NIS2 y la transformación IA del sector industrial: cómo OpenKBS garantiza el cumplimiento de la Directiva (UE) 2022/2555

La Directiva (UE) 2022/2555 (NIS2) amplía el ámbito de la regulación de ciberseguridad en la Unión Europea a 18 sectores, incluido el sector manufacturero. En España, la transposición se lleva a cabo mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros el 14 de enero de 2025 y actualmente pendiente de tramitación parlamentaria.

En espera de la aprobación definitiva de la ley nacional, las obligaciones de la Directiva (UE) 2022/2555 son directamente aplicables a las entidades afectadas. La nueva normativa prevé la creación del Centro Nacional de Ciberseguridad (CNC), junto con las funciones ya ejercidas por INCIBE y CCN-CERT. Se estima que aproximadamente 5.700 empresas en España entran en el ámbito de aplicación, con alineación al Esquema Nacional de Seguridad (ENS).

Las medianas y grandes empresas manufactureras quedan comprendidas como "entidades importantes" (empresas con al menos 50 empleados y 10 millones de euros de facturación anual, en los sectores del Anexo II de la Directiva). Para estas organizaciones, NIS2 plantea un desafío concreto: cómo integrar soluciones de IA en los procesos productivos sin incrementar el riesgo regulatorio y de ciberseguridad. La presente publicación describe cómo la plataforma OpenKBS responde a los requisitos de la Directiva para sus clientes enterprise.

Seguridad de infraestructura mediante AWS

OpenKBS construye la infraestructura de sus clientes íntegramente sobre Amazon Web Services (AWS). Esto no es una simple elección de proveedor de hosting — conlleva la herencia de un amplio catálogo de certificaciones y atestaciones verificadas de forma independiente, entre las que se incluyen:

  • ISO/IEC 27001 — sistema de gestión de la seguridad de la información;
  • ISO/IEC 22301 — gestión de la continuidad del negocio;
  • ISO/IEC 27017 — controles de seguridad para servicios en la nube;
  • SOC 2 Type II — controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y protección de datos personales;
  • C5 — catálogo de conformidad para computación en la nube, desarrollado por el BSI alemán.

AWS cuenta con más de 150 certificaciones de seguridad verificadas de forma independiente a nivel mundial. En el contexto de la NIS2, esto es esencial ya que el Art. 21, apartado 1, de la Directiva (UE) 2022/2555 exige que las medidas de gestión de riesgos reflejen el "estado de la técnica". El uso de infraestructura certificada demuestra el cumplimiento de este principio.

Modelo de responsabilidad compartida

AWS aplica el modelo de responsabilidad compartida (Shared Responsibility Model):

  • AWS es responsable de la seguridad de la infraestructura en la nube — centros de datos físicos, red, hipervisor, servicios gestionados;
  • El cliente es responsable de la seguridad de lo que construye en la nube — código de aplicación, configuraciones, control de acceso.

Para los clientes enterprise, cada solución es sometida a un proceso estructurado de auditoría y revisión de seguridad antes de su puesta en producción.

Cuenta AWS dedicada para cada cliente enterprise

Entre los requisitos centrales de la NIS2 se encuentra la garantía de la continuidad de las operaciones y la gestión de crisis (Art. 21, apartado 2, letra c) de la Directiva (UE) 2022/2555). La Directiva también enfatiza la seguridad de la cadena de suministro (Art. 21, apartado 2, letra d)), incluyendo la gestión de riesgos derivados de dependencias hacia proveedores tecnológicos.

OpenKBS responde a estos requisitos mediante un modelo de cuentas AWS dedicadas.

Funcionamiento

Cada cliente enterprise recibe una cuenta AWS propia, en la que se despliegan todos sus recursos:

RecursoDescripción
Funciones LambdaComputación serverless para lógica de negocio (hasta 20 por proyecto)
Almacenamiento S3Almacenamiento de objetos para archivos y datos
Aurora PostgreSQLBase de datos relacional gestionada con copias de seguridad automáticas y restauración point-in-time
CloudFront CDNDistribución de contenido con cifrado TLS
EventBridgeTareas programadas y automatizaciones

Los recursos de un cliente están físicamente aislados de los de cualquier otro cliente a nivel de cuenta AWS. No se trata de una separación lógica (namespace, etiqueta o red virtual), sino de una frontera dura a nivel de cuenta, aplicada por AWS Identity and Access Management (IAM).

