CPG 2.0 y la convergencia IT/OT

CPG 2.0 y la convergencia IT/OT: ¿está tu infraestructura preparada?

El pasado 11 de diciembre de 2025, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) dio un paso clave con la publicación de las Cybersecurity Performance Goals 2.0 (CPG 2.0).
Tras tres años de análisis operativo y feedback sectorial, esta actualización convierte lo que antes eran recomendaciones en acciones medibles y orientadas a resultados.

Para los responsables de seguridad en entornos donde convergen IT y OT, no se trata de “otra normativa más”. Es una hoja de ruta voluntaria, pero crítica, alineada con NIST CSF 2.0, pensada para reducir riesgos reales en infraestructuras que no pueden permitirse interrupciones.

De la técnica a la gobernanza: el verdadero cambio de CPG 2.0

La gran novedad de CPG 2.0 es la incorporación explícita de la función GOVERN (Gobernanza).
CISA deja claro que la ciberseguridad ya no es solo una cuestión técnica, sino una responsabilidad de negocio.

La meta 1.A exige definir roles claros y, sobre todo, establecer colaboración continua entre equipos IT y OT. Esto rompe con los silos tradicionales que siguen existiendo en sectores como energía, manufactura o transporte.

Esta visión conecta directamente con lo que ya venimos analizando en nuestro artículo sobre sistemas y redes industriales OT.

Protección en entornos donde IT y OT chocan

Gestión de activos y cadena de suministro

La meta 2.A de CPG 2.0 insiste en mantener un inventario actualizado.
Mientras que en IT esto suele estar controlado, en OT la falta de visibilidad sobre PLCs, HMIs o dispositivos legacy sigue siendo un riesgo estructural.

Además, las metas 1.D (Supply Chain) y 1.E (Managed Service Providers) refuerzan la necesidad de evaluar proveedores y terceros, un punto crítico también en normativas como NIS2.

No puedes proteger lo que no ves.
El inventario de activos es el punto de partida de cualquier estrategia de ciberseguridad industrial.

Vulnerabilidades, parches y controles compensatorios

CPG 2.0 asume una realidad habitual en OT: no siempre se puede parchear.
La reciente publicación de avisos críticos en sistemas de Siemens, Johnson Controls o toolkits industriales lo demuestra.

Cuando detener una operación no es viable, CISA valida el uso de controles compensatorios, donde la segmentación de red y la monitorización continua se convierten en barreras clave.

Este enfoque se alinea con el uso de tecnologías de detección avanzada como las que explicamos en NDR en entornos OT.

Detectar antes de que sea tarde: visibilidad y respuesta

Las metas 4.A y 4.B refuerzan la necesidad de detección temprana.
Amenazas modernas, malware evasivo y movimientos laterales silenciosos hacen insuficientes las defensas tradicionales.

Por eso, CPG 2.0 conecta directamente con modelos de monitorización 24/7, donde servicios como un SOC-MDR permiten correlacionar eventos IT y OT y distinguir fallos operativos de incidentes reales.

Si quieres profundizar en este modelo, te recomendamos nuestro artículo sobre qué es un SOC en ciberseguridad.

SentryN3t: NDR diseñado para cumplir CPG 2.0 sin interferencias

Uno de los grandes retos de CPG 2.0 es cómo detectar sin impactar en la operación.
Aquí es donde cobra sentido el uso de NDR (Network Detection and Response).

En Ewala, estas necesidades han guiado el desarrollo de SentryN3t, nuestro NDR de monitorización pasiva, diseñado específicamente para entornos industriales y redes híbridas.

SentryN3t permite:

• Visibilidad pasiva y continua del tráfico IT/OT sin agentes.
• Descubrimiento automático de activos, incluso en redes OT sin inventario previo.
• Detección de anomalías mediante análisis de comportamiento, alineada con las metas Identify y Detect de CPG 2.0.
• Respuesta sin interrupción, facilitando la contención antes de que el incidente afecte a la operación.

Este enfoque complementa otras capas como SIEM, SOAR o XDR, tal y como analizamos en XDR vs SIEM: la solución para tu negocio.

De la normativa a la ciberresiliencia

CPG 2.0 confirma algo que ya es evidente: la ciberseguridad industrial ya no va solo de cumplir normas, sino de resiliencia operativa. Las vulnerabilidades seguirán apareciendo.
La diferencia entre una alerta controlada y una crisis está en gobernanza, visibilidad y capacidad de detección real.

En Ewala, ayudamos a las organizaciones a reforzar sus infraestructuras IT y OT, combinando consultoría especializada con tecnología propia como SentryN3t, y facilitando el cumplimiento de NIS2, ISO 27001 y ENS a través de medidas técnicas efectivas y medibles.

¿Quieres evaluar tu madurez frente a CPG 2.0 y la convergencia IT/OT?
Contacta con nosotros y te ayudamos a construir una estrategia alineada con la realidad de tu infraestructura.