Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Do we need IEC 62443 certification, or just alignment?

Most enterprises target IEC 62443 alignment with documented design and operational practices — not formal certification. Formal certification (typically to 62443-4-1 for products or 62443-2-1 for processes) is required only in specific regulated contexts (some critical infrastructure, some defence). Alignment is sufficient for the vast majority of industrial deployments.

Which Security Level should we target?

SL 2 for most industrial RTLS, SL 3 for the management and integration layers and for deployments in critical infrastructure or with elevated threat profiles. We help you scope the appropriate level per zone at gate 1, jointly with your CISO.

How does this affect vendor selection?

Significantly. Vendors who can't articulate their Security Development Lifecycle (typically 62443-4-1 capable) drop out of the shortlist. Most enterprise RTLS suppliers are now there, but verification is non-trivial — we run it during vendor evaluation.

Can we retrofit IEC 62443 alignment to an existing deployment?

Yes, but more expensively than designing it in. Retrofit usually means re-segmenting the network, re-keying device certificates, hardening platform configurations and rebuilding incident-response procedures. We do this work as part of Programa Rescate engagements.

CUMPLIMIENTO · SEGURIDAD OT

IEC 62443 & RTLS — OT ciberseguridad.

RTLS es tecnología operativa. Funciona junto a tus PLC, SCADA, MES y historian, y su compromiso puede afectar a la producción. IEC 62443 es el marco que la mayoría de los equipos de OT empresariales utilizan para definir y protegerlo. Este es el resumen a nivel de operador.

Reserva una llamada de alcance de 30 minutos

El modelo de Purdue y dónde reside RTLS

IEC 62443 hereda la Arquitectura de Referencia Empresarial de Purdue: un modelo en capas donde el Nivel 0 son sensores / actuadores, el Nivel 1 es control básico, el Nivel 2 es supervisión (HMI), el Nivel 3 son operaciones de fabricación (MES) y el Nivel 4–5 es TI empresarial.

Los componentes de RTLS se distribuyen en múltiples capas: anclas y gateways en L1-L2, plataforma de inteligencia de localización en L3, análisis e informes en L4. La arquitectura debe respetar los conductos entre estas zonas.

Niveles de seguridad — SL 1 a SL 4

IEC 62443 define cuatro niveles de seguridad por capacidad del atacante: SL 1 contra el uso indebido casual, SL 2 contra ataques intencionados no sofisticados, SL 3 contra ataques sofisticados específicamente dirigidos, SL 4 contra ataques sofisticados con recursos extensivos.

La mayoría de los despliegues industriales de RTLS están dirigidos a SL 2 en toda la plataforma, con SL 3 para las capas de gestión e integración. Lograr estos requisitos requiere tanto la capacidad del proveedor como las decisiones de diseño de despliegue.

Zonas, conductos y lo que los cruza

Cada arquitectura IEC 62443 define zonas (agrupaciones lógicas de equipos con requisitos de seguridad comunes) y conductos (los caminos de comunicación controlados entre ellos).

Para RTLS esto suele significar: una zona ancla dedicada a RTLS en L1-L2, una zona analítica en L3 y conductos explícitos y monitorizados hacia MES, WMS y el historiador.

El tráfico interzona utiliza protocolos autenticados y cifrados con estricta lista de permisos, no redes planas.

Gestión de parches, despliegue seguro y ciclo de vida

IEC 62443 requiere seguridad continua a lo largo de todo el ciclo de vida del despliegue, no solo en la transferencia de proyectos.

Esto implica procesos documentados de gestión de parches, ajustes de proveedores seguros por defecto, evaluación periódica de vulnerabilidades y manuales de respuesta a incidentes específicos para OT (donde 'desconectar' rara vez es una respuesta aceptable).

Estos están diseñados como parte de las etapas 1 y 3 de la Método de Programa TRACIO.

Preguntas frecuentes

¿Necesitamos la certificación IEC 62443 o solo la alineación?

La mayoría de las empresas se orientan a la alineación IEC 62443 con prácticas de diseño y operaciones documentadas, no con la certificación formal.

La certificación formal (normalmente 62443-4-1 para productos o 62443-2-1 para procesos) solo se requiere en contextos regulados específicos (algunas infraestructuras críticas, otras de defensa). La alineación es suficiente para la gran mayoría de los despliegues industriales.

¿Qué nivel de seguridad deberíamos fijarnos?

SL 2 para la mayoría de los RTLS industriales, SL 3 para las capas de gestión e integración y para despliegues en infraestructuras críticas o con perfiles de amenaza elevados. Te ayudamos a definir el nivel adecuado por zona en la puerta 1, junto con tu CISO.

¿Cómo afecta esto a la selección de proveedores?

Significativamente. Los proveedores que no pueden articular su ciclo de vida de desarrollo de seguridad (normalmente compatible con 62443-4-1) se retiran de la lista corta.

La mayoría de los proveedores empresariales de RTLS ya están disponibles, pero la verificación no es trivial: la realizamos durante la evaluación del proveedor.

¿Podemos adaptar la alineación IEC 62443 a un despliegue existente?

Sí, pero más caro que diseñarlo en el interior. La retrofit suele implicar resegmentar la red, volver a codificar certificados de dispositivos, reforzar configuraciones de plataformas y reconstruir procedimientos de respuesta a incidentes.

Realizamos este trabajo como parte de Programa Rescate compromisos.

Última actualización: 26 de mayo de 2026

IEC 62443 &amp; RTLS — OT ciberseguridad.