En junio de 2017, el malware NotPetya se propagó por los sistemas de Maersk en cuestión de horas. La mayor naviera del mundo perdió acceso a sus sistemas operativos durante diez días, tuvo que reinstalar 45.000 ordenadores y 4.000 servidores, y el coste total se situó entre 250 y 300 millones de dólares.

No fue un ataque dirigido a Maersk: fue un efecto de propagación lateral en la cadena de suministro que entró por un proveedor ucraniano y recorrió toda la red corporativa sin encontrar segmentación que lo frenara.

Desde entonces, TNT/FedEx, CMA CGM y docenas de operadores logísticos han sufrido incidentes similares. La lógica es siempre la misma: la logística es infraestructura crítica porque detener el flujo de mercancías tiene consecuencias económicas y sociales inmediatas y visibles, lo que convierte a estos operadores en objetivos de alto valor para grupos de ransomware.

NIS2 reconoce esta realidad y clasifica el transporte y la logística entre los sectores esenciales de la directiva, con obligaciones de ciberseguridad que ya están en vigor y que incluyen de forma explícita la seguridad de la cadena de suministro digital como uno de sus pilares fundamentales.

Qué empresas logísticas quedan dentro del alcance de NIS2

NIS2 cubre el sector de transporte como sector esencial, con subsectores específicos: transporte por carretera, ferroviario, aéreo y marítimo. Dentro de ese paraguas quedan los operadores de infraestructura portuaria y aeroportuaria, los gestores de redes ferroviarias, los operadores de transporte de mercancías por carretera de tamaño mediano y grande, y las empresas de logística integrada que combinan almacenamiento, distribución y transporte.

Para saber qué implica la directiva en el contexto español, la página sobre la transposición de NIS2 en España detalla los umbrales de tamaño y los sectores afectados con criterios específicos para el mercado nacional.

Los operadores por debajo de los umbrales de entidad esencial pueden quedar clasificados como entidades importantes, categoría que también conlleva obligaciones de ciberseguridad, aunque con supervisión reactiva en lugar de proactiva. El análisis de dónde cae cada empresa requiere verificar plantilla, volumen de negocio y criticidad del servicio que presta para la economía o la sociedad.

La cadena de suministro logística como superficie de ataque

Lo que hace especialmente compleja la ciberseguridad en logística no es solo la tecnología interna de cada operador, sino la densidad de interconexiones con terceros. Un operador logístico mediano típico depende simultáneamente de:

Proveedores de software crítico. Los sistemas de gestión de almacenes (WMS) y de transporte (TMS) concentran información sobre cargas, rutas, clientes y proveedores. Son objetivos directos porque comprometer uno da acceso a datos de toda la cadena y puede paralizar operaciones físicas.

Integraciones EDI y APIs con clientes y proveedores. El intercambio electrónico de datos es el tejido conectivo de la logística moderna. Cada integración es un canal potencial de entrada lateral desde sistemas de terceros con controles de seguridad más débiles.

Sistemas OT en almacenes automatizados. Cintas transportadoras, sistemas de clasificación automatizada, AGVs (vehículos guiados automáticamente) y lectores RFID conectados a la red corporativa crean una convergencia IT/OT donde un incidente en la red de datos puede tener consecuencias físicas directas en la operación.

Transportistas subcontratados y agentes de carga. Los datos de envío, manifiestos y documentación aduanera circulan entre múltiples partes de la cadena, frecuentemente a través de plataformas con controles de acceso heterogéneos.

El vector de ataque más explotado en logística no es la vulnerabilidad técnica interna: es la confianza implícita en los sistemas de terceros integrados. Una conexión EDI o una API sin autenticación fuerte desde un proveedor comprometido es la puerta de entrada más habitual.

Obligaciones específicas de NIS2 para el sector logístico

El artículo 21 de NIS2 establece las medidas mínimas que las entidades esenciales e importantes deben implementar. Para el sector logístico, los más relevantes son:

Seguridad de la cadena de suministro. NIS2 exige explícitamente que las entidades gestionen los riesgos de seguridad introducidos por sus proveedores y prestadores de servicios. Esto significa mapear las dependencias tecnológicas críticas, evaluar la postura de seguridad de los proveedores de mayor riesgo y establecer requisitos contractuales mínimos de ciberseguridad en los contratos con terceros.

Gestión de incidentes. Procesos documentados para detectar, contener, notificar y recuperarse de incidentes. Para entidades esenciales, la notificación al CSIRT nacional en 24 horas para alerta temprana y 72 horas para notificación formal no es opcional.

Continuidad de negocio y gestión de crisis. Planes de contingencia que contemplen específicamente escenarios de indisponibilidad de sistemas críticos, con tiempos de recuperación definidos y probados. Para logística, la presión operativa de clientes y contratos hace que la recuperación ante desastres sea tan crítica como la prevención.

