Seguridad física bajo NIS2 en España: lo que el operador crítico debe documentar

La Directiva NIS2, en su transposición española, se ha convertido en un asunto de departamento de tecnología, y esa lectura es incompleta. La norma exige medidas técnicas, operativas y organizativas para garantizar la seguridad de las redes y los sistemas de información, y entre esas medidas figura, con la misma jerarquía que el cifrado o la gestión de vulnerabilidades, el control físico del acceso a las instalaciones donde esos sistemas residen.

Quien limite su preparación a un plan de respuesta a incidentes cibernéticos, una segmentación de red y un proveedor de SOC, llegará a la primera inspección con la mitad del expediente. El operador esencial o importante que opera bajo NIS2 en España es responsable, ante el CNPIC y, en su ámbito, ante INCIBE-CERT y CCN-CERT, también del perímetro, del control de visitantes, del cuarto técnico, de la cadena de custodia de los soportes y del registro audiovisual de las zonas críticas. Esa responsabilidad no se traslada con un contrato de vigilancia.

La trampa de leer NIS2 como norma exclusivamente cibernética

El texto comunitario y su transposición hablan de un enfoque all-hazards. Esa expresión, traducida con frecuencia como "todos los peligros", se ha vaciado en la práctica española al asociarse casi exclusivamente con el catálogo de amenazas digitales. La realidad operativa de un operador crítico es otra. Un centro de procesamiento de datos, una subestación, una planta de tratamiento, un nodo logístico, una fábrica conectada, dependen para su continuidad de barreras físicas, de control de acceso, de detección de intrusión y de capacidad de respuesta sobre el terreno. La interrupción de un servicio esencial rara vez empieza con un cifrador remoto. Empieza con una puerta forzada, un cable cortado, un visitante no acompañado en un cuarto técnico, una cámara dirigida hacia donde no debe mirar.

La directiva, en su artículo dedicado a las medidas para la gestión de riesgos, enumera la seguridad física y del entorno como categoría propia. La transposición española mantiene esa categoría. El operador que solo presenta procedimientos de hardening de servidores y políticas de contraseñas, sin documentación equivalente sobre quién entra, cuándo, con qué autorización y qué se registró, no cumple. La inspección, cuando llega, no se conforma con declaraciones de intenciones. Pide trazas. Pide tiempos. Pide actas. Pide grabaciones con marcas temporales coherentes con los registros de acceso. Pide planes de contingencia físicos que se hayan probado y cuya prueba esté documentada.

Esa exigencia documental es la que sorprende al primer operador no preparado. La norma no pregunta si la organización es seria. Pregunta si la organización puede demostrarlo en papel, en sistema y en grabación. La diferencia entre ambas preguntas es la distancia entre el cumplimiento percibido y el cumplimiento auditable. Quien no haya hecho ese tránsito antes de la primera inspección descubrirá la asimetría en el momento más caro posible, que es cuando el inspector cierra la carpeta y abre el procedimiento sancionador.

Qué obligaciones físicas se derivan de NIS2 y de su transposición

La lista no es interpretativa. Se desprende del articulado, de las guías que el CNPIC y el CCN han ido publicando y de la práctica acumulada con la Ley PIC, que sigue en vigor para los operadores designados como críticos y que en muchos puntos solapa con NIS2. La primera obligación es la delimitación de zonas. La instalación debe tener perímetro definido, zonas de acceso restringido y zonas críticas donde solo entran perfiles autorizados y registrados. La segunda es el control de acceso. Sistemas que identifiquen al portador, registren la entrada y la salida, y permitan reconstruir quién estuvo dónde y cuándo durante un periodo de retención que la norma fija y que la prudencia operativa suele extender.

La tercera obligación es la detección. La instalación debe contar con medios técnicos que detecten intrusiones, manipulaciones y anomalías en perímetro y en zonas internas sensibles. La cuarta es el videovigilancia con la doble exigencia de eficacia operativa y conformidad con la AEPD. Cámaras posicionadas en los puntos correctos, con calidad suficiente para identificar conductas, con cartelería conforme, con plazos de retención claros, con accesos a las grabaciones restringidos y trazables. La quinta es la respuesta. El operador debe disponer de capacidad de reacción sobre incidente físico, propia o contratada, con tiempos definidos y con coordinación documentada con las fuerzas y cuerpos de seguridad cuando proceda.

