NIS-2 componentes de red: operar Cisco Meraki de forma conforme

29.000 empresas en Alemania están sujetas a NIS-2. [Insertar fuente] Cada una opera switches, routers y firewalls. Cada dispositivo está sujeto a obligaciones de documentación, endurecimiento y auditoría según §30 BSIG. Cisco Meraki está ampliamente extendido en entornos de pymes y KRITIS alemanes. En estado de entrega, la plataforma no cumple los requisitos de NIS-2. Este artículo muestra qué hay que ajustar concretamente, qué brechas permanecen y cómo organizar la transición en 90 días.

NIS-2 componentes de red: qué exige el §30 BSIG en concreto

El §30 BSIG exige medidas técnicas y organizativas conforme al estado del arte para todos los sistemas de red y de información. La norma está formulada como cláusula de cierre. Cualquier componente que transporte, termine o filtre tráfico de datos cae bajo ella. Esto incluye switches, routers, firewalls, puntos de acceso, gateways SD-WAN y su plano de gestión. El Ministerio Federal del Interior documenta los deberes de implementación del BSIG en la coordinación interministerial en curso.

La conformidad significa cuatro bloques demostrables. Primero: análisis de riesgos documentado por clase de activo. Segundo: gestión de parches con tiempo de reacción definido, habitual 48 horas para CVEs críticos [Insertar fuente]. Tercero: redes segmentadas con separación de capa 3 entre áreas funcionales. Cuarto: registro con retención de 12 meses fuera del sistema supervisado mismo. [Insertar fuente]

La Directiva NIS-2 exige explícitamente en el artículo 21 seguridad de la cadena de suministro y la evaluación de proveedores directos. Traducido: auditorías al fabricante, requisitos SBOM y residencia de datos en la UE para nubes de gestión forman parte del contrato. El folleto de marketing no es el lugar adecuado.

La no conformidad conlleva sanciones. Las multas alcanzan 10 millones de € o el 2 % de la facturación mundial. [Directiva NIS-2 Art. 34, insertar enlace] A esto se suma la responsabilidad personal del consejo según §38 BSIG. Quien quiera situarlo operativamente comienza por la Visión general de cumplimiento NIS-2.

Cisco Meraki en el contexto NIS-2: fortalezas y brechas

El Meraki Dashboard está certificado ISO-27001 y FedRAMP. Hay centros de datos UE disponibles en Alemania (Fráncfort) y los Países Bajos (Ámsterdam). La elección de la región de datos se configura por tenant a nivel de organización. Para sujetos obligados a NIS-2 en la UE, la región UE es obligatoria.

La gestión automática de firmware es la fortaleza operativa de la plataforma. Los parches de seguridad pueden programarse según ventana de mantenimiento y se despliegan sin intervención manual. Con ello, el requisito del §30 sobre aplicación oportuna de parches queda técnicamente cubierto. Sin embargo, la obligación organizativa de documentar el estado de parches por dispositivo permanece en el operador.

Primera brecha: las configuraciones por defecto no son conformes a NIS-2. El MFA no está forzado, existen cuentas de administrador local junto al inicio de sesión SAML, los tokens API no rotan automáticamente. Segunda brecha: dependencia del cloud management. Si la organización pierde la conexión al Dashboard, los dispositivos siguen funcionando con el último estado, pero los cambios de configuración son imposibles. Un plan de contingencia documentado, incluyendo configuraciones de respaldo locales, es obligatorio.

Tercera brecha: registro. Los firewalls MX ofrecen IDS/IPS y Advanced Malware Protection (AMP), pero la retención de logs propia de Meraki no alcanza los 12 meses. La exportación Syslog a un SIEM externo (Splunk, Elastic, Sentinel) es requisito previo. Cuarta brecha: las cámaras Meraki MV se clasifican con frecuencia como sistemas de seguridad física, pero técnicamente son componentes de red con su propia interfaz IP. Están sujetas a los mismos deberes de endurecimiento y registro que un punto de acceso.

Lista concreta de endurecimiento para despliegues Meraki

Las siguientes medidas son obligatorias en un entorno Meraki sujeto a NIS-2, no opcionales.

Identidad y acceso. Forzar MFA para todas las cuentas del Dashboard. Desactivar cuentas de administrador local. Acoplar SAML-SSO con el proveedor de identidad (Entra ID, Okta, Keycloak). Activar aprovisionamiento Just-in-Time vía SCIM, para que las bajas de personal se revoquen automáticamente.

Seguridad API. Establecer rotación de 90 días para claves API a nivel de organización. [Insertar fuente o referencia BSI-Grundschutz] Reflejar cada acceso API a través del log de auditoría hacia Splunk o Elastic. Separar estrictamente las claves read-only para monitorización de las write-keys para cambios de configuración.

