NIS2 ya es obligatoria. CRA está en camino. El ENS lleva años aplicándose, aunque muchas empresas industriales todavía no se han dado cuenta de que les afecta. La regulación de ciberseguridad ya no es algo que solo preocupe a los bancos o a las telcos.
El problema es que casi toda la información que circula sobre estas normativas está escrita desde IT. Y tiene sentido, porque nacieron en ese contexto. Pero cuando intentas aplicar NIS2 a una planta con PLCs de hace 15 años, con protocolos industriales que no entienden de cifrado y con ventanas de mantenimiento de dos horas al mes, te das cuenta de que hace falta una traducción.
He visto empresas industriales enterarse de que NIS2 les afectaba cuando su cliente principal les pidió evidencias de cumplimiento. Sin plazo, sin preparación, sin saber por dónde empezar. No es la excepción.
Esa traducción es lo que quiero hacer aquí. Coger la regulación y explicar qué significa para alguien que gestiona o protege un entorno industrial. Sin alarmar, sin simplificar, sin vender miedo.
Voy a hablar de plazos reales, de lo que te van a pedir los auditores, de cómo IEC 62443 encaja con NIS2 (y por qué sin ese puente, cumplir normativa se convierte en un ejercicio de rellenar documentos que nadie lee). También de CRA, que va a cambiar las reglas para los fabricantes de software y componentes industriales.
Porque una cosa es que la ley exista y otra es saber qué hacer el lunes por la mañana en tu planta.
Regulación vista desde la planta. Eso es lo que encontrarás aquí.
Esta entrada se actualizará a medida que publique contenido en esta categoría.