Cero confianza en el proveedor de energía: lo que ahora revelan las auditorías de NIS2

8 Min. de lectura

El 29 de abril de 2026, CISA, el Departamento de Energía de Estados Unidos y cuatro agencias más publicaron una recomendación conjunta sobre la aplicación de los principios de Zero-Trust en las tecnologías operativas. Tres semanas después, en Alemania comienzan los primeros auditorías del BSI conforme a la Ley de Implementación de NIS2, que entró en vigor el 6 de diciembre de 2025. De este modo, los proveedores de energía se encuentran bajo un doble estrés. Quienes operan con una red plana, con identidades compartidas entre TI y OT, ya no son considerados como el estado de la técnica según el nuevo catálogo de seguridad TI de la BNetzA. Volt Typhoon demostró el año pasado para qué se utiliza esto en la práctica.

Lo más importante en resumen

NIS2 en el sector energético está en vigor desde diciembre de 2025. Las obligaciones del BSI y de la BNetzA están vigentes, y las auditorías comenzarán de forma productiva a partir del verano de 2026. La inscripción en el BBK conforme a la Ley General de Protección de Datos debe completarse antes del 17 de julio de 2026.
Zero-Trust para OT no se copia de la TI. La recomendación de CISA del 29 de abril de 2026 deja claro que la segmentación, los límites de identidad y la visibilidad de los activos deben diseñarse para cumplir con las restricciones de SCADA, sistemas de protección y sistemas de control, y no ser implementadas de manera retroactiva.
La brecha más común se encuentra en la frontera entre TI y OT. Cuentas de servicio compartidas, estructuras de dominio compartidas y accesos de mantenimiento sin segmentación son, en 2026, el camino por el cual las infracciones en TI pueden llegar hasta la sala de control.

Relacionado:MFA adaptativa como herramienta de Zero-Trust / La aplicación de NIS2 afecta a 29.500 empresas

Cómo un proveedor de energía de la región de DACH empieza con Zero-Trust en 2026

La imagen siguiente condensa, a partir de varios programas de proveedores debatidos públicamente, un procedimiento típico, no un solo grupo empresarial. Los nombres reales se omiten deliberadamente porque faltan fuentes públicas confiables. Quien busca una historia de proveedor acabada está equivocado aquí. Quien busca el punto de partida para su propia hoja de ruta encontrará un enfoque realista.

La situación inicial es la de un operador de red de distribución en el rango de tres dígitos de MW, con varios subestaciones, una sala de control propia, un entorno TI centrado en Microsoft y una red ICS que ha evolucionado históricamente. En 2025, la BNetzA incluyó al proveedor en el listado KRITIS, y el estatus de NIS2 llegó tras la entrada en vigor de la Ley de Implementación en diciembre de 2025. La presión de auditoría proviene, al mismo tiempo, del catálogo de seguridad TI de la BNetzA y de la preparación para la certificación ISO-27019.

El primer resultado sólido de una auditoría realizada durante el pre‑evaluación interno resultó incómodo. Hubo 41 cuentas de servicio con permisos en ambos mundos. Cinco VPN de mantenimiento que podían acceder a segmentos de OT sin MFA. Una estructura de Active Directory que habría permitido que un administrador de dominio comprometido llegara directamente a la sala de control. Este es precisamente el patrón que la recomendación de CISA advierte explícitamente.

Cinco pasos que realmente han respaldado el programa

En lugar de diseñar una arquitectura Zero Trust desde cero, se trabajó en cinco pasos priorizados. Cada uno generó un artefacto de auditoría que el auditor financiero puede comprender sin necesidad de explicaciones adicionales.

Cinco pasos priorizados para Zero Trust en la empresa suministradora de energía

Paso 1

Inventario de activos en TI y OT desde una única vista. Antes de cualquier política, existe la lista de dispositivos, protocolos, versiones de firmware y propietarios. Sin este inventario, la segmentación sigue siendo solo teoría. En la práctica: escucha pasiva en el puerto espejo de OT, comparada con el estado registrado en la CMDB.

Paso 2

Separación de identidades en la frontera entre TI y OT. Se eliminan las cuentas de servicio compartidas; las cuentas de OT se trasladan a un área de identidad independiente con ciclos de vida propios. Factores resistentes al phishing, como FIDO2 para accesos administrativos, ya no son negociables.

Paso 3

Microsegmentación desde el nivel Purdue 3. El corte rígido se establece entre Operaciones de Fabricación (Nivel 3) y Control de Procesos (Nivel 2). Cada transición pasa por un gateway explicativo, y cada regla tiene un responsable. Por defecto, se aplica denegar, no permitir.

Paso 4

Detección de amenazas específicas para OT con su propio catálogo de casos de uso. El sistema de detección de ataques conforme a las directrices del BSI cubre patrones propios de OT, no solo la lógica de TI. Anomalías en Modbus, IEC 60870-5-104 o DNP3 requieren detectores dedicados y rutas de escalación hacia el SOC.

Paso 5

Respuesta ante incidentes con ruta al BBK y notificación en 24 horas. La primera notificación NIS2 al BSI debe realizarse en un plazo de 24 horas, mientras que la versión final se presenta dentro de las 72 horas. La ruta hacia el BBK, establecida por la ley marco de KRITIS, se ensaya paralelamente. Los manuales de respuesta diferencian entre incidentes de TI y OT.

