgreSQL para almacenar registros de auditoría
  • Git para versionar políticas y documentación (cada cambio queda registrado con autor y fecha)
  • n8n para generar informes periódicos en PDF

Notificaciones:

  • Telegram Bot API para alertas instantáneas al equipo
  • Email con SMTP para notificaciones formales
  • PagerDuty o Opsgenie para escalado de incidentes críticos

Ejemplo de arquitectura mínima viable

Red OT (PLCs, HMIs, SCADA)

      ▼ (puerto mirror)
Sensor de descubrimiento pasivo

      ▼ (API REST)
n8n (orquestador central)

      ├──▶ PostgreSQL (inventario + logs de auditoría)
      ├──▶ Grafana (dashboards de cumplimiento)
      ├──▶ NIST NVD API (correlación de CVEs)
      ├──▶ Telegram (alertas al equipo)
      └──▶ Generador PDF (informes mensuales)

Este stack completo se monta en un servidor Linux con 4 GB de RAM. No necesitas una infraestructura de la NASA para cumplir NIS2 de forma automatizada. Necesitas criterio para conectar las piezas.

Hoja de ruta: de cero a cumplimiento automatizado en 90 días

No intentes automatizar todo a la vez. Esta hoja de ruta prioriza por impacto y factibilidad:

Semana 1-2: Inventario y base de datos

  • Despliega un sensor pasivo en la red OT (o configura un puerto mirror y usa Grassmarlin).
  • Crea una base de datos PostgreSQL con las tablas: activos, vulnerabilidades, incidentes, formaciones, políticas.
  • Importa el primer inventario de activos.
  • Resultado: sabes qué tienes.

Semana 3-4: Gestión de vulnerabilidades

  • Configura un workflow en n8n que consulte NIST NVD diariamente y cruce con tu inventario.
  • Define una matriz de priorización: severidad CVSS × criticidad del activo en el proceso.
  • Genera los primeros tickets de vulnerabilidades pendientes.
  • Resultado: sabes qué riesgos tienes.

Semana 5-8: Incidentes y logs

  • Centraliza los logs de tus dispositivos gestionados en Grafana Loki o Wazuh.
  • Configura reglas de detección básicas (acceso no autorizado, cambio de configuración, comunicación anómala).
  • Crea el workflow de notificación de incidentes con plantilla regulatoria.
  • Resultado: detectas y puedes notificar.

Semana 9-12: Auditoría continua y formación

  • Monta los dashboards de cumplimiento en Grafana.
  • Automatiza la generación de informes mensuales.
  • Despliega GoPhish para campañas de phishing simulado.
  • Programa las microformaciones semanales por Telegram.
  • Resultado: demuestras cumplimiento continuo.

Al final de los 90 días tienes un sistema que trabaja para ti 24/7. No es perfecto — ningún sistema lo es al principio — pero es infinitamente mejor que una carpeta de Excel que nadie actualiza.

Los errores que más veo al automatizar el cumplimiento

Llevo años viendo plantas industriales intentar cumplir normativas. Estos son los errores que se repiten:

Automatizar sin entender el requisito. Si no sabes qué te pide NIS2, no puedes automatizarlo. Primero lee el artículo 21, entiende cada punto y luego busca cómo automatizarlo. El orden importa.

Escaneo activo en redes OT sin planificar. Un Nessus lanzado contra una red con PLCs Siemens S7-300 puede tumbar la producción. En OT, el descubrimiento es pasivo o no es. Los escaneos activos solo en ventanas de mantenimiento planificadas y con el equipo de operaciones avisado.

Confiar ciegamente en una plataforma GRC. Las plataformas de GRC empresariales cuestan desde 50.000€/año y prometen cumplir “con un clic”. La realidad: necesitas alimentarlas con datos que alguien tiene que recopilar, configurar los conectores con tus sistemas OT (que a menudo no soportan) y mantener la configuración actualizada. Para una PYME industrial, suele ser más eficaz un stack open source bien configurado.