La sexta obligación, frecuentemente subestimada, es la formación y la prueba. El personal con responsabilidad sobre el perímetro debe estar formado, y esa formación debe documentarse. Los planes de emergencia y los protocolos de respuesta deben probarse mediante ejercicios cuyos resultados se registren. La séptima es la cadena de suministro física. Quien presta el servicio de vigilancia, quien mantiene los sistemas de control de acceso, quien opera las cámaras, quien retira los soportes obsoletos, todos ellos forman parte del perímetro de cumplimiento del operador y deben estar contractualmente integrados en las obligaciones NIS2. Una inspección que detecte que el proveedor de mantenimiento accede sin registro, o que las copias de seguridad físicas viajan sin custodia documentada, levanta un hallazgo cuya corrección no es trivial.

La documentación que pasa una inspección

Una carpeta de cumplimiento NIS2 en su dimensión física se compone de cinco bloques que deben existir, estar actualizados y resistir el contraste con la realidad observable durante la visita. El primer bloque es el análisis de riesgos físicos del emplazamiento, con metodología explícita, alcance, activos identificados, amenazas consideradas, valoración de probabilidad e impacto, y medidas de tratamiento. Este documento no es una formalidad. Es la justificación de las decisiones que vinieron después. Si el análisis identifica un riesgo y no hay medida en el plan, el inspector pregunta. Si el plan contiene una medida que no responde a ningún riesgo identificado, el inspector también pregunta.

El segundo bloque es el inventario de medidas implantadas. Plano del perímetro con sus elementos de protección, ubicación de cámaras con campo de visión documentado, ubicación de lectores y de puertas con su nivel de control, ubicación de detectores de intrusión, ubicación de los puntos de monitorización. Este inventario debe coincidir con lo que el inspector observa. Las cámaras movidas, los lectores sustituidos, las puertas que ya no cierran como indicaba la versión inicial del plan deben reflejarse en la documentación.

El tercer bloque es el registro operativo. Logs de accesos con retención conforme, grabaciones de vídeo con la retención correspondiente, registros de incidencias físicas con su clasificación y su respuesta, registros de mantenimiento preventivo y correctivo de los sistemas físicos, registros de visitantes con su autorización y su acompañamiento. Estos registros deben poder cruzarse. Un acceso a una zona crítica a las dos de la madrugada debe tener autorización previa, registro de lectora, grabación coincidente y, si corresponde, comunicación al centro de control.

El cuarto bloque es la documentación contractual con proveedores de seguridad. Empresa de vigilancia con su autorización vigente, contrato con cláusulas de cumplimiento NIS2 explícitas, formación acreditada del personal asignado, procedimientos operativos firmados, canal de escalado definido. El quinto bloque es la documentación de pruebas y ejercicios. Simulacros de evacuación, pruebas de intrusión física, ejercicios de respuesta conjunta con fuerzas de seguridad cuando proceda. Cada ejercicio con su acta, sus participantes, sus hallazgos y sus acciones correctivas. Una carpeta sin ejercicios documentados es una carpeta que declara una capacidad que no se ha verificado nunca.

Estándares que satisfacen, parcialmente, los requisitos

Ninguna norma técnica cubre por sí sola la totalidad de las obligaciones físicas de NIS2, y conviene decirlo así para no inducir al operador a una falsa seguridad. Las normas son herramientas, no certificados de conformidad. ISO 27001, en sus controles del anexo A relativos a la seguridad física y del entorno, ofrece un marco reconocible que cubre buena parte de la categoría. Una organización certificada en ISO 27001 con un alcance que incluya las instalaciones físicas críticas tiene avanzada una parte sustancial del trabajo documental, pero debe verificar que el alcance es el correcto y que los controles A.7 están implementados con la profundidad que NIS2 exige para un operador esencial.

