¿Cuál es la diferencia entre IEC 62443 y NIST SP 800-82?

IEC 62443 es un estándar internacional prescriptivo con requisitos específicos, niveles de seguridad medibles (SL1-SL4), y programas de certificación. NIST SP 800-82 es una guía de mejores prácticas del gobierno estadounidense, más flexible y orientativa. IEC 62443 te dice exactamente qué controles implementar para cada nivel de seguridad. NIST SP 800-82 te guía sobre cómo adaptar los controles de NIST SP 800-53 a entornos OT.

¿Qué significan los niveles de seguridad SL1 a SL4?

SL1 protege contra violaciones casuales o accidentales. SL2 protege contra ataques intencionales con recursos limitados (script kiddies, insiders sin privilegios). SL3 protege contra ataques sofisticados con recursos moderados (cibercriminales, hacktivistas). SL4 protege contra ataques de actores estatales con recursos significativos. La mayoría de infraestructuras críticas aspiran a SL3. SL4 se reserva para objetivos de alto valor como plantas nucleares o redes eléctricas nacionales.

¿Es obligatorio cumplir con IEC 62443?

Depende de la jurisdicción y el sector. En la UE, NIS2 requiere medidas de seguridad para operadores de servicios esenciales, y IEC 62443 es el estándar de referencia para demostrar cumplimiento en OT. NERC CIP es obligatorio para el sector eléctrico en Norteamérica. En España, el ENS referencia IEC 62443 como estándar aplicable para sistemas de control industrial de la Administración y operadores críticos.

¿Cuánto cuesta certificarse en IEC 62443?

La certificación varía según el alcance. Para un producto (ISASecure EDSA/SSA), el coste oscila entre 50.000 y 200.000 euros incluyendo consultoría, preparación y auditoría. Para un sistema (IEC 62443-3-3), depende de la complejidad. Para una organización (IEC 62443-2-4), el coste incluye la implementación del CSMS (Cyber Security Management System) y puede llegar a varios cientos de miles de euros para grandes organizaciones.

IntermedioICSOTIEC 62443NISTframeworkscumplimiento normativo

IEC 62443 y NIST SP 800-82: Frameworks de Seguridad para OT/ICS

Guía comparativa de los principales frameworks de seguridad para OT/ICS. IEC 62443 (niveles de seguridad SL1-SL4, zonas y conductos, certificación), NIST SP 800-82, NERC CIP. Roadmap de implementación, mapeo con ENS y NIS2, y certificaciones de fabricantes.

MalwareIntel Research·6 de junio de 2026·14 min lectura

Serie: Malware IoT/OT/ICS — Parte 11

Frameworks de seguridad OT: por qué importan

La seguridad de sistemas de control industrial no puede abordarse con los mismos frameworks que la seguridad IT. Los protocolos son diferentes, las prioridades son diferentes, los ciclos de vida son diferentes, y las consecuencias de un fallo son diferentes. Un fallo de seguridad en IT puede significar una brecha de datos. Un fallo en OT puede significar una explosión, un apagón o un vertido tóxico.

Los frameworks de seguridad OT/ICS proporcionan un lenguaje común, requisitos medibles, y un camino estructurado hacia la madurez. Este artículo analiza los tres frameworks principales (IEC 62443, NIST SP 800-82, NERC CIP), cómo se comparan, y cómo abordar su implementación.

IEC 62443: el estándar internacional para seguridad industrial

IEC 62443 (antes ISA/IEC 62443, originalmente ISA-99) es la serie de estándares más completa para seguridad de sistemas de automatización y control industrial (IACS). Desarrollada conjuntamente por ISA e IEC, cubre todo el ciclo de vida de la seguridad OT: desde la gobernanza organizativa hasta los requisitos de componentes individuales.

Estructura de la serie

IEC 62443 se organiza en cuatro bloques:

Bloque 1: General (62443-1-x). Conceptos, terminología y modelos de referencia.

62443-1-1: Terminología, conceptos y modelos.
62443-1-2: Glosario de términos.
62443-1-3: Métricas de conformidad del sistema.

