3 preguntas que tu auditor NIS2 hara sobre tus dispositivos

Las auditorias NIS2 ya no son una posibilidad lejana. La directiva fue transpuesta a legislacion nacional en octubre de 2024, y durante 2026 las autoridades competentes de los Estados miembros de la UE estan iniciando las primeras verificaciones formales. Si tu empresa es una entidad esencial o importante bajo NIS2, un auditor va a sentarse frente a ti y va a hacerte preguntas concretas sobre como gestionas tus activos IT.

No son preguntas trampa. Son preguntas directas y razonables. Pero si no tienes las respuestas documentadas, el resultado puede ser una no conformidad que derive en sanciones de hasta 10 millones de euros o el 2% de la facturacion global anual para entidades esenciales.

Estas son las tres preguntas que aparecen en practicamente toda auditoria NIS2 relacionada con activos IT, y lo que necesitas para responderlas correctamente.

Pregunta 1: “Muestreme el inventario completo de dispositivos conectados a su red”

Esta es siempre la primera pregunta. El auditor quiere ver que tienes una vision completa de tu superficie de ataque. No le vale una lista parcial ni una aproximacion. Quiere un inventario exhaustivo: cada portatil, cada servidor, cada dispositivo movil, cada router, cada punto de acceso, cada impresora de red, cada dispositivo IoT.

Una buena respuesta

Abres tu sistema ITAM y generas un informe en tiempo real que muestra todos los dispositivos registrados, agrupados por tipo, con su estado actual (activo, en almacen, retirado), su ubicacion y su custodio asignado. El informe se genera en menos de un minuto y se puede exportar a PDF o CSV. El auditor puede verificar que el numero de dispositivos coincide con lo que observa en la red.

Una mala respuesta

Abres un fichero Excel que fue actualizado hace tres meses. Faltan varios dispositivos que el auditor detecta en un escaneo rapido de red. No hay registro de quien actualizo la hoja por ultima vez. Algunos campos estan vacios. Cuando el auditor pregunta por un dispositivo concreto, tienes que buscarlo manualmente durante varios minutos.

Que documentacion necesitas

• Inventario centralizado y actualizado con todos los dispositivos de la organizacion.
• Campos obligatorios: tipo, fabricante, modelo, numero de serie, estado, ubicacion, custodio.
• Fecha de ultima actualizacion visible y verificable.
• Capacidad de exportar el inventario completo en formato estandar bajo demanda.

Pregunta 2: “Para este dispositivo concreto, digame quien tiene acceso y quien lo ha tenido”

El auditor seleccionara uno o varios dispositivos al azar de tu inventario y te pedira el historial completo de custodia. Quiere ver quien tiene acceso fisico al dispositivo ahora, quien lo ha tenido antes, cuando se produjo cada cambio de custodia y si existe constancia formal de la entrega y aceptacion.

Esta pregunta valida el cumplimiento del Articulo 21(2)(i) de NIS2, que exige politicas de control de acceso y gestion de activos. El acceso fisico a un dispositivo es una forma de acceso que debe estar controlada y documentada.

Una buena respuesta

Seleccionas el dispositivo en tu sistema y muestras su ficha completa. En ella aparece la cadena de custodia: el dispositivo fue adquirido el 15 de enero de 2025, asignado a Ana Garcia el 20 de enero (con su aceptacion registrada), reasignado a Carlos Lopez el 3 de septiembre tras la rotacion del equipo (con registro de devolucion de Ana y aceptacion de Carlos). Cada transicion tiene fecha, hora y usuario que realizo el cambio en el sistema.

Una mala respuesta

“Creo que ese portatil lo tiene alguien del departamento de marketing. Dejeme preguntar.” No hay registro formal de asignacion. No se sabe si el empleado anterior devolvio el equipo. No hay constancia de cuando se produjo el cambio. El auditor anota una no conformidad.

