¿Tu red OT NO cumple con la NIS2? El Tunneling de DataHub es clave para cumplirla

Inicio > Blog > Comunicaciones industriales > Software OPC > ¿Tu red OT NO cumple con la NIS2? El Tunneling de DataHub es clave para cumplirla
por

¿Tu red OT NO cumple con la NIS2? El Tunneling de DataHub es clave para cumplirla

La nueva directiva NIS2 ya no es una opción, sino un anteproyecto de ley que va a convertirse en obligación para este 2026 para las empresas de sectores críticos como la energía, el transporte o la salud. Incumplir con estas medidas de ciberseguridad puede acarrear multas de hasta 10 millones de euros.

El gran reto para las empresas es cómo conectar tus datos industriales (OT) con el mundo corporativo (IT) sin abrir brechas de seguridad. Aquí es donde el Tunneling de Cogent DataHub se convierte en tu mejor aliado estratégico para cumplir con la normativa y proteger tus activos.

¿Qué es exactamente el Tunneling de DataHub?

El tunneling es una tecnología que permite enviar cualquier dato de una instancia de DataHub a otra a través de una red de forma robusta y segura. Se basa en el protocolo DHTP sobre TCP, lo que garantiza conectividad tanto en redes locales como a través de Internet.

A diferencia de las conexiones tradicionales, el tunneling de DataHub utiliza un modelo de Master (Maestro) y Slave (Esclavo). La gran ventaja técnica es que el esclavo es quien inicia la conexión. Una vez establecido el vínculo, ambos funcionan exactamente igual, permitiendo un flujo de datos bidireccional si es necesario

Ya que DataHub actua como Maestro  y Esclavo a la vez, se puede configurar de un modo u otro dependiendo desde donde se quiera empezar el flujo de datos, pudiendo adaptar la comunicación a necesidades de la arquictectura actual y no alreves.

Ventajas técnicas que marcan la diferencia

Implementar esta solución no solo te ayuda a cumplir con la ley, sino que optimiza tu operación industrial:

  • Adiós a las VPN complejas: Permite transmitir datos de forma segura sobre redes inseguras sin necesidad de configurar VPNs  complejas.

  • Zero Open Inbound Ports: Al ser el esclavo quien inicia la conexión hacia el maestro, no necesitas abrir puertos de entrada en tu firewall industrial, eliminando el principal vector de ataque.

  • Máximo rendimiento: La opción de transmitir cambios en binario puede aumentar la velocidad de transferencia hasta un 50% en arquitecturas x86.

  • Cifrado de grado industrial: Soporta conexiones seguras mediante SSL con cifrado de 256 bits, asegurando que nadie intercepte la información.

¿Cómo ayuda el Tunneling a cumplir con la NIS2?

La directiva NIS2 exige que las entidades gestionen sus riesgos mediante medidas técnicas y operativas. El tunneling de DataHub aborda directamente varios requisitos clave:

  1. Segregación de redes (OT/IT): Permite la separación física y lógica de las redes, cumpliendo con los estándares más exigentes de ciberseguridad OT.

  2. Integridad de los datos: Al actuar como un “espejo” (mirroring), garantiza que los datos en ambos extremos sean idénticos y estén actualizados en tiempo real.

  3. Control de acceso y autenticación: Puedes establecer usuarios y contraseñas específicos para la conexión TCP en el maestro, reforzando la seguridad y decidiendo quién puede y quien no puede acceder a la red.

  4. Continuidad operativa: Ofrece una forma de “redundancia”  al permitir configurar hosts secundarios para reconexión automática en caso de fallo.

  5. Seguridad Unidireccional (Data Diode): Implementa una emulación de diodo de datos que descarta inmediatamente cualquier información de aplicación entrante en la fuente, impidiendo que vulnerabilidades o usuarios comprometidos en el exterior puedan atacar el sistema de control industrial

 

Arquitectura Recomendada: “Ambos Firewalls Cerrados” con DMZ

Para alcanzar el máximo nivel de seguridad exigido por la NIS2, recomendamos la arquitectura de Zona Desmilitarizada (DMZ). Este diseño asegura que nunca haya una conexión directa entre la fuente de datos (Planta) y el usuario final (Corporativo).

Configuración paso a paso:

  1. En la DMZ: Se configura una instancia de DataHub como Tunnel Master. Es el punto de encuentro neutral.

  2. En la Fuente de Datos (OT): Se instala un Tunnel Slave que inicia la conexión hacia la DMZ. Se configura como autoritativo para enviar los datos de planta.

  3. En el Usuario de Datos (IT): Se instala otro Tunnel Slave que también inicia la conexión hacia la DMZ para recoger la información.

De esta forma, todos los firewalls permanecen cerrados a conexiones entrantes, cumpliendo con la filosofía de seguridad por diseño que promueve la NIS2.

En Sumelco, como distribuidores oficiales de Cogent DataHub, te ayudamos a implementar soluciones robustas y escalables ad-hoc para tu empresa y te podemos ayudar a adaptar tu infraestructura a la normativa NIS2 antes de que sea tarde

¿Quieres ver cómo configurar esta arquitectura en tu red actual? Escríbenos para una consultoría técnica personalizada