Las normas UNE EN sobre sistemas electrónicos de seguridad, las normas sobre videovigilancia, las normas sobre control de acceso y las normas sobre centros de control aportan referencias técnicas que un inspector reconoce. La conformidad con estas normas no es opcional cuando se trata de instalaciones designadas como críticas. La certificación de los sistemas instalados, los informes de mantenimiento conformes y las pruebas periódicas son elementos que la inspección esperará encontrar. En paralelo, las guías del CCN-CERT, la serie 800 y, en particular, las guías aplicables a infraestructuras críticas, ofrecen un marco de referencia que el operador puede invocar como base de su sistema.

Ahora bien, ningún cuerpo normativo sustituye al criterio operativo. Una instalación puede cumplir formalmente cada estándar y, a la vez, ser indefendible porque las medidas no responden a la realidad de la amenaza. Una cámara que cumple norma pero apunta a un muro no protege nada. Un lector que cumple norma pero está instalado en una puerta que se queda abierta por costumbre no controla nada. La inspección NIS2 que se hace bien mira ambos planos. El plano normativo, donde se verifica la conformidad, y el plano operativo, donde se verifica la eficacia. La distancia entre ambos planos es donde el operador serio invierte y donde el operador improvisado descubre, ya en sede de procedimiento, que la conformidad documental no le sirve de defensa.

Quién coordina TI y seguridad física, y por qué la respuesta importa

La pregunta organizativa decisiva, en muchos operadores que se enfrentan ahora a NIS2, es quién manda. El director de seguridad de la información reporta habitualmente a la dirección de tecnología o a una dirección de riesgos. El director de seguridad corporativa, responsable del perímetro físico, suele depender de operaciones, de recursos humanos o, en empresas grandes, de una dirección propia. Las dos funciones han convivido durante décadas con poca interlocución. Una se ocupaba de servidores, la otra de puertas. NIS2 disuelve esa frontera.

La norma exige una visión integrada del riesgo. El plan de continuidad debe contemplar simultáneamente el incidente cibernético y el incidente físico, porque los dos pueden derivar uno en el otro o coincidir intencionadamente. Quien intenta sabotear una infraestructura crítica con frecuencia combina ambos vectores. La respuesta organizativa que se está consolidando en los operadores españoles más maduros es la creación de una función de Chief Security Officer con autoridad sobre las dos dimensiones, o, cuando esa figura no es viable, la constitución de un comité de seguridad permanente con representación de ambas y con capacidad de decisión sobre presupuesto, prioridades y respuesta. La existencia documentada de esa coordinación es uno de los elementos que la inspección busca, porque su ausencia explica la mayoría de los fallos sistémicos.

La coordinación con las fuerzas y cuerpos de seguridad es la segunda capa. El CNPIC, como punto de contacto de los operadores críticos, espera interlocutores definidos, canales operativos probados y planes de coordinación con la Policía Nacional, la Guardia Civil o las policías autonómicas según corresponda al territorio. INCIBE, en su papel de CSIRT de referencia para muchos sectores, y CCN-CERT para los operadores del sector público y aquellos con servicios esenciales conectados a la Administración, son los receptores naturales de la notificación de incidentes. La notificación, en NIS2, tiene plazos exigentes. Veinticuatro horas para la alerta temprana, setenta y dos para la notificación con valoración, un mes para el informe final. Esos plazos rigen también para los incidentes con componente físico, no solo para los puramente digitales. Una intrusión física en un cuarto técnico que comprometa la integridad de un sistema es un incidente notificable. Quien no haya integrado esa lógica en su procedimiento perderá horas críticas decidiendo en caliente lo que debería estar decidido en frío.

Lo que permanece

NIS2 no inventa la seguridad física. La eleva al rango de obligación regulada, auditada y sancionada. El operador esencial o importante en España que asuma esa lectura llegará a las inspecciones con la carpeta correcta, con los registros coincidentes, con los proveedores integrados y con los ejercicios hechos. El que la postergue descubrirá que la sanción económica es solo el primer coste y que el daño reputacional, la pérdida de confianza del regulador y la apertura a procedimientos derivados son consecuencias mucho más caras de revertir.