Controles de acceso y autenticación. Autenticación multifactor para accesos remotos y sistemas críticos, gestión del ciclo de vida de identidades de empleados y especialmente de terceros (transportistas, proveedores, técnicos de mantenimiento) que acceden a sistemas internos.

Formación del personal. NIS2 incluye la concienciación y formación en ciberseguridad como medida mínima obligatoria. Para más detalle sobre cómo diseñar esta formación de forma que sea demostrable en auditoría, el artículo sobre formación de empleados para cumplir NIS2 desarrolla los criterios prácticos.

Los 4 riesgos más críticos en operaciones logísticas conectadas

1. Ransomware con impacto físico

A diferencia de otros sectores, en logística un ataque de ransomware no solo cifra datos: detiene operaciones físicas. Si el WMS queda inaccesible, el almacén no puede recibir ni expedir mercancía. Si el TMS cae, las flotas pierden asignaciones y rutas.

El impacto económico por hora de parada en un gran operador logístico puede medirse en decenas de miles de euros, lo que crea una presión extrema hacia el pago del rescate.

2. Ataques a la cadena de software (supply chain attacks)

El modelo de ataque a través de actualizaciones de software comprometidas, como el caso SolarWinds o el propio NotPetya, es especialmente relevante en logística porque los operadores dependen de WMS, TMS y plataformas de visibilidad de carga de proveedores externos que actualizan sus sistemas con frecuencia. Un proveedor de software comprometido puede convertirse en el vector de entrada a decenas de operadores clientes simultáneamente.

3. Manipulación de datos de carga y manifiestos

Más allá del ransomware, hay amenazas orientadas a la manipulación silenciosa de datos: modificar manifiestos de carga para facilitar contrabando, alterar datos de temperatura en cadenas de frío, manipular registros de trazabilidad. Este tipo de ataque no genera alertas inmediatas y puede pasar desapercibido durante meses.

4. Ataques a infraestructura portuaria y aeroportuaria

Los sistemas de gestión de terminales portuarias (TOS), las plataformas de gestión de slots de aparcamiento de camiones, y los sistemas de despacho aduanero son infraestructura crítica cuya indisponibilidad bloquea el flujo de mercancías con repercusión en cadena.

El puerto de Amberes sufrió en 2011 un ataque coordinado para manipular datos de contenedores con fines de narcotráfico, y desde entonces los ataques a infraestructura portuaria se han sofisticado significativamente.

Gestión de proveedores y terceros bajo NIS2

La obligación de seguridad de la cadena de suministro de NIS2 tiene implicaciones contractuales directas que muchos operadores logísticos todavía no han trasladado a sus relaciones comerciales.

Para los proveedores de tecnología crítica (WMS, TMS, plataformas de visibilidad, EDI), el operador debe poder exigir evidencias de su postura de seguridad: certificaciones como ISO 27001, resultados de tests de penetración recientes, políticas de gestión de vulnerabilidades y plazos de parcheo, y procedimientos de notificación de incidentes al cliente.

Para los transportistas subcontratados con acceso a sistemas internos o plataformas de intercambio de datos, el contrato debe incluir requisitos mínimos de seguridad: autenticación en las plataformas compartidas, gestión segura de credenciales y obligación de notificar brechas que puedan afectar a los datos del operador.

Para los proveedores de mantenimiento de sistemas OT, los mismos principios de gestión de acceso de terceros que aplican en otros sectores críticos aplican aquí: acceso con autorización previa, credenciales individuales con MFA, y registro de todas las sesiones.

Una evaluación de riesgos estructurada que incluya el mapa de dependencias de terceros es el punto de partida para identificar qué proveedores presentan mayor riesgo y priorizar dónde reforzar contractualmente los requisitos de seguridad.

Cómo construir un programa de cumplimiento NIS2 para logística

El punto de partida es determinar la clasificación exacta de la empresa (entidad esencial o importante) y el alcance de los sistemas en scope, que en logística incluye no solo TI corporativa sino todos los sistemas con impacto directo en la operación: WMS, TMS, sistemas de pesaje, temperatura y trazabilidad, y plataformas de integración con terceros.

Sobre ese inventario se construye la evaluación de riesgos, identificando las dependencias críticas, los escenarios de mayor impacto y los controles que ya existen frente a los que faltan. Para entidades que necesitan prepararse para una supervisión activa de NIS2, el artículo sobre cómo preparar una auditoría NIS2 ofrece una guía de los aspectos que los supervisores nacionales evalúan con más detalle.

El programa debe contemplar también la dimensión operacional de la respuesta a incidentes: en logística, las primeras horas de un ataque son las más críticas porque el coste de parada crece por horas. Tener un playbook documentado, con roles claros y sistemas de comunicación alternativos que no dependan de la infraestructura comprometida, puede marcar la diferencia entre una recuperación en 48 horas y una en dos semanas.

Cómo puede ayudar PrivaLex

PrivaLex trabaja con operadores logísticos, empresas de transporte y proveedores de tecnología para el sector en la implementación de los requisitos de NIS2 con foco en la cadena de suministro digital. El punto de partida es el análisis de brechas frente al artículo 21 de NIS2, con especial atención a las dependencias de terceros y a los sistemas OT conectados que generan mayor superficie de ataque.

