Cómo construir el inventario de activos de NIS 2
El Artículo 21(2)(j) NIS 2 y el §12 del CIR fijan los cinco campos obligatorios. El BSI 200-2 §8.1 le permite agrupar activos idénticos. La mayoría de las empresas Mittelstand terminan con 10 a 15 entradas, no con 200.
La versión corta
NIS 2 nombra la gestión de activos en el Artículo 21(2)(j) como una de las diez medidas mínimas de gestión de riesgos. El Reglamento de Ejecución (UE) 2024/2690 de la Comisión lo convierte en un deber concreto en el §12: mantener un registro de los activos de los que depende la entidad, con un identificador único, una descripción, un propietario, un nivel de protección y una ubicación.
La cifra que asusta a la gente (200 servidores, 600 portátiles, 40 herramientas SaaS) se reduce en cuanto se lee el BSI Standard 200-2 §8.1 junto al §12 del CIR. Los activos idénticos con la misma necesidad de protección se agrupan en una única entrada. Los 600 portátiles se convierten en una fila con un campo de cantidad, no en 600 filas.
Un operador Mittelstand de 50 empleados normalmente acaba con 10 a 15 entradas agrupadas que abarcan TI, OT, SaaS, equipos de red y emplazamientos físicos. Ese registro es la base que referencian la evaluación de riesgos, el registro de proveedores, la política de acceso y el plan de incidentes. Constrúyalo una vez, revíselo una vez al año, actualícelo cuando algo material cambie.
Artículo 21(2)(j) de la Directiva NIS 2 (UE) 2022/2555
[Las medidas de gestión de riesgos incluirán al menos] la seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades, y la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.
El Artículo 21(2)(j) nombra la gestión de activos como una de las diez medidas mínimas que toda besonders wichtige y wichtige Einrichtung tiene que tomar. La Directiva no dice qué aspecto tiene el registro. Ese detalle está una capa más abajo, en el Reglamento de Ejecución.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo §12 (gestión de activos)
§12.4: El inventario de activos incluirá, para cada activo, al menos un identificador único, una descripción, el propietario del activo, el nivel de protección requerido y la ubicación del activo. §12.5: El inventario se revisará a intervalos planificados y al menos anualmente, y cuando se produzcan cambios significativos.
El CIR 2024/2690 vincula directamente a las entidades pertinentes de los Anexos I y II de NIS 2. El §12.4 es el único lugar del corpus jurídico de la UE que enumera los campos obligatorios. El §12.5 fija la cadencia de revisión. Cualquier cosa más allá de estos cinco campos es una elección, no un deber.
§30 BSIG (Alemania) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
El §30 BSIG copia el Artículo 21 al Derecho alemán. El BSI Standard 200-2 §8.1 explica después cómo se realiza la Strukturanalyse en la práctica: los objetos idénticos con propiedades similares y necesidades de protección comparables se agrupan en una única entrada. Esa es la regla que convierte 600 portátiles en una fila del registro.
Empiece por los procesos, no por el escaneo de red
Anote los ocho a doce procesos de negocio de los que depende la empresa (recepción de pedidos, facturación, nóminas, atención al cliente, la línea de producción, el control de la calefacción urbana, la asignación de rutas). Para cada uno, nombre las dependencias. Este es el punto de entrada que el BSI 200-2 llama Strukturanalyse. El mapa de procesos fija qué activos importan y cuál es su necesidad de protección. Un escaneo de red iniciado en frío le da ruido, no un registro.
Enumere los activos de los que depende cada proceso, agrupados
Recorra cada proceso y capture los activos que necesita: aplicaciones, bases de datos, servidores, endpoints, equipos de red, servicios en la nube y SaaS, componentes OT e ICS, emplazamientos físicos. Aplique el BSI 200-2 §8.1: 45 portátiles de oficina idénticos son una entrada con un campo de cantidad, no 45 filas. Tres PLC idénticos en la misma línea son una entrada. Los servicios SaaS cuentan aunque no estén en su red. El resultado son de 10 a 15 entradas agrupadas para una empresa de 50 empleados, no 200.
