Hace poco más de seis meses, tres incidentes en seis meses dibujan una nueva normalidad para cualquier organización que mida y gestione su energía con una plataforma digital. Enero de 2026: hackeo a Endesa Energía que expone datos de 20 millones de clientes, incluyendo —y esto es lo menos comentado pero más relevante para nuestro sector— el CUPS de sus puntos de suministro. Marzo de 2026: ataque digital al Puerto de Vigo, un nodo logístico crítico cuyas consecuencias se extendieron a operaciones físicas y a la cadena de suministro. Junio de 2026: España sigue sin transponer NIS2 —la directiva europea de ciberseguridad para sectores esenciales que venció en octubre de 2024— mientras INCIBE manejó 401 incidentes en entidades reguladas durante 2025, con el sector energético concentrando el 8% de los ataques.
En este contexto, la pregunta para cualquier empresa que tiene una plataforma de gestión energética deja de ser «¿es buena la herramienta?» y pasa a ser «¿está preparada esa herramienta para lo que viene?».
Qué cuenta cada incidente
El caso Endesa es ilustrativo por la cantidad y por la naturaleza de los datos. Un atacante conocido como «Spain» se hizo con más de 1 TB de información desde la plataforma comercial. Lo robado incluye nombre, DNI, IBAN completo, dirección, teléfono y —el dato más relevante para empresas del sector energético— el CUPS, el código único de cada punto de suministro eléctrico. Con DNI más CUPS, un suplantador puede iniciar trámites contractuales en nombre del titular: cambios de comercializadora, modificaciones de tarifa, solicitudes que no llegan a ojos del cliente real hasta semanas después.
El caso del Puerto de Vigo, en marzo, mostró el otro vector: un nodo logístico crítico fue atacado en su capa digital con consecuencias que escalaron al plano físico —retrasos operativos, afectación en la cadena de suministro de varias compañías— y dejó claro que la separación entre IT corporativo y operaciones físicas, que durante décadas vivió aislada, ya no protege.
A escala europea, los datos confirman el patrón: por primera vez las amenazas a tecnología operativa (OT) representan el 18,2% del total de incidentes identificados, con grupos hacktivistas dedicados a atacar interfaces de gestión OT en energía y agua. La tecnología operativa —las redes industriales y los sistemas que controlan procesos físicos, lo que en muchas organizaciones se conoce como «la parte de planta»— se ha convertido en frente activo de ataque.
Por qué importa para tu empresa
Tres consecuencias prácticas.
Primera: lo que está en tu plataforma de gestión energética es información sensible, aunque no lo parezca. Curvas de demanda horarias, perfiles de consumo por instalación, sub-medidas de procesos críticos, contratos, calendarios productivos. Para un competidor, ese material es inteligencia industrial que en otro escenario costaría dinero. Para un cibercriminal, los identificadores asociados —CUPS, datos del titular, contratos— son materia prima para fraude contractual o suplantación de identidad ante terceros.
Segunda: el retraso normativo no exonera a las empresas. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros en enero de 2025, sigue pendiente de debate parlamentario. España ha hecho transposición parcial vía Real Decreto-Ley 7/2025 y, en paralelo, el Reglamento DORA —ámbito originalmente financiero pero con efectos arrastre a quien le presta servicios— y la propia NIS2 son exigibles ya por la vía de inspecciones sectoriales y de criterios de clientes europeos. En la práctica: si tu organización tiene 50 o más empleados o factura más de 10 millones de euros y opera en uno de los 18 sectores esenciales o importantes que NIS2 considera —energía, transporte, salud, agua, manufactura crítica, servicios digitales, infraestructura digital, administración pública—, las obligaciones ya están sobre la mesa. Las inspecciones comienzan, las sanciones se activan y los directivos están descubriendo que la ciberseguridad ya no es un problema exclusivo del departamento de IT.
Tercera: la decisión cloud vs on-premise ha dejado de ser sólo una cuestión técnica o de coste. Es ahora también una decisión de gobierno del dato y de cumplimiento. Y depende del perfil concreto de tu organización: una pyme industrial sin equipo IT dedicado encaja con cloud europeo bien dimensionado; una infraestructura crítica de gran tamaño o una administración pública con datos altamente sensibles puede pedir on-premise puro.
Qué pueden hacer las empresas: cuatro preguntas para tu proveedor
Si ya usas una plataforma de gestión energética, son cuatro preguntas concretas que tu proveedor debería poder contestar sin titubeos. Si no puede, tienes un problema antes de que llegue el inspector.
1. ¿Dónde se almacenan mis datos y bajo qué jurisdicción? Cloud europeo, cloud español, on-premise en tus instalaciones, híbrido. Cada opción tiene implicaciones distintas para NIS2, RGPD y para auditorías sectoriales.
2. ¿Cómo se cifran los datos en tránsito y en reposo, y quién custodia las claves? La respuesta «está todo cifrado» no es respuesta; lo es «TLS 1.3 en tránsito, AES-256 en reposo, claves gestionadas en KMS con módulo hardware de seguridad (HSM), rotación cada X meses».
3. ¿Qué autenticación y control de acceso tengo disponibles? Doble factor obligatorio, integración con tu directorio corporativo (SSO), roles granulares por usuario, registro de actividad auditable.
4. ¿Cómo y en cuánto tiempo me notificas si hay incidente? NIS2 obliga a notificar al regulador en ventanas cortas (24 horas iniciales, 72 horas detalladas). Si tu proveedor no se compromete por contrato a notificarte con el margen suficiente, la obligación regulatoria recae sobre ti sin tener tú la información.
La mirada PowerCloud
PowerCloud está diseñado contemplando que estos requisitos no son opcionales. Despliegue cloud sobre infraestructura europea, con cifrado fuerte y SLA de notificación de incidentes alineado con los plazos NIS2. Despliegue on-premise para organizaciones cuyo perfil regulatorio o de seguridad exige que el dato no salga del perímetro corporativo —típicamente sector público, defensa, infraestructura crítica de gran tamaño. Autenticación SSO, control de acceso por roles, registro de actividad auditable. Y un modelo de datos pensado para que cuando un auditor o un equipo de respuesta pregunte «¿qué información había sobre el suministro X entre las fechas Y y Z y quién accedió?», la respuesta esté disponible en minutos, no en semanas.
No vendemos el miedo, vendemos coherencia: una plataforma de gestión energética seria en 2026 tiene que ser, también, una plataforma seria de gobierno del dato.
¿Sabes en qué jurisdicción está alojado tu sistema actual y qué obligaciones de notificación tienes con tu proveedor? Si tu respuesta es «tendría que mirarlo», merece la pena hacerlo antes de que NIS2 se publique definitivamente y la inspección sea real. En PowerCloud te ayudamos a auditar tu arquitectura actual, identificar gaps frente a NIS2 y a DORA, y a decidir si tu caso pide cloud o on-premise. Si no sabes por dónde empezar, mejor — es justo el punto en el que más valor aportamos. Diagnóstico de 30 minutos, sin compromiso.
Fuentes: Infobae, INCIBE, RedSeguridad (caso Endesa enero 2026); Revista Ciberseguridad, Secra (NIS2 estado junio 2026); INCIBE-CERT FAQ NIS2 (datos sectoriales 2025); informe Cosmikal Q1 2026 (amenazas OT y caso Puerto de Vigo).
