¿Qué estás buscando?

La ciberseguridad del sector transportes atraviesa un momento decisivo. La convergencia entre la digitalización del sector (vehículos conectados, sensores IoT, sistemas OT críticos) y el endurecimiento regulatorio en Europa está redefiniendo el rol del CISO en este sector. Frameworks como TISAX (Trusted Information Security Assessment Exchange), tradicionalmente asociados al sector automoción, están expandiendo su relevancia como referencia de seguridad. En paralelo, la Directiva NIS2 (UE 2022/2555), amplía obligaciones, supervisión y responsabilidad directa de la alta dirección.

1. TISAX: Un estándar que trasciende la automoción

Aunque TISAX nació como un mecanismo específico para la automoción, los requisitos de los fabricantes de vehículos han expandido este requerimiento a otros participantes en las cadenas de suministros, aunque su negocio sea más amplio que el sector de automoción.

En los últimos años, TISAX ha evolucionado con nuevas versiones del catálogo ISA y un aumento masivo de adopción. Más de 20.000 ubicaciones certificadas globalmente a finales de 2025 reflejan la consolidación del esquema como un estándar de facto para la seguridad de la información, siendo España el 6º país con más ubicaciones certificadas a nivel mundial, y el 3º de Europa.

1.1 Por qué importa TISAX para el sector transportes

Aunque TISAX no es un requisito legal para transportistas, operadores logísticos o proveedores de infraestructura de movilidad, existen razones estratégicas para adoptarlo:

• Requisitos de los OEMs (piezas originales usadas en la fabricación de un vehículo) para asegurar la confidencialidad de sus proyectos y garantizar la disponibilidad del suministro de los componentes.
• Integración con cadenas de suministro de automoción, especialmente cuando el transporte forma parte del flujo logístico de OEMs.
• Estandarización del nivel de seguridad frente a partners, reduciendo auditorías redundantes y facilitando reconocimiento mutuo.
• Robustez en la protección de prototipos, información sensible y datos operativos, cada vez más presentes en flotas conectadas y sistemas inteligentes.
• Alineación con ISO 27001 pero con controles más adaptados a entornos industriales y ciberfísicos, algo crítico para operadores de transporte con OT.

En un sector donde la confidencialidad, integridad y disponibilidad de los sistemas son vitales, TISAX aporta una visión madura y aplicable.

1.2 Evolución reciente del estándar

En los últimos años, con especial hincapié en la publicación del VDA ISA 6.0, TISAX ha incrementado los requisitos para aquellas compañías que quieren certificarse, especialmente:

• Un nuevo sistema de etiquetas más granular basado en confidencialidad, integridad y disponibilidad, con niveles reforzados.
• Mayor foco en Operational Technology (OT), incorporando referencias a IEC 62443 y controles destinados a entornos automatizados y fábricas inteligentes.
• Ampliación significativa del módulo de protección de datos, triplicando su alcance para alinearse mejor con expectativas regulatorias (incluyendo GDPR).
• Refuerzo de controles de gestión de crisis e incidentes, que ahora exigen capacidades maduras de detección, respuesta y recuperación.

En general, los fabricantes de vehículos han incrementado los requisitos para sus proveedores. En el pasado, el foco principal era la confidencialidad en proyectos de I+D; sin embargo, en los últimos años TISAX se ha establecido como un estándar para garantizar la disponibilidad de la producción, una gran preocupación en el sector frente al aumento de ciberataques, especialmente de ransomware, que se han producido los últimos años.

2. NIS2: Obligaciones reforzadas para el sector transportes

La Directiva NIS2 redefine las obligaciones en ciberseguridad para varios sectores críticos, entre ellos el transporte, e impone exigencias sin precedentes en supervisión, reporte e implicación de la dirección.

2.1 Impacto directo sobre operadores de transporte

El transporte es considerado un sector esencial, incluyendo aéreo, ferroviario, marítimo y carreteras, así como logística asociada.

Los riesgos más relevantes identificados para el sector incluyen:

• Ransomware como amenaza creciente a la operación.
• Vulnerabilidades de cadena de suministro.
• Dependencia de dispositivos conectados y telemática.
• Brechas en capacitación del personal y bajo nivel de inversión en ciberseguridad.

Aún sin legislación definitiva en España, NIS2 es vinculante y exige preparación inmediata a empresas del sector transporte, incluyendo:

• Medidas de gestión de riesgos formales y documentadas, con controles técnicos demostrables.
• Reportes rápidos de incidentes ante autoridades competentes.
• Responsabilidad explícita de la dirección, que puede incurrir en sanciones si no impulsa medidas adecuadas.
• Seguridad de OT y validación de proveedores, especialmente fabricantes de sistemas críticos y servicios IT.

3. Convergencia entre TISAX y NIS2: Oportunidades para los CISOs

Aunque TISAX y NIS2 responden a necesidades distintas (uno sectorial y otro regulatorio), su convergencia crea un marco operativo muy sólido para operadores de transporte.

3.1 Sinergias estratégicas

• TISAX refuerza la gobernanza y madurez del ISMS, lo que contribuye al cumplimiento de requisitos NIS2 en gestión de riesgos, evidencia documental y controles de seguridad.
• El énfasis de TISAX en OT, continuidad, gestión de proveedores y protección de datos encaja con las obligaciones reforzadas de NIS2 para los sectores esenciales.
• Las capacidades avanzadas de respuesta e intercambio de información que pide NIS2 encuentran soporte natural en los mecanismos de auditoría y mejora continua de TISAX.

3.2 Diferencias a considerar

• NIS2 es obligatorio y con sanciones, mientras TISAX es voluntario (aunque exigido por muchos OEMs).
• NIS2 impone obligaciones de reporte y gobernanza que TISAX no cubre, especialmente en el ámbito regulatorio y de coordinación nacional.

3.3 Apuesta de futuro

Los CISOs que integren ambos marcos —uno obligatorio, otro estratégico— consolidarán una posición de resiliencia sólida, reducirán el riesgo de interrupciones y se adelantarán a las exigencias crecientes de clientes, socios y reguladores.

Jaume Bigas Vence

Govertis, part of Telefónica Tech