Rellene los cinco campos del §12.4 del CIR por entrada
Para cada entrada, rellene los cinco campos obligatorios del §12.4 del CIR: identificador único (un ID de activo corto como ERP-01), descripción (qué es y a qué proceso sirve), propietario (una persona con nombre, no un departamento), nivel de protección (el Schutzbedarf en confidencialidad, integridad y disponibilidad, derivado del proceso al que sirve), ubicación (centro de datos, región de la nube, emplazamiento físico, o el proveedor que lo aloja). Cinco campos. El Derecho de la UE no exige más.
Agrupe los activos idénticos, no enumere cada dispositivo
El BSI Standard 200-2 §8.1 dice que los objetos idénticos con necesidad de protección comparable se agrupan. Úselo. 600 portátiles en el mismo perfil de MDM con el mismo Schutzbedarf son una entrada del registro. Tres PLC idénticos de bombas de aguas residuales son una entrada. Un grupo de estaciones de trabajo VDI idénticas es una entrada. El lector de su registro (el BSI, un auditor, su aseguradora) quiere ver que entiende sus dependencias, no que puede volcar etiquetas de activos.
Inventaríe las dependencias, no solo las cosas que posee
El §12.4 del CIR quiere el propietario del activo y el nivel de protección. Ambos solo tienen sentido si sabe a qué proceso sirve el activo. Un servidor sin ningún proceso con nombre detrás no obtiene propietario ni un nivel de protección defendible, y no supera el campo. Por eso mapee primero los procesos y después los activos. La misma regla cubre el SaaS: una herramienta que no posee pero de la que depende su facturación está en el ámbito, alojada por el proveedor nombrado en el campo de ubicación.
BSI: Strukturanalyse más Gruppenbildung es el método canónico
La metodología IT-Grundschutz del BSI en el Standard 200-2 §8.1 nombra la Strukturanalyse como el primer paso concreto y la Gruppenbildung como el mecanismo de escalado. El propio catálogo de auditoría del BSI (ORP.1, OPS.1, CON.3) lee el registro frente a los campos del §12.4 del CIR. Un registro agrupado con dependencias de proceso nombradas, un propietario claro por entrada y un nivel de protección documentado es lo que un auditor del BSI espera ver en una auditoría del §30 BSIG.
ENISA Technical Implementation Guidance: gestión de activos sección 12
La Technical Implementation Guidance de ENISA para el CIR 2024/2690 dedica la sección 12 a la gestión de activos. Reitera los cinco campos obligatorios, referencia la cadencia de revisión del §12.5 y apunta a la ISO/IEC 27001:2022 Anexo A.5.9 y a la ISO/IEC 27002 §5.9 como referencias de implementación reconocidas. La tabla de correspondencia de ENISA (CC BY 4.0, v1.2, agosto de 2025) hace el crosswalk del §12 del CIR a la ISO 27001 A.5.9, al NIST CSF 2.0 ID.AM y a la ETSI EN 319 401.
NL, AT y FR: la ISO/IEC 27001:2022 Anexo A.5.9 lleva los mismos campos
La Cyberbeveiligingswet neerlandesa, la NISG austríaca y la transposición francesa leen todas el §12 del CIR 2024/2690 directamente. La guía nacional de cada Estado miembro apunta a la ISO/IEC 27001:2022 Anexo A.5.9 (inventario de información y otros activos asociados) como una forma reconocida de evidenciar el deber. Una entidad con un único registro que satisface el §12.4 del CIR los satisface todos. Lo que importa a la ley son los campos, no el formato.
Enumeraremos cada dispositivo individualmente para que el registro esté completo.
No. El BSI 200-2 §8.1 autoriza explícitamente la agrupación. Un registro con 600 filas de portátiles no supera la prueba de legibilidad y no añade ninguna información que un registro agrupado de 25 filas no lleve ya. El BSI evalúa si las entradas son defendibles, no cuántas filas es capaz de producir.
El SaaS es invisible porque no está en nuestra red, así que lo omitimos.