Transferencia de la infraestructura al finalizar el contrato

Al finalizar el contrato o en caso de necesidad, la cuenta AWS dedicada puede transferirse íntegramente al cliente. El proceso incluye:

  1. Cambio del usuario root de la cuenta a una dirección de correo electrónico del cliente;
  2. Confirmación por parte del cliente y establecimiento de una nueva contraseña;
  3. Eliminación de la cuenta de la AWS Organization de OpenKBS;
  4. El cliente añade un método de pago y asume el control total;
  5. El cliente elimina el acceso de OpenKBS borrando el rol IAM cross-account.

No se migra nada. Las funciones Lambda siguen funcionando, los datos en S3 y Aurora permanecen en su lugar, las distribuciones CloudFront sirven tráfico sin interrupción. El cliente obtiene el control total de su infraestructura sin pérdida de datos y sin tiempo de inactividad.

Todos los recursos son primitivas AWS estándar — sin formatos propietarios, sin vendor lock-in. El cliente puede continuar gestionando su infraestructura de forma autónoma o con otro proveedor.

AWS Organizations permite la creación de hasta 50.000 cuentas dentro de una organización, sin cargos adicionales por la cuenta en sí. Solo se factura el consumo de recursos dentro de la cuenta.

Implicaciones para el cumplimiento NIS2

  • Art. 21, apartado 2, letra c) (continuidad de las operaciones): La infraestructura no depende del estado operativo de OpenKBS. En caso de cese de actividad del proveedor, el cliente puede continuar operando.
  • Art. 21, apartado 2, letra d) (seguridad de la cadena de suministro): El riesgo de dependencia de un único proveedor se reduce al mínimo gracias a la posibilidad garantizada de transferencia completa.
  • Cláusula 5 de los requisitos contractuales NIS2 (asistencia en la terminación y seguridad de los datos): Cubierta por diseño — los datos ya se encuentran en una cuenta que el cliente puede asumir íntegramente.

Localización de datos y arquitectura serverless

Alojamiento en la Unión Europea

Todos los recursos de los clientes enterprise se despliegan en la región AWS eu-central-1 (Fráncfort, Alemania) por defecto. La base de datos central de la plataforma (AWS Aurora DSQL) opera exclusivamente en eu-central-1.

Los datos no abandonan el territorio de la UE. Cada proyecto de cliente recibe:

  • Almacenamiento S3 en eu-central-1;
  • Instancia Aurora PostgreSQL en eu-central-1;
  • Funciones Lambda ejecutadas en eu-central-1;
  • Distribución CloudFront con ubicaciones edge en la UE.

La localización de los datos es un factor clave en la evaluación de riesgos bajo la NIS2. El despliegue de la infraestructura en la UE simplifica el cumplimiento de los requisitos de protección de datos y facilita la interacción con las autoridades reguladoras nacionales.

Arquitectura serverless y superficie de ataque reducida

OpenKBS utiliza una arquitectura completamente serverless para los recursos de los clientes. Esto significa:

  • No hay servidores que mantener — sin sistema operativo que actualizar, sin acceso SSH, sin puertos abiertos;
  • AWS gestiona el entorno de ejecución — Node.js 24.x en Lambda, con actualizaciones de seguridad automáticas;
  • Aislamiento a nivel de ejecución — cada función Lambda se ejecuta en un entorno microVM separado;
  • TLS 1.2+ para todas las comunicaciones — a través de CloudFront, sin excepciones.

Desde la perspectiva del Art. 21, apartado 2, letra e) de la Directiva (UE) 2022/2555 (seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información), la arquitectura serverless elimina toda una clase de vulnerabilidades — sistemas operativos sin parchear, servidores mal configurados, acceso de red no autorizado.

Seguridad del código generado por IA

La realidad del desarrollo moderno

Una parte significativa y creciente del código en la industria se genera con la ayuda de modelos de IA. Esta tendencia es irreversible. La cuestión no es si la IA generará el código, sino qué procesos garantizan la calidad y la seguridad de dicho código.