Bloque 2: Políticas y procedimientos (62443-2-x). Requisitos para el operador del sistema (asset owner).

62443-2-1: Requisitos para un CSMS (Cyber Security Management System). Define cómo establecer, implementar, mantener y mejorar la seguridad de un IACS.
62443-2-4: Requisitos para proveedores de servicios de integración y mantenimiento. Especifica las capacidades de seguridad que un integrador debe demostrar.

Bloque 3: Sistema (62443-3-x). Requisitos de seguridad a nivel de sistema.

62443-3-2: Evaluación de riesgos y diseño de seguridad del sistema. Define zonas, conductos y el proceso de análisis de riesgos.
62443-3-3: Requisitos de seguridad del sistema y niveles de seguridad (SL). Los 7 requisitos fundamentales (FR) con sus requisitos de sistema (SR) y mejoras (RE).

Bloque 4: Componente (62443-4-x). Requisitos para fabricantes de productos.

62443-4-1: Ciclo de vida de desarrollo seguro de productos. Requisitos para el proceso de desarrollo.
62443-4-2: Requisitos de seguridad de componentes. Lo que un PLC, switch, o software SCADA debe implementar.

Niveles de seguridad (SL)

Los niveles de seguridad son el concepto central de IEC 62443. Definen el grado de protección que un sistema proporciona contra diferentes tipos de adversarios.

SL 1: Protección contra violaciones casuales o accidentales. El nivel más básico. Protege contra errores de operador, acceso accidental, y amenazas no intencionales. Controles: autenticación básica, logs, control de acceso simple.

SL 2: Protección contra ataques intencionales con recursos limitados. Protege contra atacantes con motivación pero habilidades y recursos limitados (insiders no privilegiados, script kiddies). Controles: autenticación robusta, cifrado en tránsito, segmentación de red, monitorización de eventos.

SL 3: Protección contra ataques sofisticados con recursos moderados. Protege contra cibercriminales organizados, hacktivistas con capacidad técnica, y competidores. Controles: autenticación multifactor, cifrado en reposo y tránsito, monitorización continua, respuesta a incidentes, segmentación avanzada, validación de integridad.

SL 4: Protección contra ataques de actores estatales. El nivel máximo. Protege contra APTs con recursos significativos, acceso a exploits zero-day, y capacidad de operaciones persistentes. Controles: todo lo anterior más redundancia, verificación formal, canales de comunicación ocultos para detección, y capacidades de respuesta avanzadas.

En la práctica, la mayoría de infraestructuras críticas aspiran a SL-3. SL-4 se reserva para objetivos de máximo valor: plantas nucleares, centros de control de redes eléctricas nacionales, infraestructura militar. La diferencia de coste y complejidad entre SL-3 y SL-4 es significativa.

Los 7 requisitos fundamentales (FR)

IEC 62443-3-3 define siete requisitos fundamentales que cubren todos los aspectos de la seguridad:

FR	Nombre	Descripción
FR 1	Identificación y autenticación	Verificar la identidad de usuarios, procesos y dispositivos
FR 2	Control de uso	Aplicar privilegios basados en roles y permisos
FR 3	Integridad del sistema	Garantizar la integridad del software y los datos
FR 4	Confidencialidad de datos	Proteger la información contra divulgación no autorizada
FR 5	Flujo de datos restringido	Controlar el flujo de información entre zonas
FR 6	Respuesta oportuna a eventos	Detectar y responder a incidentes de seguridad
FR 7	Disponibilidad de recursos	Asegurar la disponibilidad de los recursos del sistema

Cada FR se descompone en requisitos de sistema (SR) y mejoras (RE). Los SRs son obligatorios para un nivel de seguridad dado. Las REs son mejoras opcionales que pueden aplicarse para alcanzar un nivel superior.

Zonas y conductos (62443-3-2)

El concepto de zonas y conductos de IEC 62443 formaliza la segmentación de red OT. Ya cubierto en detalle en el artículo sobre segmentación, los puntos clave son:

Una zona agrupa activos con el mismo nivel de seguridad requerido (SL-T).
Un conducto es el canal de comunicación entre zonas, con sus propios requisitos de seguridad.
El SL-T de una zona se determina por el riesgo: consecuencia del ataque multiplicada por la probabilidad.
Los activos que no pueden alcanzar el SL-T de su zona deben aislarse con controles compensatorios.