Segmentación. VLANs estrictamente separadas para OT, IT, invitados, IoT y sistemas de seguridad. Entre los segmentos, reglas de firewall de capa 3 con default-deny explícito. Nunca enrutar tráfico OT hacia la VLAN de oficina. Los sistemas de seguridad (cámaras, control de acceso, robots de patrulla) reciben un segmento propio.

Criptografía. VPN site-to-site exclusivamente con AES-256-GCM e IKEv2. Desactivar cifrados legacy (3DES, MD5, SHA1). Pre-shared Keys con un mínimo de 32 caracteres y rotación de 12 meses. Donde esté disponible: autenticación basada en certificados en lugar de PSK.

Registro. Activar exportación Syslog a SIEM externo. Como mínimo nivel de severidad Informational para eventos de firewall, Notice para eventos de switch. Archivar logs fuera del cloud Meraki, ya que la retención propia de la plataforma no es suficiente para §30 BSIG.

Registro de activos. Documentar ubicaciones de dispositivos, números de serie, direcciones MAC, versiones de firmware y últimas fechas de parche. El §30 BSIG exige un inventario de activos completo. Una extracción JSON semanal vía API de Meraki hacia una CMDB es el estándar mínimo.

Seguridad de la cadena de suministro: Cisco como fabricante bajo NIS-2

El artículo 21 apartado 2(d) de NIS-2 exige la evaluación de las prácticas de seguridad de los proveedores directos. El fabricante de un componente de red crítico es siempre un proveedor directo en el sentido de la norma. La evaluación es obligatoria de documentar y verificable.

Cisco publica advisories PSIRT y opera un proceso formal de divulgación CVE. Con ello, el requisito de transparencia queda documentalmente cumplido. Lo que falta es la cobertura contractual. Las siguientes cláusulas pertenecen al contrato marco o al SLA: obligación de notificación de incidentes de seguridad en 24 horas, provisión de un SBOM para cada major release. A esto se suman una hoja de ruta EOL con al menos 5 años de antelación [Insertar fuente] y tiempos de reacción definidos para parches críticos.

El Cisco Trust Portal proporciona pruebas de certificación auditables (ISO 27001, SOC 2, FedRAMP, Common Criteria). Estas pruebas pertenecen al propio dossier de cumplimiento, con versionado y fecha de caducidad. En despliegues KRITIS según la KritisV, debe verificarse adicionalmente la declaración de confiabilidad del BSI según §9b BSIG para componentes críticos. La KritisV define umbrales y sectores que operan componentes de red sujetos a NIS-2.

La consecuencia operativa: la evaluación de proveedores no es un paso único de adquisición, sino un proceso de revisión anual. La lista de control del KRITIS-Dachgesetz enumera las obligaciones paralelas para componentes físicos.

Integración con la protección perimetral física

NIS-2 abarca red y seguridad física como ámbito de aplicación integrado. Los silos de cumplimiento separados entre IT y Wachschutz ya no son admisibles. El BBK coordina la implementación intersectorial exactamente con esa lógica.

Concretamente: los robots de patrulla Quarero QR-2 y QR-3 utilizan puntos de acceso Meraki MR para la conexión WLAN-backhaul, con fallback LTE en caso de fallo del AP. La telemetría del robot circula por una VLAN dedicada con regla de firewall de capa 7, aislada de la red de oficina y OT. Los flujos de datos: vídeo en vivo al VMS, heartbeat de sensores al centro de control, logs de eventos al SIEM.

Las cámaras Meraki MV y los datos LiDAR del QR-3 con LiDAR y detección de drones se correlacionan en el mismo SIEM. La doble detección (movimiento de cámara más objeto LiDAR) reduce las falsas alarmas entre un 60 y un 80 % frente a la sensórica individual. [Insertar fuente] Operativamente significa: el centro de control de patrullas y el Network Operations Center trabajan sobre la misma pipeline de eventos.

El proceso documentado de respuesta a incidentes cubre ambos dominios. Una anomalía de red (movimiento lateral en la VLAN OT) y una brecha perimetral (detección LiDAR en la valla) activan la misma ruta de escalada. Los ejercicios tabletop prueban ambos escenarios trimestralmente. Un ejercicio puramente de IT no cumple el requisito NIS-2. Implementación práctica véase Protección perimetral en parque industrial.

Responsabilidad del consejo ante componentes de red no conformes

El §38 BSIG regula la responsabilidad personal de la dirección por la implementación y supervisión de las medidas de riesgo. La norma está formulada con dureza. La delegación a la dirección de IT no exonera. El consejo debe aprobar el sistema de gestión de riesgos, examinarlo documentadamente y completar él mismo formaciones.

