Plazo límite de NIS2 para la ciberseguridad en 2026: lo que deben saber los usuarios de PLC heredados.
July 15, 2026
Tras haber vencido el plazo para la transposición de la Directiva NIS2 y con su aplicación en vigor en todos los Estados miembros de la UE, esta directiva está redefiniendo los requisitos de ciberseguridad para las instalaciones industriales en todo el mundo. Para las plantas que utilizan PLC antiguos —plataformas que nunca se diseñaron con seguridad de red—, las implicaciones en materia de cumplimiento normativo son significativas.
La Directiva NIS2 de la UE (Directiva (UE) 2022/2555) amplía la regulación de la ciberseguridad al sector manufacturero de forma más directa que su predecesora. Esta directiva somete a miles de instalaciones a obligaciones obligatorias en materia de ciberseguridad.
Según ENISA, la aplicación de la normativa varía según el Estado miembro, pero generalmente incluye auditorías periódicas, notificación de incidentes en 24 horas y multas de hasta 10 millones de euros o el 2 % de la facturación anual global. En las plantas que utilizan sistemas de automatización obsoletos, los PLC que mantienen la producción en marcha carecen de las funciones de seguridad integradas necesarias para cumplir con las normas de cumplimiento modernas.

Las plataformas de automatización industrial desde la década de 1980 hasta principios de la de 2010 se diseñaron cuando los controladores se comunicaban mediante buses de campo propietarios o enlaces serie, no mediante protocolos basados en Ethernet. Esa época ya pasó, pero el hardware sigue vigente.
Consideremos las plataformas que aún se utilizan ampliamente en la fabricación europea y mundial:
· Allen-Bradley PLC-5 y SLC 500 — Los dispositivos más utilizados por Rockwell en las décadas de 1980 y 1990. El PLC-5 se descontinuó en 2017; el SLC 500 en 2023. Ninguno admite cifrado, autenticación ni control de acceso a nivel de red. Una sola conexión Ethernet no segmentada expone el programa de control a cualquier persona con conocimientos de CIP.
· Siemens SIMATIC S7-300 y S7-400 — Entre las familias de PLC más utilizadas en la industria manufacturera europea. Tanto el S7-300 (1994) como el S7-400 comenzaron a anunciarse como descontinuados en 2022. Ninguno de los dos admite la autenticación moderna para la comunicación S7 sin superposiciones de seguridad de terceros.
· Schneider Modicon Quantum eléctrico: un elemento fundamental en las industrias de procesos. Se anunció su fin de vida útil en 2022 y las últimas oportunidades de compra ya casi han finalizado. La implementación Modbus TCP de Quantum no ofrece seguridad integrada.
· Mitsubishi Serie MELSEC-A eléctrica (Serie A): Ampliamente utilizada en la fabricación en Asia y Europa desde la década de 1980. Mitsubishi promociona los modelos iQ-F e iQ-R como sucesores, pero aún se utilizan instalaciones de la serie A en la industria alimentaria, de envasado y de manipulación de materiales, donde los costes de sustitución son difíciles de justificar.
· Omron C200H y CQM1: presente en innumerables aplicaciones de envasado y control de maquinaria en Europa y Norteamérica. Omron centró su atención en sus plataformas NJ/NX y Sysmac, pero la base instalada de C200H sigue siendo considerable en la fabricación de tamaño pequeño y mediano.
«Por regla general, cualquier PLC diseñado antes de aproximadamente 2010 carece de las capacidades de autenticación, cifrado y registro que exige la normativa NIS2», escribió un ingeniero de sistemas de control en Control.com. «Estos controladores confían en cada mensaje que reciben. En una red plana con convergencia de TI/OT, esto representa una infracción de la normativa que podría descubrirse durante una auditoría».
Un informe publicado por AutomationWorld (automationworld.com) a principios de 2024 señalaba que "la base instalada de controladores heredados en toda Europa se cuenta por cientos de miles, y muchos ejecutan procesos de misión crítica que no se pueden apagar para una migración de reemplazo total sin meses de planificación".
Los analistas del sector describen tres estrategias para cumplir con la normativa NIS2 en los PLC antiguos. Cada una tiene implicaciones diferentes para la demanda de piezas de repuesto.
El enfoque menos disruptivo consiste en aislar por completo las redes PLC heredadas de las redes informáticas corporativas e internet, o bien implementar una segmentación de defensa en profundidad mediante firewalls, gateways unidireccionales y DMZ industriales. Los PLC en sí permanecen sin cambios; la seguridad se aplica en el perímetro de la red.
Esta vía permite a las empresas seguir utilizando el hardware existente, pero requiere una ingeniería minuciosa conforme al estándar ISA/IEC 62443 y supone una gran presión sobre la disponibilidad de piezas de repuesto. Si un módulo PLC antiguo falla dentro de una zona segmentada, toda la célula de producción podría quedar inactiva hasta que se encuentre un reemplazo. A medida que se aceleran los proyectos de segmentación, la necesidad de módulos de repuesto en buen estado para las plataformas antiguas aumenta proporcionalmente.
La solución definitiva —sustituir los controladores antiguos PLC-5, S7-300, Modicon Quantum y similares por equivalentes modernos que admitan comunicaciones cifradas, autenticación y registro de auditoría— requiere una inversión de capital sustancial y tiempo de inactividad de la producción.
Siemens ha posicionado su plataforma S7-1500 como la ruta de migración para los usuarios de S7-300/400, con firmware de seguridad integrada y el CP 1543-1 para funciones de firewall y VPN. Rockwell Automation promociona sus series CompactLogix 5380/5480 y ControlLogix 5580 con CIP Security integrado para migraciones de SLC 500 y PLC-5. Las plataformas M580 y M340 de Schneider Electric incluyen funciones de ciberseguridad integradas para reemplazar a Modicon Quantum.