Erróneo. El §12.4 del CIR habla de activos de los que depende la entidad, con un campo de ubicación diseñado exactamente para este caso. Un servicio SaaS del que depende su facturación entra como una entrada, la ubicación es el proveedor y la región (por ejemplo, Salesforce, eu-west), y el proveedor figura en el registro de proveedores bajo el §5 del CIR en paralelo.
Podemos construir el registro a partir del escaneo de red y añadir los propietarios después.
Puede, pero el campo de propietario quedará vacío y el nivel de protección será una conjetura. Ambos son obligatorios bajo el §12.4 del CIR. Sin el paso del proceso del BSI 200-2 §8.1, una entrada no tiene propietario defendible porque ningún proceso de negocio apunta a ella. El registro entonces no supera la auditoría aunque tenga 600 filas.
Una empresa de construcción de máquinas de 60 empleados en el Sauerland mapeó once procesos de negocio (recepción de pedidos, diseño, compras, línea de producción A, línea de producción B, calidad, expedición, facturación, nóminas, atención al cliente, servicio remoto posventa). El recorrido de activos produjo doce entradas agrupadas: ERP (una), CAD y PLM (una), MES en el taller (una), servidores de archivos e impresión (una, tres equipos idénticos), la flota de 50 portátiles bajo un único perfil de MDM (una), dos familias de controladores CNC agrupadas (dos), el equipo de red central (una), Microsoft 365 (una), el SaaS de atención al cliente (una), el dispositivo VPN de posventa (una) y el emplazamiento físico en Plettenberg (una). Doce entradas que cubren TI y OT, con propietarios nombrados, niveles de protección claros y una ubicación conocida.
El registro tardó dos jornadas de taller en redactarse y una semana de seguimiento en confirmar propietarios y niveles de protección. La revisión anual es media jornada. Las mismas doce entradas son la columna vertebral del registro de riesgos, el registro de proveedores, la política de acceso, el plan de BCM y el runbook de respuesta a incidentes. El proyecto de CMDB con calidad de auditoría de 30.000 EUR que el integrador presupuestó originalmente resultó innecesario; el §12.4 del CIR solo pide cinco campos por entrada, y el BSI 200-2 §8.1 le permite agrupar.
La plataforma implementa el §12.4 del CIR directamente: cada entrada de activo lleva los cinco campos obligatorios (identificador, descripción, propietario, nivel de protección, ubicación) más un campo de cantidad para las entradas agrupadas del BSI 200-2 §8.1. Recorre los procesos que ya ha mapeado en el módulo de riesgos y adjunta los activos de los que depende cada proceso. El registro se mantiene en las decenas de entradas, no en los cientos.
La revisión anual bajo el §12.5 del CIR es una tarea programada con un propietario nombrado y una firma de rastro de auditoría. Los eventos de cambio significativo (nuevo SaaS, nueva línea OT, cambio de proveedor) desencadenan un aviso de actualización en lugar de esperar doce meses. El mismo registro alimenta el vínculo con el proveedor bajo el §5 del CIR, la política de acceso bajo el §11 del CIR y el plan de incidentes, de modo que los cinco campos que rellena una vez impulsan el resto del registro de obligaciones.
- Directiva (UE) 2022/2555 (NIS 2), Artículo 21(2)(j): las medidas mínimas de gestión de riesgos incluyen la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, Anexo §12 (gestión de activos): el §12.4 enumera los cinco campos obligatorios del inventario (identificador único, descripción, propietario, nivel de protección, ubicación); el §12.5 fija la cadencia de revisión (a intervalos planificados y al menos anualmente, y cuando se produzcan cambios significativos).
- BSIG (Alemania), §30 (Risikomanagementmaßnahmen), que transpone el Artículo 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): los objetos idénticos con propiedades y necesidad de protección comparables se agrupan en una única entrada del registro.
- ISO/IEC 27001:2022 Anexo A.5.9 (Inventario de información y otros activos asociados), referenciado por la Technical Implementation Guidance de ENISA para el §12 del CIR 2024/2690 como forma de implementación reconocida.