Certificación ISASecure

ISASecure es el programa de certificación basado en IEC 62443. Ofrece tres esquemas:

EDSA (Embedded Device Security Assurance). Certifica que un componente (PLC, RTU, switch industrial) cumple los requisitos de IEC 62443-4-2. Incluye pruebas de robustez de comunicaciones, pruebas de seguridad funcional, y evaluación del desarrollo.

SSA (System Security Assurance). Certifica que un sistema (SCADA, DCS) cumple IEC 62443-3-3.

SDLA (Security Development Lifecycle Assurance). Certifica que el proceso de desarrollo de un fabricante cumple IEC 62443-4-1.

Fabricantes como Honeywell, Schneider Electric, Siemens y Yokogawa tienen productos certificados ISASecure.

NIST SP 800-82: guía de seguridad OT del NIST

NIST SP 800-82, "Guide to Operational Technology (OT) Security," es la guía de referencia del gobierno estadounidense para seguridad de sistemas de control industrial. La revisión 3 (2023) actualizó significativamente el documento para reflejar la convergencia IT/OT y las amenazas actuales.

Estructura del documento

SP 800-82 Rev. 3 se organiza en seis secciones principales:

Introducción a OT. Tipos de sistemas (SCADA, DCS, PLCs), arquitectura de red, convergencia IT/OT.
Riesgos y amenazas OT. Vulnerabilidades específicas de OT, actores de amenaza, incidentes históricos.
Gestión de riesgos OT. Aplicación del Risk Management Framework (NIST RMF) a entornos OT.
Arquitectura de red OT. Segmentación, DMZ, firewalls, VPNs, acceso remoto.
Aplicación de controles de seguridad. Mapeo de controles NIST SP 800-53 Rev. 5 a entornos OT. Esta es la sección más práctica: para cada control de SP 800-53, explica cómo aplicarlo (o adaptarlo) en un contexto OT.
Consideraciones de seguridad específicas de OT. Parcheo, backups, recuperación, seguridad física.

Relación con NIST SP 800-53

SP 800-82 no define sus propios controles. En su lugar, toma los controles de SP 800-53 (el catálogo de controles de seguridad del NIST) y proporciona guía sobre cómo aplicarlos a OT. Para cada control, indica:

Si es aplicable directamente a OT.
Si requiere adaptación (por ejemplo, la frecuencia de parcheo no puede ser la misma que en IT).
Si no es aplicable y por qué (por ejemplo, controles que requieren capacidades que los PLCs no tienen).

Ejemplo: control AC-2 (gestión de cuentas)

En IT, AC-2 implica gestión automatizada de cuentas, revisiones periódicas, desactivación de cuentas inactivas. En OT, SP 800-82 adapta:

Muchos dispositivos OT tienen cuentas compartidas (la cuenta de operador del HMI la usan todos los operadores del turno). El control se adapta para exigir logs detallados de quién usa la cuenta en cada momento.
Los PLCs pueden no soportar cuentas individuales. El control compensatorio es restringir el acceso a la red del PLC.
La revisión de cuentas debe coordinarse con operaciones para no desactivar accidentalmente una cuenta crítica durante producción.

NERC CIP: seguridad obligatoria del sector eléctrico

NERC CIP (North American Electric Reliability Corporation, Critical Infrastructure Protection) es un conjunto de estándares obligatorios para el sector eléctrico en Norteamérica. A diferencia de IEC 62443 (que es voluntario en muchas jurisdicciones) y NIST SP 800-82 (que es una guía), NERC CIP tiene fuerza de ley: el incumplimiento puede resultar en multas de hasta 1 millón de dólares por día por violación.