Sin embargo, el seguimiento de la implementación realizado por ENISA indica que muchos Estados miembros priorizan la notificación de incidentes y la documentación de evaluación de riesgos sobre la sustitución inmediata del hardware en la primera fase de aplicación (2025-2027). Esto crea un lapso en el que las empresas deben demostrar el cumplimiento mientras siguen utilizando hardware antiguo, un escenario que exige un inventario fiable de módulos de repuesto funcionales.
Para las organizaciones que se enfrentan a plazos de entrega de entre 12 y 36 meses para la ingeniería, el rediseño de gabinetes, la conversión de código y la validación —típicos de los proyectos de migración a gran escala—, mantener el sistema existente en una configuración compatible requiere acceso a módulos de reemplazo.
Esta tercera vía es donde el mercado de repuestos ha experimentado un cambio significativo. Los módulos obsoletos, antes disponibles a través de la distribución estándar, ahora se concentran en redes de excedentes especializadas. Para las empresas que operan racks S7-400 en plantas automotrices alemanas, procesadores SLC 500 en líneas de empaquetado francesas o CPU Modicon Quantum en plantas de tratamiento de agua italianas, conseguir un módulo de reemplazo en un plazo de 24 a 48 horas puede determinar si una línea de producción cumple con sus objetivos trimestrales.
La coincidencia de los plazos de cumplimiento de la norma NIS2 y los anuncios de los fabricantes sobre el fin de la vida útil de sus productos crea una escasez de suministro que se intensificará hasta 2026 y más allá.
El plazo de última compra de Rockwell para los módulos SLC 500 finalizó a mediados de 2023. Los pedidos finales de Siemens para el S7-300 concluyeron entre 2023 y 2024, con un programa de soporte técnico que finalizó progresivamente. Los programas de última compra de Modicon Quantum de Schneider concluyeron en 2022. Cada descontinuación elimina un canal de suministro formal, y el inventario restante se utiliza tanto para nuevas producciones como para el mantenimiento y la reposición.
Para las empresas que optan por la vía 1 (segmentación) o la vía 3 (extensión de la transición), el acceso a repuestos funcionales verificados para plataformas PLC heredadas se convierte en una prioridad estratégica, y no solo en una comodidad para el mantenimiento. Las piezas que cumplen con las normas de certificación CE y UL para instalaciones reguladas por la UE son especialmente escasas.
Los proveedores de repuestos que mantienen inventarios completos de componentes heredados —que abarcan plataformas de 120 V/60 Hz y 230 V/50 Hz, e incluyen placas base, fuentes de alimentación, módulos de CPU y tarjetas de E/S— ayudan a los fabricantes a salvar la brecha entre las operaciones actuales y el cumplimiento total de la norma NIS2.
Los fabricantes que evalúen el cumplimiento de la norma NIS2 deben inventariar sus activos de automatización heredados, evaluar cada dispositivo según el marco ISA/IEC 62443 y desarrollar un cronograma de migración que tenga en cuenta las limitaciones de ingeniería, validación y producción.
Mientras tanto, la disponibilidad de repuestos verificados para plataformas heredadas como Allen-Bradley, Siemens y otros controladores de automatización industrial determina si una planta puede mantener sus operaciones mientras avanza hacia una arquitectura compatible. A medida que la aplicación de la normativa se intensifique hasta 2026, las fábricas con las estrategias de repuestos más sólidas —y no solo con las herramientas de ciberseguridad más avanzadas— serán las que mantengan la producción en marcha.
El plazo para la implementación de la norma NIS2 ya ha expirado, pero para los usuarios de PLC heredados en toda Europa y las cadenas de suministro globales que les dan servicio, el verdadero trabajo para garantizar tanto el cumplimiento como la continuidad no ha hecho más que empezar.
------------------------------------------------------------------------------------------------------------------
🏢 Acerca de TZ Tech
TZ Tech es un proveedor líder de componentes para automatización industrial, electricidad, instrumentación y telecomunicaciones. Nos especializamos en la adquisición de stock de distribuidores listo para envío, lo que nos permite ofrecer precios altamente competitivos y plazos de entrega reducidos. Gracias a nuestro amplio inventario, podemos incluso conseguir piezas raras y descatalogadas difíciles de encontrar en otros lugares.
🛡️ Nuestro compromiso con la calidad
Entendemos que la calidad es su máxima prioridad. Cada componente se somete a un riguroso proceso de selección e inspección para que compre con total confianza. Para piezas antiguas o descatalogadas, creemos en la transparencia absoluta y siempre le proporcionaremos un informe honesto y preciso sobre el estado del producto. Además, todas las piezas nuevas cuentan con una garantía completa de un año.

✉️ Ponte en contacto
¿Tienes un proyecto o necesitas una pieza? ¡Envíanos tu consulta hoy mismo! Nuestro equipo se compromete a responderte rápidamente en un plazo de 6 horas (excepto fines de semana).
Además, con su permiso, queremos colocar cookies para que su visita y su interacción con slOC sean más personales. Para ello utilizamos cookies analíticas y publicitarias. Con estas cookies, nosotros y terceros podemos rastrear y recopilar su comportamiento en Internet dentro y fuera de super-instrument.com. Con esto, nosotros y terceros adaptamos super-instrument.com y los anuncios a su interés. Al hacer clic en Aceptar, acepta esto. Si lo rechaza, solo utilizamos las cookies necesarias y lamentablemente no recibirá ningún contenido personalizado. Visite nuestra política de cookies para obtener más información o para cambiar su consentimiento en el futuro.
Accept and continue Decline cookies