Gestión de activos NIS2 conforme al artículo 21(2)(i)
La gestión de activos es la base bajo cualquier otra medida de NIS2. Si no sabe qué tiene, no puede protegerlo, clasificarlo, respaldarlo ni saber quién puede acceder a él. El artículo 21(2)(i) es donde reside la obligación, el §12 del CIR (UE) 2024/2690 detalla las cinco partes, y el §30(2)(9) BSIG incorpora la misma norma al Derecho alemán.
La versión resumida
La gestión de activos se sitúa en el punto (i) de la lista de diez deberes de ciberseguridad del artículo 21(2). El texto la agrupa con la seguridad del personal y el control de acceso. La razón es simple: las tres responden a la misma pregunta, quién puede tocar qué. La gestión de activos es la mitad que dice qué es ese 'qué' en realidad.
El CIR (UE) 2024/2690 §12 desarrolla el detalle. Divide la gestión de activos en cinco partes. Clasifique sus activos por confidencialidad, integridad, autenticidad y disponibilidad. Manéjelos de forma segura a lo largo de todo el ciclo de vida. Controle los soportes extraíbles. Mantenga un inventario completo y actualizado. Asegúrese de que los activos vuelven cuando las personas se van. Ese es el mínimo.
Alemania incorpora la misma norma a su Derecho nacional mediante el §30(2)(9) BSIG. La redacción sigue la directiva. El BSI apunta entonces a IT-Grundschutz para la mecánica práctica, incluida la regla que le permite agrupar activos idénticos para que el inventario siga siendo manejable.
Artículo 21(2)(i) de la Directiva NIS2 (2022/2555)
Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
Este es el punto (i) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. La directiva agrupa tres deberes: seguridad del personal, control de acceso y gestión de activos. El §12 del CIR es la parte que operacionaliza la mitad de los activos.
CIR (UE) 2024/2690, anexo §12
Gestión de activos y de valor (artículo 21(2)(i) de la Directiva (UE) 2022/2555).
Al tratarse de un reglamento (no de una directiva), es Derecho de la UE directamente vinculante. No requiere transposición nacional. Se aplica a los proveedores de DNS, los registros de TLD, los proveedores de servicios en la nube, los centros de datos, los proveedores de servicios gestionados y los demás sectores enumerados en su anexo. El §12 tiene cinco subapartados que cubren la clasificación, el manejo a lo largo del ciclo de vida, los soportes extraíbles, el inventario en sí y qué ocurre cuando finaliza el empleo.
§30(2)(9) BSIG (Alemania)
Seguridad de los recursos humanos, conceptos de control de acceso y gestión de activos.
Alemania copia el texto de la UE. El BSI apunta entonces a IT-Grundschutz para el detalle práctico: CON.6 cubre el borrado y la destrucción seguros (CIR §12.2 y §12.5), y BSI 200-2 §8.1 explica cómo agrupar activos idénticos en el inventario (CIR §12.4).
Clasifique por CIA más valor de negocio
Cada activo recibe un nivel de clasificación basado en la confidencialidad, integridad, autenticidad y disponibilidad que necesitan los datos que contiene. El CIR correlaciona esas cuatro con sensibilidad, criticidad, riesgo y valor de negocio. La parte de disponibilidad de la valoración se vincula con los objetivos de recuperación que fija conforme al §4.1 para la continuidad del negocio. Así, el mismo inventario alimenta tanto el control de acceso como el BCP.
Maneje los activos de forma segura a lo largo de todo el ciclo de vida
Necesita un concepto escrito para cada etapa por la que pasa un activo: adquisición, uso, almacenamiento, transporte y eliminación. Uso seguro, almacenamiento seguro, transporte seguro y borrado o destrucción irreversibles al final de su vida. El §12.3 extiende esto a los soportes extraíbles (memorias USB, discos externos), y el §12.5 lo extiende al momento en que un empleado se marcha.
Mantenga un inventario completo, exacto y actualizado
El inventario tiene que ser completo, exacto, actualizado y coherente, con suficiente granularidad para sus necesidades. Entran dos cosas en él: (a) una lista de sus procesos y servicios de negocio con descripciones, y (b) una lista de las redes y sistemas de información y demás activos que dan soporte a esos procesos y servicios. Esta es la estructura de datos de la que lee cualquier otra sección del CIR.