El trabajo cubre la evaluación de riesgos de la cadena de suministro tecnológica, la revisión de contratos con proveedores críticos para incorporar requisitos de seguridad exigibles, el diseño del protocolo de notificación de incidentes con los plazos NIS2, y el acompañamiento en la preparación para supervisión activa cuando la empresa está clasificada como entidad esencial.

Conclusión

NIS2 convierte la seguridad de la cadena de suministro digital en una obligación legal para el sector logístico, no en una buena práctica opcional. La exposición real del sector, documentada en incidentes como NotPetya, la complejidad de las integraciones tecnológicas entre operadores y la convergencia IT/OT en almacenes automatizados hacen que este sea uno de los sectores con mayor urgencia de actuación. Las empresas que todavía no han iniciado su análisis de brechas están corriendo un riesgo regulatorio y operativo que crece con cada mes de inacción.

Si quieres saber en qué punto está tu organización respecto a las obligaciones de NIS2, solicita tu risk assessment gratuito o reserva una sesión con nuestro equipo.

Preguntas Frecuentes

El transporte por carretera está incluido en el sector de transporte que NIS2 clasifica como esencial. Sin embargo, no todas las empresas del sector quedan obligadas: NIS2 aplica a partir de determinados umbrales de tamaño (generalmente medianas y grandes empresas) y puede excluir microempresas y pequeñas empresas. La clasificación exacta depende de la plantilla, el volumen de negocio y, en algunos casos, la criticidad del servicio prestado para el sistema de transporte nacional. Verificar la clasificación concreta con criterio legal actualizado es el primer paso antes de iniciar cualquier programa de cumplimiento.

El artículo 21 de NIS2 incluye explícitamente la seguridad de la cadena de suministro entre las medidas mínimas obligatorias. En la práctica, esto significa evaluar los riesgos de ciberseguridad que introducen los proveedores y prestadores de servicios tecnológicos críticos, establecer requisitos de seguridad contractuales para esos proveedores, y gestionar activamente esas relaciones incluyendo notificación de incidentes. No es suficiente con tener controles internos sólidos: la directiva exige también que los riesgos que vienen de fuera estén identificados y gestionados.

Sí, cuando esos sistemas OT tienen impacto directo en la prestación del servicio esencial. NIS2 no distingue entre tecnología de información (IT) y tecnología de operaciones (OT): el alcance de la directiva cubre todos los sistemas de redes e información que soportan los servicios en scope. En un almacén automatizado con sistemas de clasificación, AGVs y control de temperatura conectados a la red corporativa, esos sistemas forman parte del alcance de NIS2 y deben estar incluidos en la evaluación de riesgos y en los controles de seguridad.

Bajo NIS2, la entidad esencial o importante sigue siendo responsable de la continuidad y seguridad de su servicio aunque el incidente se origine en un proveedor externo. Si el incidente en el proveedor causa un incidente significativo en tus operaciones, la obligación de notificación al CSIRT nacional sigue aplicando sobre ti, no sobre el proveedor. Por eso NIS2 exige que el contrato con proveedores críticos incluya la obligación del proveedor de notificarte de cualquier incidente que pueda afectar a tus servicios con tiempo suficiente para que puedas cumplir tus propios plazos de notificación.

Los elementos documentales que los supervisores NIS2 evalúan con mayor detalle son: la política de seguridad de la información aprobada por la dirección, la evaluación de riesgos actualizada con el inventario de activos y las medidas de tratamiento, el mapa de dependencias de proveedores críticos con los requisitos de seguridad establecidos contractualmente, el registro de incidentes y el procedimiento de notificación con los plazos, el plan de continuidad de negocio con escenarios de ciberincidente, y los registros de formación del personal en ciberseguridad. Sin esa base documental, la entidad no puede demostrar diligencia ante el supervisor aunque tenga controles técnicos implementados.

No son lo mismo, aunque se complementan. ISO 27001 es una norma de gestión de la seguridad de la información con certificación voluntaria. NIS2 es una directiva europea de cumplimiento obligatorio. Estar certificado en ISO 27001 no garantiza el cumplimiento de NIS2 automáticamente, aunque facilita significativamente el trabajo porque muchos de los controles de NIS2 tienen su equivalente en los Anexos A de ISO 27001. Para entidades logísticas que ya tienen ISO 27001, el análisis de brechas frente a NIS2 suele ser más rápido porque la base documental y muchos controles técnicos ya existen y solo necesitan adaptarse a los requisitos específicos de la directiva.

Sin coste
Tu informe de riesgo regulatorio, elaborado por expertos.
Una llamada de 30 minutos con nuestro equipo. Analizamos tu situación frente a RGPD, NIS2 o AI Act y te entregamos un informe de riesgos personalizado
Reservar mi Diagnóstico Gratuito