NIS2 y gestion de activos IT: checklist completo para PYMEs
La Directiva NIS2 (Directiva (UE) 2022/2555) entro en vigor el 16 de enero de 2023 y los Estados miembros de la UE debieron transponerla a su legislacion nacional antes del 17 de octubre de 2024. Esto significa que, a partir de esa fecha, las obligaciones son exigibles. Y en 2026, las primeras auditorias ya estan en marcha.
Si diriges una PYME en un sector esencial o importante, la pregunta ya no es si te afecta NIS2, sino si tu inventario de activos IT resiste una auditoria. Este articulo te ofrece un checklist completo, basado en los requisitos reales de la directiva, para que puedas prepararte sin depender de consultores externos.
Que exige NIS2 sobre los activos IT
El Articulo 21 de la Directiva NIS2 establece las medidas de gestion de riesgos de ciberseguridad que las entidades deben implementar. En concreto, el apartado 2 lista diez categorias de medidas minimas, entre las que destacan:
- Gestion de activos (Asset Management): Identificacion y clasificacion de todos los activos de informacion y sistemas de red.
- Gestion de incidentes: Procedimientos para detectar, gestionar y notificar incidentes, vinculados a los activos afectados.
- Continuidad de negocio: Planes que dependen de conocer que activos son criticos y donde estan.
- Seguridad de la cadena de suministro: Control sobre que dispositivos provienen de que proveedores y con que configuraciones.
- Politicas de control de acceso: Quien tiene acceso a que activos y bajo que condiciones.
En la practica, esto se traduce en una exigencia clara: debes tener un inventario completo, actualizado y auditable de todos tus dispositivos y equipos IT. No basta con saber que tienes 47 portatiles. Necesitas saber cuales son, donde estan, quien los custodia, que software ejecutan y que incidentes han tenido.
Checklist completo de gestion de activos para NIS2
A continuacion presentamos un checklist de 10 puntos que cubre los requisitos clave de NIS2 en relacion con la gestion de activos IT. Cada punto incluye el por que es necesario y que evidencia deberias poder presentar ante un auditor.
1. Inventario completo de dispositivos
Registra todos los dispositivos conectados a tu red o utilizados por empleados: portatiles, sobremesas, servidores, dispositivos moviles, impresoras, equipos de red, dispositivos IoT. Cada entrada debe incluir como minimo: tipo de dispositivo, fabricante, modelo, numero de serie, direccion MAC y fecha de adquisicion.
Evidencia requerida: Listado exportable con fecha de ultima actualizacion. Un auditor comprobara que el inventario coincide con la realidad fisica.
2. Clasificacion por criticidad
No todos los activos tienen el mismo impacto en caso de incidente. NIS2 exige una evaluacion de riesgos proporcional. Clasifica cada activo en niveles de criticidad (por ejemplo: critico, alto, medio, bajo) segun el impacto que tendria su indisponibilidad o compromiso en las operaciones de la empresa.
Evidencia requerida: Criterios documentados de clasificacion y el nivel asignado a cada activo.
3. Asignacion de custodia documentada
Cada dispositivo debe tener un responsable o custodio asignado. Esto es fundamental para el Articulo 21(2)(i) sobre control de acceso y gestion de activos. El custodio es la persona que utiliza o administra el dispositivo y responde por su estado.
Evidencia requerida: Registro de asignaciones con fecha, firma o aceptacion digital del custodio. Historial de cambios de custodia.
4. Registro de ubicacion fisica
Para cada activo, documenta su ubicacion: oficina central, sede remota, domicilio del empleado (teletrabajo), almacen, proveedor externo. Este dato es esencial para planes de continuidad de negocio y para respuesta a incidentes.
Evidencia requerida: Campo de ubicacion actualizado en el inventario. Capacidad de filtrar activos por ubicacion.
5. Control del ciclo de vida completo
NIS2 no solo pide saber que tienes ahora, sino poder demostrar el recorrido completo de cada activo: adquisicion, configuracion, asignacion, mantenimiento, reasignacion, retirada y destruccion segura. Cada transicion debe estar registrada con fecha y responsable.
Evidencia requerida: Historial cronologico de cada activo con todas las transiciones de estado documentadas.
6. Vinculacion de incidentes a activos
Cuando ocurre un incidente de seguridad, debes poder identificar inmediatamente que activos estan afectados. Y a la inversa: para cualquier activo, debes poder consultar su historial de incidentes. Esto es un requisito directo del Articulo 21(2)(b) sobre gestion de incidentes.
Evidencia requerida: Sistema que vincule tickets de incidentes con activos especificos. Capacidad de generar un informe de incidentes por activo.