Que documentacion necesitas

• Historial de custodia para cada activo con fechas y responsables.
• Registro de aceptacion del custodio (firma digital, confirmacion en el sistema o documento firmado).
• Registro de devolucion cuando un custodio deja de ser responsable del activo.
• Pista de auditoria que muestre quien registro cada cambio de custodia en el sistema.

Pregunta 3: “Que incidentes de seguridad han afectado a este dispositivo y como respondieron”

El Articulo 21(2)(b) de NIS2 exige que las entidades tengan procedimientos de gestion de incidentes. Pero un procedimiento escrito en un documento no es suficiente. El auditor quiere ver evidencia de que, cuando ocurre un incidente, puedes vincular ese incidente a los activos afectados y demostrar las acciones tomadas.

Esta pregunta tambien valida tu capacidad de notificacion. NIS2 exige notificar incidentes significativos en plazos concretos (alerta temprana en 24 horas, informe inicial en 72 horas). Si no puedes identificar rapidamente que activos estan afectados, no puedes cumplir esos plazos.

Una buena respuesta

Abres la ficha del dispositivo y accedes a la pestana de incidentes. Aparecen dos registros: un incidente de malware detectado el 12 de junio de 2025, con detalle de las acciones tomadas (aislamiento del equipo, analisis forense, reinstalacion y reasignacion), y una incidencia menor de perdida temporal del 8 de noviembre, resuelta con la localizacion del equipo en una sala de reuniones. Ambos tienen fecha, descripcion, acciones y resolucion documentadas.

Una mala respuesta

“No recuerdo que haya habido incidentes con ese equipo, pero tendria que revisar los correos del departamento de IT.” Los incidentes se gestionaron por email o por chat, sin registro formal. No hay forma de vincular un incidente concreto a un dispositivo concreto. El auditor no puede verificar la trazabilidad.

Que documentacion necesitas

• Sistema de gestion de incidentes vinculado al inventario de activos.
• Cada incidente registrado con: fecha de deteccion, descripcion, activos afectados, acciones tomadas, fecha de resolucion.
• Capacidad de consultar todos los incidentes asociados a un activo especifico.
• Capacidad de consultar todos los activos afectados por un incidente especifico.
• Registro inmutable de las acciones de respuesta con marcas temporales.

El patron comun: trazabilidad

Si observas las tres preguntas, todas convergen en un concepto: trazabilidad. El auditor NIS2 no espera que no tengas incidentes ni que tu inventario sea perfecto en todo momento. Lo que espera es que puedas demostrar, con evidencia documental verificable, que controlas tus activos, que sabes quien los usa y que puedes reconstruir lo que ha ocurrido con cada uno de ellos.

Esta trazabilidad requiere tres elementos tecnicos que un sistema manual o basado en hojas de calculo no puede ofrecer de forma fiable:

• Centralizacion: Toda la informacion en un unico sistema de referencia.
• Automatizacion: Los registros se crean automaticamente al realizar acciones, sin depender de que alguien recuerde anotar algo.
• Inmutabilidad: Los registros historicos no pueden ser alterados ni eliminados. La pista de auditoria es integra.

Como prepararte antes de la auditoria

No esperes a que te notifiquen la fecha de auditoria para empezar a prepararte. Estas son las acciones que puedes tomar hoy:

• Realiza un simulacro interno: pide a alguien de tu equipo que te haga estas tres preguntas y evalua honestamente la calidad de tus respuestas.
• Identifica las lagunas: si no puedes responder alguna pregunta con documentacion concreta, tienes un problema que resolver.
• Implementa un sistema ITAM con pista de auditoria antes de que llegue el auditor. Migrar datos despues es mucho mas costoso que empezar a registrar correctamente desde ahora.
• Establece el habito de registrar cada movimiento de activo en el sistema en el momento en que ocurre, no al final del mes.

La auditoria NIS2 no es un examen sorpresa. Las preguntas son conocidas y las respuestas estan al alcance de cualquier PYME que se tome en serio la gestion de sus activos IT. La diferencia entre aprobar y suspender es simplemente la preparacion.