Ignorar la cadena de suministro. NIS2 te hace responsable de los riesgos de tus proveedores. No basta con tener tu planta controlada: necesitas saber qué software instalan tus integradores, qué librerías usan los fabricantes de tus PLCs y qué acceso remoto tienen tus proveedores de mantenimiento. Automatiza la gestión de SBOMs de tus proveedores — nuestra guía de SBOM en ciberseguridad industrial te explica cómo hacerlo paso a paso.

No involucrar a la dirección. NIS2 hace personalmente responsables a los directivos. Si la dirección no entiende por qué estás montando estos sistemas, no va a apoyar el proyecto. Prepara un informe ejecutivo con tres datos: qué riesgo tiene la empresa (multas de hasta 10M€ o 2% de facturación), qué cuesta automatizar el cumplimiento y qué cuesta no hacerlo.

Sanciones NIS2: los números que tu dirección necesita ver

A veces, el mejor argumento para invertir en automatización es el coste de no hacerlo:

  • Entidades esenciales: Multas de hasta 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor).
  • Entidades importantes: Multas de hasta 7 millones de euros o el 1,4% de la facturación anual global.
  • Responsabilidad de la dirección: Los directivos pueden ser considerados personalmente responsables si no se toman las medidas adecuadas. NIS2 permite incluso la prohibición temporal de ejercer funciones directivas.

Comparado con estos números, el coste de un stack de automatización basado en herramientas open source (básicamente el tiempo de un ingeniero durante 90 días) es una inversión ridícula.

NIS2 y la transposición en España: dónde estamos

España ha publicado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que transpone NIS2 al ordenamiento jurídico español. Los puntos clave para la industria:

  • INCIBE se consolida como el CSIRT de referencia para el sector privado y los sectores estratégicos.
  • CCN-CERT mantiene su papel para la administración pública.
  • El Esquema Nacional de Seguridad (ENS) se alinea con los requisitos de NIS2, lo que significa que si ya cumples ENS en alguna categoría, parte del camino ya lo tienes recorrido.
  • Se espera que la ley definitiva incluya un régimen sancionador en línea con los máximos que establece la directiva.

La recomendación es no esperar a que la ley esté publicada en el BOE. Los requisitos de NIS2 ya están en vigor a nivel europeo desde octubre de 2024. Si empiezas ahora, cuando la transposición sea definitiva estarás cumpliendo desde el día uno — en vez de corriendo para ponerte al día con un plazo encima.

Recursos externos de referencia

Automatizar NIS2 no es opcional — es supervivencia operativa

Si tu planta industrial cae en el ámbito de NIS2 (y si estás leyendo esto, probablemente sí), tienes dos opciones: cumplir de forma manual y enterrar a tu equipo en papeleo que no produce nada, o automatizar los procesos de cumplimiento y convertir la normativa en un sistema que trabaja en segundo plano.

La automatización del cumplimiento normativo de NIS2 en la industria no requiere un presupuesto millonario. Requiere entender qué te piden, elegir las herramientas correctas y conectarlas con criterio. Un servidor Linux, n8n, PostgreSQL, Grafana y un sensor pasivo OT. Con eso y 90 días de trabajo estructurado, pasas de “no sabemos ni qué activos tenemos” a “tenemos un sistema que detecta, registra, alerta y genera evidencias de forma continua”.

El regulador va a llamar a tu puerta. La pregunta no es si, sino cuándo. Y cuando lo haga, la diferencia entre tener un sistema automatizado y tener una carpeta de Excel va a ser la diferencia entre una auditoría que pasa limpia y una sanción de siete cifras.

¿Necesitas ayuda para montar tu sistema de cumplimiento NIS2 automatizado? Contacta con nosotros — diseñamos la arquitectura, configuramos los workflows y te dejamos un sistema funcionando, no un informe de consultoría que se queda en un cajón.

#n8n #python #plc #scada #iot #ia #automatización #ciberseguridad #open source #pyme

Sigue leyendo