Estándares CIP principales

Estándar	Nombre	Alcance
CIP-002	BES Cyber System Categorization	Clasificación de sistemas según su impacto en el BES (Bulk Electric System)
CIP-003	Security Management Controls	Políticas y planes de seguridad
CIP-004	Personnel & Training	Formación en seguridad, gestión de acceso basada en roles
CIP-005	Electronic Security Perimeter	Perímetro electrónico de seguridad (firewalls, acceso remoto)
CIP-006	Physical Security of BES Cyber Systems	Seguridad física de los sistemas
CIP-007	System Security Management	Parcheo, antimalware, logging, puertos y servicios
CIP-008	Incident Reporting and Response	Planes de respuesta y reporte de incidentes
CIP-009	Recovery Plans	Planes de recuperación y continuidad
CIP-010	Configuration Change Management	Gestión de cambios y evaluación de vulnerabilidades
CIP-011	Information Protection	Protección de información BES Cyber System Information
CIP-013	Supply Chain Risk Management	Gestión de riesgos de cadena de suministro
CIP-014	Physical Security	Protección física de subestaciones y centros de control críticos

Clasificación por impacto

NERC CIP clasifica los BES Cyber Systems en tres categorías de impacto:

High Impact: centros de control que operan más de 1.500 MW, ciertos centros de transmisión. Todos los requisitos CIP aplican al nivel más estricto.
Medium Impact: subestaciones de transmisión por encima de ciertos umbrales, plantas de generación por encima de 1.500 MW en agregado.
Low Impact: el resto de activos BES. Requisitos reducidos pero no inexistentes.

Tabla comparativa de frameworks

Aspecto	IEC 62443	NIST SP 800-82	NERC CIP
Tipo	Estándar internacional	Guía de mejores prácticas	Regulación obligatoria
Alcance	Todos los sectores industriales	Todos los sectores (guía)	Solo sector eléctrico (Norteamérica)
Prescriptividad	Alta (requisitos específicos por SL)	Media (adapta SP 800-53)	Alta (requisitos específicos)
Certificación	ISASecure (EDSA, SSA, SDLA)	No tiene programa propio	Auditoría obligatoria, multas
Niveles de seguridad	SL 1-4 (granular)	Baselines Low/Moderate/High	High/Medium/Low Impact
Cobertura	Organización, sistema, componente	Sistema principalmente	Sistema y operaciones
Actualización	Continua (series actualizadas periódicamente)	Rev. 3 (2023)	Actualización continua
Coste de cumplimiento	Medio-alto	Bajo (es guía)	Alto (auditorías obligatorias)

Roadmap de implementación

Para una organización que parte de cero en seguridad OT, un roadmap realista:

Fase 1: Visibilidad (meses 1 a 3)

Inventario de activos OT. No se puede proteger lo que no se conoce. Identificar todos los dispositivos en la red OT: PLCs, HMIs, switches, servidores historian, estaciones de ingeniería. Herramientas: descubrimiento pasivo con Claroty o Nozomi.

Mapeo de red. Documentar la topología de red OT, los flujos de comunicación, y los puntos de conexión con IT.

Evaluación de riesgos inicial. Identificar los procesos más críticos y las consecuencias de un compromiso. Esto determina las prioridades de segmentación.

Fase 2: Segmentación básica (meses 3 a 6)

DMZ IT/OT. Implementar la zona desmilitarizada con doble firewall. Eliminar las conexiones directas IT-OT.

Acceso remoto controlado. Jump server con MFA, eliminación de VPNs directas a OT.

Monitorización pasiva. Desplegar sondas de monitorización de red OT para tener visibilidad del tráfico industrial.

Fase 3: Hardening (meses 6 a 12)

Zonas y conductos IEC 62443. Definir las zonas de seguridad, asignar SL-T, documentar conductos.

Micro-segmentación. VLANs por línea de producción o proceso.

Gestión de parches OT. Proceso formal de evaluación y aplicación de parches, con servidor dedicado en la DMZ.

Backup de configuraciones OT. Programa regular de backup de programas de PLC, configuraciones de HMI, y parámetros de control.

Fase 4: Madurez (meses 12 a 18)

Monitorización continua. Detección de anomalías en la red OT, correlación con eventos IT.