7. Registro de software y configuraciones
Documenta el software instalado en cada dispositivo, incluyendo versiones del sistema operativo y aplicaciones criticas. Esto es necesario para la gestion de vulnerabilidades y para demostrar que mantienes los sistemas actualizados, tal como exige el Articulo 21(2)(e).
Evidencia requerida: Listado de software por dispositivo. Registro de actualizaciones aplicadas.
8. Documentacion de proveedores
El Articulo 21(2)(d) exige seguridad en la cadena de suministro. Para cada activo, registra el proveedor de origen, la fecha de compra, el contrato de garantia o mantenimiento y cualquier servicio externo asociado.
Evidencia requerida: Datos del proveedor vinculados a cada activo. Contratos y SLAs accesibles.
9. Pista de auditoria completa
Este es el punto donde muchas PYMEs fallan. Una pista de auditoria (audit trail) significa que cada cambio en el inventario queda registrado automaticamente: quien hizo que, cuando y desde donde. Un auditor NIS2 verificara que no puedes modificar registros sin dejar rastro.
Evidencia requerida: Log inmutable de cambios con marca temporal, usuario responsable y detalle de la modificacion. Sin posibilidad de borrar o alterar entradas del log.
10. Capacidad de reporte y exportacion
Cuando un auditor solicita informacion, debes poder generarla en minutos, no en dias. Necesitas la capacidad de generar informes filtrados por tipo de activo, estado, ubicacion, custodio o periodo temporal, y exportarlos en formatos estandar.
Evidencia requerida: Demostracion en vivo de generacion de informes durante la auditoria.
Lagunas habituales en PYMEs
Tras trabajar con decenas de PYMEs europeas en su preparacion para NIS2, estos son los problemas mas frecuentes que encontramos:
- Inventario incompleto: Se registran portatiles y servidores, pero se olvidan monitores, discos externos, routers, puntos de acceso WiFi y dispositivos IoT.
- Sin historial de custodia: Se sabe quien tiene un portatil hoy, pero no quien lo tuvo antes ni cuando se reasigno.
- Excel como herramienta principal: Las hojas de calculo no ofrecen pista de auditoria, no controlan versiones automaticamente y no impiden modificaciones no autorizadas.
- Incidentes desvinculados: Los tickets de soporte van por un sistema y el inventario por otro, sin relacion entre ellos.
- Sin clasificacion de criticidad: Todos los activos se tratan igual, lo que impide priorizar la proteccion de los mas importantes.
- Bajas no documentadas: Dispositivos retirados de los que no hay constancia de borrado seguro de datos ni de destruccion fisica certificada.
Como una herramienta ITAM adecuada marca la diferencia
Una plataforma de gestion de activos IT (ITAM) disenada para compliance NIS2 automatiza la mayor parte de este checklist. En lugar de mantener hojas de calculo dispersas y correos electronicos como prueba, una herramienta ITAM centraliza todo el ciclo de vida del activo en un unico sistema con pista de auditoria incorporada.
Las funcionalidades clave que debe ofrecer incluyen: registro automatico de cada cambio con marca temporal y usuario, asignacion de custodia con aceptacion digital, vinculacion de incidentes a activos, clasificacion por criticidad, alertas de vencimiento de garantias y contratos, y generacion de informes exportables bajo demanda.
La inversion en una herramienta adecuada no solo facilita pasar la auditoria, sino que reduce significativamente el tiempo de preparacion. Lo que con Excel lleva semanas de trabajo manual, con una plataforma ITAM se resuelve en horas.
Proximos pasos
Si tu empresa esta sujeta a NIS2, estas son las acciones inmediatas que recomendamos:
- Realiza un inventario fisico de todos los dispositivos IT de tu organizacion esta semana.
- Compara el inventario fisico con tus registros actuales e identifica las discrepancias.
- Define criterios de clasificacion por criticidad y aplicalos a cada activo.
- Establece un proceso formal de asignacion de custodia con registro documental.
- Evalua si tu sistema actual de gestion de inventario cumple los requisitos de pista de auditoria que NIS2 exige.
- Si no los cumple, migra a una herramienta ITAM con capacidades de compliance antes de que llegue tu primera auditoria.
Las auditorias NIS2 ya estan comenzando en 2026. El momento de prepararse no es manana. Es hoy.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.
NIS2 y comunicaciones: gestion de activos para operadores de telecomunicaciones
Antenas, nodos de red, centralitas, equipos de fibra. Los operadores de telecomunicaciones son entidades esenciales bajo NIS2.
NIS2 e infraestructura digital: inventario de activos para proveedores cloud y datacenters
Servidores, switches, firewalls, balanceadores. Si operas infraestructura digital, NIS2 exige documentar cada componente.