¿Qué es un activo conforme a NIS 2?
Un activo conforme a NIS 2 es todo aquello que procesa, almacena o transmite información de la que dependen sus operaciones. La directiva no dice 'activo' ni una sola vez, pero siete de las diez medidas del Art. 21(2) solo tienen sentido una vez que se tiene la lista.
Por qué el inventario va primero
La mayoría de las implementaciones de NIS 2 se estancan en el mismo punto: alguien empieza por la gestión de riesgos sin saber primero qué evaluar. El inventario de activos es el requisito previo. Sin él, el análisis de riesgos es adivinar, el mapeo de proveedores está incompleto, la respuesta a incidentes no puede acotar el alcance y las auditorías no encuentran nada contra lo que contrastar.
La directiva misma no usa la palabra 'activo' en el Art. 21. Habla de 'redes y sistemas de información', su seguridad y la postura de riesgo de la organización. El CIR 2024/2690 Art. 2(4) y el IT-Grundschutz BSI 200-2 §8.1 aportan el significado operativo: un activo es todo aquello que procesa, almacena o transmite información de la que dependen sus operaciones.
Para un Mittelstand de 60 personas, el inventario no es una hoja de Excel de 200 filas. Es una lista de una página de aproximadamente 10 a 15 entradas agrupadas, lo que Grundschutz permite explícitamente. La cuestión es tenerlo, mantenerlo actualizado y dejar que ancle cada una de las demás decisiones de NIS 2.
Art. 21(2)(a) y 21(2)(b) NIS 2
Las medidas a que se refiere el apartado 1 se basarán en un enfoque que tenga en cuenta todos los peligros y tenga por objeto proteger las redes y los sistemas de información y su entorno físico de los incidentes, e incluirán al menos lo siguiente: a) políticas de análisis de riesgos y de seguridad de los sistemas de información; b) gestión de incidentes.
El análisis de riesgos y la gestión de incidentes se enumeran primero, pero ambos requieren un objeto que analizar y gestionar: el inventario de lo que realmente se tiene. La directiva lo trata como una condición previa más que como una medida separada.
CIR 2024/2690, Art. 2 y Anexo II §2.1
Las entidades pertinentes desarrollarán, documentarán e implementarán políticas de análisis de riesgos y de seguridad de los sistemas de información, en particular estableciendo y manteniendo un inventario de sus activos, incluidos el software, el hardware y la información.
El reglamento de ejecución hace explícito el deber de inventario para los tipos de entidad que cubre (proveedores de servicios digitales). Para todos los demás sectores de NIS 2 el deber es implícito en el Art. 21(2)(a), pero Grundschutz lo hace operativo de la misma manera.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
La agrupación de objetos similares está explícitamente permitida. Una pyme de 60 personas no necesita 45 filas de portátiles; necesita una entrada para 'portátiles de empleados, 45 unidades' si comparten el mismo perfil de protección. Esto es lo que hace que el inventario sea manejable.
Aplicaciones de negocio
ERP, CRM, contabilidad, RR. HH., gestión de proyectos, software específico del sector (sistema de laboratorio en farmacia, plataforma de facturación en una empresa de suministros, MES en una planta). Una línea por aplicación, aunque esté alojada por un proveedor SaaS.
Repositorios de datos
Bases de datos de producción, carpetas compartidas, gestión documental, copias de seguridad, sistemas de archivo. Agrupe por sensibilidad, no por ubicación física.
Infraestructura de red y cómputo
Servidores (propios o alojados), cortafuegos, switches, routers, concentradores VPN, proveedores de identidad, hipervisores, cuentas en la nube. Una línea por clúster de propósito idéntico.
Dispositivos de usuario final
Portátiles de empleados, equipos de escritorio, dispositivos móviles, tabletas. Agrupe por rol y familia de sistema operativo. Añada por separado: estaciones de trabajo de administración privilegiada, quioscos, terminales de punto de venta.
OT y sistemas físicos
SCADA, PLC, gestión de edificios, control de acceso, CCTV, lectores de acceso físico, control industrial específico del sector. A menudo se olvida; para empresas de suministros, fabricación y hospitales esta es la mayor categoría individual.
Servicios prestados por proveedores
TI externalizada, correo electrónico alojado, cortafuegos gestionado, nóminas, ofimática en la nube, identidad como servicio. Anote el nombre del proveedor y el tipo de dependencia conforme al Art. 21(2)(d) NIS 2.
Mismo requisito de protección
Agrupe 45 portátiles de empleados solo si todos comparten el mismo Schutzbedarf de confidencialidad, integridad y disponibilidad. Si 5 de ellos llevan datos de nóminas, esos 5 son un grupo aparte.
Mismo rol operativo
Un servidor de base de datos de producción y el entorno de pruebas de un desarrollador no pueden ser un grupo aunque tengan hardware idéntico. El rol difiere, la exposición difiere, los controles difieren.
Cuente explícitamente
Escriba la cantidad. '45 portátiles de empleados' indica a un auditor el alcance. '1 clúster de portátiles' es inútil. El número es el puente del inventario al análisis de riesgos.
Paso 1 — Empiece por los servicios prestados (15 min)
¿Qué hace realmente su entidad para los clientes? Enumere de 3 a 8 servicios principales. Para una empresa municipal de suministros: distribución de electricidad, distribución de agua, facturación a clientes. Todo activo debe poder rastrearse hasta un servicio o es sobrecarga.
Paso 2 — Asigne aplicaciones y datos a los servicios (25 min)
Para cada servicio, nombre las aplicaciones sobre las que funciona y los datos que toca. SAP para la facturación, la plataforma de lectura de contadores para la distribución, el archivo documental para asuntos legales. Una línea por aplicación.
Paso 3 — Coloque la infraestructura por debajo (25 min)
Servidores, red, dispositivos de usuario final, identidad, cuentas en la nube. Agrupe sin contemplaciones conforme al BSI 200-2 §8.1. Una entidad de 60 personas rara vez supera las 10 filas de infraestructura agrupada.
Paso 4 — Añada los servicios prestados por proveedores (25 min)
Todo servicio externalizado que toque los activos anteriores es en sí mismo un activo, más una dependencia de proveedor. El correo SaaS es una línea; el MSP que gestiona su cortafuegos es una línea. Esto alimenta los deberes de cadena de suministro del Art. 21(2)(d).
Falta OT y servicios de edificio
Líneas de producción, acceso a edificios, CCTV, climatización. Fácil de omitir porque no están en la mesa del equipo de TI. Conforme a NIS 2 son activos en el momento en que procesan información relacionada con su servicio.
Flujos de datos no mapeados
No basta con enumerar las aplicaciones. Anote qué datos fluyen de dónde a dónde. Un archivo de nóminas que se mueve del sistema de RR. HH. al banco por SFTP es en sí mismo un flujo que necesita protección.
Shadow IT no aflorada
Los departamentos a menudo gestionan sus propias suscripciones SaaS (creadores de formularios, herramientas de encuestas, compartición de archivos). Pregunte, no asuma. La Shadow IT se convierte en una dependencia de proveedor conforme al Art. 21(2)(d) con independencia de quién pagó por ella.
- Directiva (UE) 2022/2555 (NIS 2), Art. 21(2), www.eur-lex.europa.eu
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Art. 2 y Anexo II §2.1, www.eur-lex.europa.eu
- BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §30 (transposición nacional del Art. 21)
Esta página proporciona orientación estructurada basada en fuentes disponibles públicamente (Directiva NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para casos específicos, consulte a un abogado admitido. A fecha de 2026-06-04.