El código generado por IA no es intrínsecamente inseguro. Los modelos lingüísticos modernos (como Claude de Anthropic) detectan vulnerabilidades en el código de forma más eficiente que la mayoría de las revisiones manuales — incluyendo inyecciones SQL, ataques XSS, acceso no autorizado, gestión incorrecta de sesiones y decenas de otras categorías del OWASP Top 10 y las clasificaciones CWE.

Los riesgos del código generado por IA no provienen del modelo en sí, sino de la ausencia de procesos de auditoría y validación. Un sistema en el que el código generado se despliega directamente sin revisión es arriesgado — independientemente de que el código haya sido escrito por un humano o por una IA.

El proceso de OpenKBS para clientes enterprise

OpenKBS aplica un proceso estructurado de revisión de seguridad para cada nueva versión de la solución del cliente:

Auditoría de seguridad automatizada en cada versión:

  • Análisis estático del código para vulnerabilidades del OWASP Top 10;
  • Verificación de inyecciones SQL, XSS, CSRF, SSRF, inyección de comandos;
  • Análisis de dependencias (dependency audit) para vulnerabilidades conocidas (CVE);
  • Verificación de divulgación de datos sensibles (credenciales en código, claves API, cadenas de conexión);
  • Validación de datos de entrada y control de acceso;
  • Verificación de divulgación no autorizada de información en respuestas HTTP y gestión de errores.

Revisión de infraestructura:

  • Revisión de políticas IAM y del principio de mínimo privilegio (least privilege);
  • Validación del cifrado en tránsito (TLS) y en reposo (AES-256);
  • Verificación de recursos accesibles públicamente (buckets S3, endpoints Lambda);
  • Auditoría de la configuración de red y reglas de firewall.

Informe documentado:

  • Cada auditoría genera un informe documentado con hallazgos y recomendaciones;
  • Las vulnerabilidades críticas se corrigen antes del despliegue en producción;
  • Los informes están disponibles para el cliente y pueden presentarse a las autoridades reguladoras en caso de auditoría.

Este proceso responde a los requisitos del Art. 21, apartado 2, letra e) (seguridad en el desarrollo y mantenimiento) y del Art. 21, apartado 2, letra f) (políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos).

Consolidación de la cadena de suministro de IA

Una organización que desee utilizar modelos de IA de varios proveedores (OpenAI, Anthropic, Google) debe celebrar contratos separados, realizar evaluaciones de riesgo separadas y garantizar el cumplimiento de la NIS2 para cada uno de ellos.

OpenKBS consolida el acceso a múltiples modelos de IA a través de un proxy unificado, operando en la infraestructura UE de la plataforma. El cliente interactúa con un único proveedor (OpenKBS), que asume la responsabilidad de la integración con los proveedores de IA.

Esto reduce:

  • el número de proveedores sujetos a evaluación en virtud del Art. 21, apartado 2, letra d) de la NIS2;
  • el número de contratos que deben contener las cinco cláusulas obligatorias sobre seguridad de la cadena de suministro;
  • la carga administrativa en la revisión periódica de proveedores.

Medidas de cumplimiento complementarias

Cifrado

De conformidad con el Art. 21, apartado 2, letra h) de la Directiva (UE) 2022/2555 (políticas de uso de criptografía):

  • En tránsito: TLS 1.2+ para todas las comunicaciones, sin excepciones;
  • En reposo: AES-256 para datos sensibles (cadenas de conexión, claves API), cifrado gestionado por AWS para S3 y Aurora;
  • Tokens de acceso: Almacenados como hash SHA-256, el texto original no se conserva;
  • Comunicaciones MQTT: Conexiones WebSocket firmadas con SigV4 con tokens de sesión STS temporales (validez de 15 minutos).

Control de acceso

De conformidad con el Art. 21, apartado 2, letra i) (seguridad de los recursos humanos, control de acceso):

  • Autenticación basada en JWT (RS256) con duración de validez limitada;
  • Claves API por proyecto con permisos explícitamente definidos;
  • Rotación automática de claves en cada despliegue;
  • STS session credentials con validez de 15 minutos para acceso cross-account.