El orden no es una mera sugerencia. Quien comienza por el paso tres sin conocer previamente la situación de los activos y las identidades termina segmentando sobre suposiciones. Eso no resiste ninguna situación de presión.

29.500

Las instalaciones alemanas están sujetas a la implementación de la Directiva NIS2, seis veces más que bajo la anterior regulación de KRITIS. Las multas pueden alcanzar hasta 10 millones de euros, y la obligación de notificar inicialmente es de 24 horas.

Fuente: BSI / OpenKRITIS, datos de marzo de 2026

Qué significa la recomendación de la CISA para las empresas suministradoras del DACH

La recomendación conjunta del 29 de abril de 2026 no es solo una lectura estadounidense. Proporciona cuatro puntos que aparecerán en todas las auditorías de las empresas del DACH. Primero, las identidades entre TI y OT no deben compartirse. Segundo, la visibilidad a nivel de activos y protocolos es indispensable para la segmentación. Tercero, el principio de “denegar por defecto” debe aplicarse en OT sin bloquear las operaciones. Cuarto, la respuesta ante incidentes en OT requiere manuales propios y simulacros específicos.

Volt Typhoon se menciona explícitamente en la recomendación. El patrón de comprometer credenciales de TI y lateralizar en OT se ha convertido en estándar. Una empresa suministradora que no separa sus identidades de OT confía únicamente en la protección de su dominio de TI. Sin embargo, esa protección ha fallado en varios incidentes públicos.

Dónde siguen fallando los proveedores en 2026

Tres errores aparecen con mayor frecuencia en la práctica. El primero es organizativo. La seguridad OT depende de las operaciones, la seguridad IT del área del CIO. Sin una responsabilidad compartida, anclada en la dirección general, cualquier estrategia Zero-Trust se desmorona por la costura. NIS2 hace explícitamente responsable a la dirección, lo que hace políticamente insostenible la separación.

El segundo error es técnico. Las VPN de mantenimiento para fabricantes de equipos se tratan como un caso especial y, por tanto, se excluyen de la microsegmentación. Precisamente esto se menciona como vector inicial en varios incidentes públicos del sector energético de los últimos dos años. Quien permita aquí una excepción generalizada, socava su propio concepto.

El tercer error es procesal. El plazo de 24 horas para la notificación inicial de NIS2 rara vez se ensaya. En la realidad, significa que un servicio de guardia debe poder emitir la notificación autorizada sin despertar al consejo de administración. Sin simulacros de notificación y sin una cadena de escalado documentada, el plazo no se cumplirá en caso de emergencia.

El proveedor del caso descrito arriba abordó exactamente estos tres puntos antes de desplegar el programa técnico. Tres meses antes de la primera auditoría del BSI. Ese es el periodo pragmático en el que los puntos pendientes pueden cerrarse realmente. Quien empiece en junio, solo tendrá diapositivas en septiembre.

Preguntas frecuentes

¿Cuándo comienza la primera auditoría del BSI tras la Ley de Implementación de NIS2?

La Ley de Implementación de NIS2 entró en vigor el 6 de diciembre de 2025, el plazo de registro está en curso. La supervisión del BSI está en fase operativa desde mayo de 2026, y se esperan las primeras auditorías a proveedores de energía críticos (KRITIS) para el verano de 2026. Quien no pueda documentar las medidas de gestión de riesgos según el artículo 21 de NIS2, tiene aquí un problema.

¿Qué diferencia al Zero-Trust en OT del Zero-Trust en IT?

Los entornos OT tienen requisitos estrictos de disponibilidad y latencia, protocolos heredados sin cifrado y dispositivos que no admiten parches. Una lógica IT, basada en la verificación continua en cada solicitud, no es fácilmente aplicable en un sistema de control. Por ello, la recomendación de la CISA del 29 de abril de 2026 formula una interpretación propia para OT: la segmentación, los límites de identidad y la visibilidad de activos son previos, la verificación continua se implementa de forma escalonada.

¿Qué papel juega la ISO 27019 en la práctica de auditoría de NIS2?

La ISO 27019 es la extensión específica para el sector energético de la ISO 27001. Cubre controles específicos de OT que el catálogo puro de ISO 27001 no aborda. En el catálogo de seguridad IT de la BNetzA se exige la certificación según ISO 27001 más 27019. La gestión de riesgos de NIS2 y los requisitos de ISO 27019 se solapan, por lo que las auditorías pueden combinarse si la documentación es correcta.

¿Deben integrarse completamente las VPN de mantenimiento en la microsegmentación?

Sí, con identidades propias, temporales y detección en la ruta. Las excepciones generales para fabricantes de equipos ya no son justificables según la recomendación de la CISA y la práctica de auditoría. La asignación Just-in-Time de accesos, combinada con grabación de sesiones, sustituye al túnel Site-to-Site permanente.

¿Cómo se atiende al BBK bajo la Ley Marco KRITIS junto al BSI?

La Ley Marco KRITIS aborda la resiliencia física, el sabotaje y las amenazas híbridas; NIS2, la seguridad IT. Ambas vías discurren en paralelo, con registros separados. Los proveedores deben estar registrados adicionalmente ante el BBK antes del 17 de julio de 2026. Operativamente, conviene estructurar las notificaciones de incidentes, ejercicios y planes de emergencia de modo que una notificación atienda la vía competente correspondiente, sin duplicar esfuerzos.