Respuesta a incidentes OT. Plan específico para OT, ejercicios de mesa (tabletop), coordinación con CERT.

Evaluación de cumplimiento. Gap analysis contra IEC 62443-3-3 o NIST SP 800-82.

Formación del personal. Operadores OT formados en conciencia de seguridad. Equipo de seguridad formado en protocolos y sistemas OT.

Mapeo con ENS y NIS2

ENS (Esquema Nacional de Seguridad, España)

El ENS no tiene requisitos específicos para OT/ICS, pero su marco es compatible con IEC 62443:

Categorización del sistema: equivalente a los niveles de seguridad de IEC 62443. Un sistema OT de categoría Alta en ENS mapea aproximadamente a SL-3.
Medidas de seguridad: los controles del ENS (org, op, mp) son compatibles con los FR de IEC 62443. La implementación en OT sigue la guía de IEC 62443 para cada control equivalente.
Auditoría: la auditoría ENS puede incluir el cumplimiento de IEC 62443 como evidencia de seguridad de los sistemas OT.

NIS2 (Directiva UE)

NIS2 (en vigor desde octubre de 2024, transposición nacional en 2025) amplía significativamente los requisitos para operadores de servicios esenciales, incluyendo explícitamente los sistemas OT:

Artículo 21: medidas de gestión de riesgos de ciberseguridad que incluyen gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, y medidas técnicas como cifrado y control de acceso.
Sectores afectados: energía, transporte, agua, infraestructura digital, administración pública, espacio, alimentación, manufactura química, y fabricación crítica, entre otros.
Sanciones: hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales.

IEC 62443 es el estándar de referencia para demostrar cumplimiento de NIS2 en la parte OT. Implementar IEC 62443-3-3 SL-2 o SL-3 proporciona una base sólida para el cumplimiento.

Certificaciones de fabricantes

Las certificaciones de seguridad de productos OT están ganando relevancia a medida que los operadores las exigen en sus procesos de compra.

Estado actual

Fabricante	Producto certificado	Estándar
Honeywell	Experion PKS	ISASecure SSA, IEC 62443-3-3 SL-2
Schneider Electric	EcoStruxure Foxboro DCS	ISASecure SSA
Yokogawa	CENTUM VP, ProSafe-RS	ISASecure EDSA, SSA
Siemens	SIMATIC S7-1500	IEC 62443-4-1 (proceso), IEC 62443-4-2 (componente)
ABB	Ability Symphony Plus	ISASecure SSA
Emerson	DeltaV	ISASecure SSA

Qué buscar al evaluar productos

IEC 62443-4-1: el fabricante tiene un proceso de desarrollo seguro. Garantiza que las vulnerabilidades se gestionan de forma estructurada.
IEC 62443-4-2: el producto implementa los requisitos de seguridad de componente para un SL específico.
ISASecure EDSA: el producto ha pasado pruebas de robustez de comunicaciones (fuzzing, inyección de paquetes malformados).
ISASecure SSA: el sistema completo cumple los requisitos de IEC 62443-3-3 para un SL específico.

Recursos

Estándares y documentos oficiales

IEC 62443: disponible en iec.ch (de pago, pero los conceptos están ampliamente documentados en guías públicas).
NIST SP 800-82 Rev. 3: csrc.nist.gov (descarga gratuita).
NERC CIP Standards: nerc.com/pa/Stand (acceso público).
ISASecure: isasecure.org (certificaciones y productos certificados).

Guías de implementación

ISA, "Using the ISA/IEC 62443 Standards to Secure Your Control Systems," ISA-TR62443-1-5.
NIST, "Cybersecurity Framework 2.0" (mapeo con SP 800-82 para OT).
ENISA, "Good Practices for Security of Internet of Things in the Context of Smart Manufacturing," 2018.
CCN-CERT (España), "Guía de Seguridad de las TIC CCN-STIC 480: Seguridad en Sistemas de Control Industrial."

Formación

ISA/IEC 62443 Cybersecurity Certificate Programs (ISA).
SANS ICS Security Courses (ICS410, ICS515).
GICSP (Global Industrial Cyber Security Professional) certification.