Registro de auditoría

De conformidad con el Art. 21, apartado 2, letra f) (evaluación de la eficacia de las medidas):

  • Registro de auditoría administrativa: tipo de acción, recurso afectado, detalles, dirección IP;
  • Seguimiento del consumo de recursos por proyecto y periodo;
  • Métricas CloudWatch para cada función (invocaciones, duración, errores).

Copias de seguridad, restauración y plan de recuperación ante desastres

De conformidad con el Art. 21, apartado 2, letra c) (continuidad de las operaciones, gestión de copias de seguridad, recuperación ante desastres y gestión de crisis):

Base de datos (Aurora PostgreSQL Serverless v2):

  • Copias de seguridad continuas automáticas, gestionadas por AWS;
  • Restauración a un momento específico (point-in-time restore) con precisión de segundos, por un periodo configurable de hasta 35 días;
  • Los datos se almacenan en seis copias distribuidas en tres zonas de disponibilidad (Availability Zones) en la región eu-central-1;
  • En caso de fallo de la instancia primaria, Aurora realiza automáticamente la conmutación por error a una réplica de espera.

Almacenamiento de objetos (S3):

  • Versionado de objetos — cada modificación o eliminación conserva la versión anterior;
  • AWS S3 garantiza el 99,999999999 % (11 nueves) de durabilidad de los datos;
  • Los datos se almacenan en múltiples zonas de disponibilidad en la región.

Principios generales:

  • Eliminación suave (soft delete) de todos los recursos — sin eliminación irreversible;
  • La arquitectura serverless elimina la necesidad de restaurar servidores — en caso de fallo de una instancia Lambda, AWS inicia automáticamente una nueva;
  • CloudFront CDN asegura la distribución del tráfico incluso en caso de indisponibilidad parcial del servidor de origen.

Resumen: cobertura de las medidas mínimas del Art. 21 NIS2

Medida del Art. 21, apartado 2Cómo OpenKBS la aborda
a) Análisis de riesgos y políticas de seguridadProceso de auditoría estructurado para cada versión; informes documentados
b) Gestión de incidentesProcedimiento de respuesta a incidentes; alerta temprana al cliente en 24 horas
c) Continuidad de las operacionesCuenta AWS dedicada; Aurora PITR hasta 35 días; versionado S3; 6 copias en 3 AZ
d) Seguridad de la cadena de suministroProxy IA consolidado; contrato único; cuenta transferible
e) Seguridad en el desarrollo y mantenimientoAuditoría de seguridad en cada versión; arquitectura serverless
f) Evaluación de la eficacia de las medidasRegistro de auditoría; monitorización de recursos; métricas CloudWatch
g) Formación en ciberseguridadConsultoría y documentación para los equipos de los clientes
h) Criptografía y cifradoTLS 1.2+; AES-256; SHA-256 para tokens; SigV4 para MQTT
i) Control de accesoAutenticación JWT; claves por proyecto; rotación automática
j) MFA y comunicaciones cifradasConexiones WebSocket cifradas; STS session credentials

Siguiente paso

OpenKBS trabaja con empresas manufactureras en España y Europa que implementan soluciones de IA cumpliendo con los requisitos de la Directiva (UE) 2022/2555.

Si su organización entra en el ámbito de aplicación de la NIS2 y está considerando una transformación IA, contacte con nosotros para una consulta sobre:

  • evaluación de su infraestructura actual respecto a los requisitos de la NIS2;
  • diseño de una solución IA en una cuenta AWS dedicada con EU Data Residency;
  • procesos de auditoría de seguridad para código generado por IA;
  • plan de continuidad de las operaciones y gestión de crisis.

Los servicios descritos — auditoría de seguridad, cuenta AWS dedicada y revisión de código generado por IA — forman parte del plan Enterprise de OpenKBS.

La presente publicación tiene carácter informativo y no constituye asesoramiento jurídico. Para cuestiones específicas sobre la aplicación de la Directiva (UE) 2022/2555 o la ley nacional de transposición, consulte a un asesor jurídico cualificado.

Book a Strategy Call
NIS2ciberseguridadindustriafabricaciónAWSIAcadena de suministroENSINCIBEenterprise