La responsabilidad solo es asegurable si se demuestra el deber de diligencia documentado. Esto incluye evaluación de proveedores, audit trails y certificados de formación. Las aseguradoras D&O revisan esta documentación antes de la confirmación de cobertura. En caso de siniestro se realiza la misma revisión nuevamente. Si falta la prueba, la cobertura decae. Las empresas supervisadas por BaFin están sujetas adicionalmente a MaRisk AT 7.2 con deberes de documentación reforzados sobre gobernanza de IT.

Operativamente decisivo es la inversión de la carga de la prueba. Ante un incidente, el consejo debe demostrar activamente el cumplimiento. No es la autoridad quien prueba la infracción, sino la dirección quien prueba la diligencia. Quien no presente un informe de auditoría actualizado ni historial de formación, ha perdido. El procedimiento ya está decidido. Detalles sobre la cuestión de responsabilidad en Responsabilidad del consejo bajo NIS-2.

Preparación de auditoría: qué exigen los auditores ante setups Meraki

Los auditores exigen seis artefactos en entornos Meraki. Esto vale para auditorías del BSI, auditores encargados y auditores de cuentas en el marco del cierre anual. Quien los mantiene disponibles supera la auditoría sin requerimientos adicionales.

1. Lista completa de activos. Dirección MAC, número de serie, ubicación física, versión de firmware y última fecha de parche por dispositivo. Formato: CSV o exportación CMDB, no PDF.

2. Exportaciones de configuración. JSON vía API de Meraki con marca temporal, archivado al menos trimestralmente en un repositorio de solo lectura. Diff de versiones documentado en cada cambio.

3. Prueba de MFA. Capturas de pantalla o exportación API que acrediten activación de MFA para el 100 % de las cuentas del Dashboard. Sin cuenta de excepción. Las cuentas de servicio funcionan mediante claves API con auditoría de rotación separada.

4. Informes de pentest. Renovados anualmente, foco en el plano de cloud management y endpoints API. Proveedor externo con certificación OSCP o CREST.

5. Playbook de respuesta a incidentes. Roles designados, cadena de escalada, Recovery Time Objective (RTO) por debajo de 4 horas para segmentos de red críticos. [Insertar fuente] Última prueba con un máximo de 12 meses de antigüedad.

6. Certificados de formación. Administradores y dirección según §38 apartado 3 BSIG. Contenidos, lista de asistentes, resultado del examen, intervalo de repetición.

Si falta uno de estos artefactos, el resultado de la auditoría es "hallazgo material". Con dos fallos, se deniega la conformidad en conjunto.

Próximos pasos: plan de 90 días hacia la conformidad NIS-2

El siguiente calendario es realizable en entornos de pymes con 200 a 2.000 dispositivos Meraki. Requisito previo: un jefe de proyecto dedicado y mandato del consejo.

Días 1 a 14: inventario. Extraer inventario de activos vía API de Meraki. Auditar la organización: cuántas cuentas admin, cuántas claves API, qué región de datos, qué clase de licencia por dispositivo. Forzar MFA y SAML-SSO. Desactivar cuentas locales o asegurarlas con MFA.

Días 15 a 45: endurecimiento técnico. Activar segmentación VLAN en producción. Implementar reglas de firewall de capa 3 con default-deny. Conexión SIEM vía Syslog en producción. Renegociar contratos con Cisco y distribuidores: notificación en 24 horas, SBOM, hoja de ruta EOL.

Días 46 a 75: madurez organizativa. Redactar playbook de respuesta a incidentes y probarlo en ejercicio tabletop. La dirección participa, no solo IT. Cerrar formaciones para administradores y consejo, incluyendo examen y certificado.

Días 76 a 90: auditoría. Encargar auditoría externa. Cerrar medidas pendientes del informe de auditoría. Finalizar el dossier de cumplimiento con los seis artefactos del capítulo anterior.

Paralelamente al nivel de red debe revisarse la protección perimetral física. NIS-2 y el KRITIS-Dachgesetz exigen una visión integrada. Quien contrata Wachschutz externo compara la base de costes mediante la comparativa TCO de Wachschutz. Quien cambia a patrulla autónoma examina el modelo Robotics-as-a-Service, ya que la adquisición CapEx en 2025 raramente entra en presupuesto.

La verificación operativa de cumplimiento empieza con un self-assessment estructurado. La entrada para ello se encuentra en la Visión general de cumplimiento NIS-2. Allí hay plantillas para registro de activos, evaluación de proveedores y playbook de respuesta a incidentes, transferibles directamente a un entorno Meraki.