Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Marcos de ciberseguridad para la industria química: los nueve estándares que toda empresa del sector debe conocer

Fecha de actualizacion 03/07/2026
Autor
INCIBE (INCIBE)
ES-ISAC QUÍMICO

El ES-ISAC Industria Química ha identificado, en su Informe de Situación de Ciberseguridad 2025, un catálogo de fichas técnicas sobre los principales marcos y estándares de ciberseguridad aplicables al sector. Debido a la importancia de que todos los actores implicados en este sector estén familiarizados con esta temática, extraemos aquí un resumen de los nueve principales estándares. Ninguno de ellos cubre por sí solo toda la superficie de riesgo de una instalación química; la clave está en combinarlos de forma complementaria.

MARCOS HORIZONTALES RECOMENDADOS

  • ISO/IEC 27001:2022 + ISO/IEC 27002:2022 constituyen la base estructural del programa de ciberseguridad. La certificación ISO 27001 es la evidencia objetiva de madurez reconocida. Para instalaciones químicas, el alcance del SGSI puede incluir explícitamente los sistemas OT (DCS, PLCs, SCADA)  y los Sistemas Instrumentados de Seguridad (SIS).

  • ISA/IEC 62443 es el estándar de ciberseguridad OT de referencia en la industria química a nivel global. Su modelo de zonas de seguridad y conductos es directamente aplicable a la arquitectura de red de las plantas de proceso, y sus niveles de seguridad (SL 1 a 4) permiten priorizar inversiones según el riesgo de cada zona. Es importante entender cuáles de sus series son de aplicación más inmediata para el responsable de ciberseguridad de una planta química y cómo coordinar su implementación con IEC 61511.

  • NIST Cybersecurity Framework 2.0 organiza la gestión del riesgo en seis funciones (Govern, Identify, Protect, Detect, Respond y Recover). Es accesible para organizaciones en fases iniciales de madurez.

  • CIS Controls v8 ofrece un catálogo priorizado adaptable a cualquier tamaño de instalación, desde pequeñas plantas de formulación hasta grandes complejos petroquímicos. El informe destaca los controles de mayor impacto en entornos industriales químicos y el uso de los CIS Benchmarks como herramienta de bastionado de alta eficacia para servidores SCADA.

MARCOS SECTORIALES ESPECÍFICOS PARA LA INDUSTRIA QUÍMICA

  • IEC 61511:2016 regula el ciclo de vida completo de los Sistemas Instrumentados de Seguridad e incorpora desde su segunda edición la obligación explícita de evaluar la seguridad ciber del SIS. En la industria química, donde el SIS es la última barrera ante accidentes graves, esta integración entre ciberseguridad y seguridad funcional no es opcional. El ataque TRITON/TRISIS (2017) es el caso de referencia que el informe analiza para ilustrar las consecuencias de no abordarla. Las implicaciones prácticas para las Auditorías de Seguridad Funcional se desarrollan en detalle en el documento.
  • IEC 61508 establece los requisitos que deben cumplir los fabricantes de componentes SIS. Su relevancia para un trabajador del sector no es directa, sino a través de la cadena de suministro: determina qué exigir a los proveedores de equipos de seguridad, incluyendo el Secure Development Lifecycle. El informe explica cómo coordinar la evaluación SIL y la evaluación de ciberseguridad de un componente, dos dimensiones que no son equivalentes.
  • Responsible Care Security Code del American Chemistry Council es el marco de seguridad más adoptado en la industria química global, obligatorio para miembros de la ACC y aplicado por filiales de multinacionales como requisito corporativo. Integra seguridad física y cibernética e incluye requisitos sobre la cadena de suministro. El informe detalla su relación con el Chem-ISAC y su utilidad como punto de referencia para empresas no miembro de la ACC.
  • CISA Chemical Sector-Specific Goals (SSGs) y ChemLock son prácticas de ciberseguridad publicadas específicamente para el sector químico a nivel global. El programa ChemLock ofrece evaluaciones in situ y ejercicios de simulación de ciberataque para instalaciones con sustancias peligrosas. 
  • CISA Recommended Practices ICS y Chemical NIST CSF Guidance constituyen una colección de guías técnicas completas para la protección de sistemas ICS/SCADA en industria de proceso, incluyendo la herramienta gratuita CSET para autoevaluaciones. 

CONCLUSIÓN

La pregunta relevante para un responsable de ciberseguridad  de una empresa del sector no es solo cuáles son los estándares que existen, sino cuál aplicar primero, cómo combinarlos y qué nivel de implementación es realista para cada tipo de instalación química. 
 

Etiquetas