La diferencia entre ambas posiciones se construye antes de la inspección, no durante. Se construye con un análisis de riesgos físicos honesto, con sistemas técnicos que respondan a ese análisis, con personal formado, con procesos probados y con documentación viva. Para el operador que reconoce su distancia respecto a ese estándar, BOSWAU + KNAUER propone tres caminos en función del punto de partida. Una conversación confidencial de sesenta minutos con la dirección, sin compromiso ni coste, para situar el problema. Una auditoría de tres a cinco días sobre el terreno, con informe entregable que el operador puede ejecutar internamente o externamente, para tener el diagnóstico que la inspección hará tarde o temprano. O un piloto de noventa días en una instalación seleccionada, con métricas de eficacia definidas antes de empezar, para verificar el rendimiento de la solución antes de escalarla. La lógica de estos tres formatos está descrita en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad", y se aplica con la misma disciplina a infraestructuras críticas que a obras y plantas industriales.

Lo que permanece, cuando se retira el ruido normativo, es una verdad operativa. Un perímetro protegido no es el que se declara en un documento. Es el que resiste la intrusión, registra el intento, alerta a quien debe responder y deja prueba de lo ocurrido. NIS2 simplemente lo está pidiendo por escrito.

Preguntas frecuentes

¿Qué obligaciones físicas establece la NIS2 en España?

NIS2 y su transposición exigen al operador esencial o importante implementar medidas de seguridad física y del entorno como categoría propia dentro de la gestión integral de riesgos. Estas medidas incluyen delimitación y protección del perímetro, control de acceso con registro y trazabilidad, detección de intrusiones, videovigilancia conforme a la normativa AEPD, capacidad de respuesta sobre incidentes físicos, formación documentada del personal con responsabilidad de seguridad, y gestión contractual de la cadena de suministro física. La obligación es demostrable, no declarativa. El CNPIC y los CSIRT de referencia esperan documentación auditable durante las inspecciones.

¿Cómo se documentan en una inspección?

La documentación que pasa una inspección NIS2 se organiza en cinco bloques. Análisis de riesgos físicos con metodología y alcance explícitos. Inventario detallado de medidas implantadas con planos y especificaciones técnicas. Registros operativos de accesos, grabaciones, incidencias y mantenimiento con retención conforme y capacidad de cruce. Documentación contractual con proveedores de vigilancia y mantenimiento que incluya cláusulas NIS2 expresas. Actas de ejercicios, simulacros y pruebas con sus hallazgos y acciones correctivas. La coherencia entre estos bloques y la realidad observable durante la visita es el criterio que el inspector aplica.

¿Qué estándares satisfacen los requisitos?

Ningún estándar cubre la totalidad de NIS2 en su dimensión física, pero varios sirven como base reconocible. ISO 27001 con alcance que incluya las instalaciones, especialmente sus controles del anexo A relativos a seguridad física, las normas UNE EN sobre sistemas electrónicos de seguridad, videovigilancia, control de acceso y centros de control, y las guías del CCN-CERT, en particular la serie 800 aplicable a infraestructuras críticas. La conformidad con estos estándares acelera el cumplimiento documental, pero el criterio operativo prevalece. Un sistema certificado mal aplicado no protege ni convence al inspector.

¿Quién coordina TI y seguridad física?

La respuesta organizativa más sólida es la figura de un Chief Security Officer con autoridad integrada sobre seguridad de la información y seguridad corporativa, dependiendo directamente del consejo o de la dirección general. Cuando esa figura no es viable, NIS2 admite la constitución de un comité permanente de seguridad con representación equilibrada de ambas funciones y poder decisorio sobre presupuesto y respuesta. La coordinación con CNPIC, INCIBE y CCN-CERT según corresponda al sector y la integración formal con las fuerzas y cuerpos de seguridad son elementos que la inspección espera encontrar documentados y probados.