El inventario es la condición previa para todo lo demás
El §12.4 del CIR no es solo una sección más entre diez. Es la estructura de datos de la que depende cualquier otra sección. La gestión de riesgos (§2) lee de él. Los objetivos de recuperación de la continuidad del negocio (§4) leen de él. Las reglas de control de acceso (§13) leen de él. La clasificación para MFA (§9) lee de él. Si el §12.4 falta o es erróneo, todo módulo posterior falta o es erróneo. Constrúyalo primero.
Grundschutz le permite agrupar activos idénticos
BSI 200-2 §8.1 permite expresamente la agrupación: 45 portátiles de oficina con la misma imagen y el mismo rol cuentan como una entrada con una cantidad de 45. Una empresa del Mittelstand de 50 personas acaba con diez a quince entradas agrupadas, no con diez mil filas individuales. El inventario tiene que ser completo, pero completo no significa una línea por dispositivo.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
El BSI apunta a IT-Grundschutz para la mecánica práctica. CON.6 'Löschen und Vernichten' cubre el borrado y la destrucción seguros (coincide con la eliminación del CIR §12.2 y el fin del empleo del §12.5). BSI 200-2 §8.1 es donde reside la regla de agrupación: activos idénticos agrupados en una entrada de inventario con una cantidad. Ambos están referenciados por la guía de implementación del §30 BSIG.
Guía Técnica de Implementación de ENISA
La TIG de ENISA desglosa el §12 del CIR en evidencia concreta: exportaciones de inventario, esquemas de clasificación, políticas de soportes extraíbles, listas de comprobación de fin de empleo. También correlaciona el §12 con los controles de ISO/IEC 27001:2022 A.5.9 (inventario), A.5.10 (uso aceptable), A.5.11 (devolución de activos), A.5.12 (clasificación) y A.7.10 (soportes de almacenamiento). Si ya ejecuta ISO 27001, esos controles le dan la mayor parte del §12 del CIR directamente.
Leyes nacionales de transposición
Cada Estado miembro tiene su propia ley de transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El deber de gestión de activos es el mismo en todas ellas porque la directiva fija un único criterio para toda la UE. Lo que difiere: ante qué agencia nacional se registra y cómo audita el inventario en la práctica.
Tenemos una página de Confluence que enumera nuestros sistemas.
Cerca, pero el §12.4 del CIR quiere más que una lista de sistemas. Pide que el inventario sea completo, exacto, actualizado y coherente, y que cubra dos cosas: sus procesos y servicios de negocio con descripciones, y los sistemas y activos que les dan soporte. Una lista plana de servidores es la mitad del trabajo. La correlación proceso-a-sistema es la otra mitad, y es la mitad que los auditores comprueban primero.
Trituramos los portátiles antiguos, así que estamos cubiertos en el offboarding.
Bien para el hardware, pero el §12.5 cubre más que eso. Pide un procedimiento documentado que garantice la devolución, la entrega o el borrado de los activos cuando finaliza el empleo, y, si eso no es posible, que la persona ya no pueda acceder a las redes y sistemas de información. ¿Qué pasa con las cuentas en la nube, los inicios de sesión SaaS, los tokens MFA, los dispositivos móviles y los perfiles VPN de quien se marcha? La trituradora no atrapa esos.
Clasificamos datos, no activos. El activo es solo el contenedor.
El §12.1 del CIR clasifica expresamente el activo por los requisitos CIA de los datos que maneja. La clasificación reside en el activo porque el activo es lo que lleva los controles de acceso, las políticas de copia de seguridad y los objetivos de recuperación. Clasifique ambos: los datos le dicen por qué, el activo es donde actúa sobre ello.
El §12.4 del CIR es el artefacto fundacional de toda la implementación de NIS2. Lo construye una vez, bien, con la agrupación de Grundschutz. Después, cualquier otro módulo lee de él en lugar de volver a hacer las mismas preguntas. Registro de riesgos, objetivos de recuperación del BCP, reglas de control de acceso, clasificación para MFA, alcance de proveedores. Todos ellos remiten al inventario.
Nuestra regla general en el Mittelstand alemán: una empresa de 50 a 250 personas acaba con diez a quince entradas agrupadas en el lado de los activos y aproximadamente lo mismo en el lado de los proveedores. Añada el mapa de procesos (de ocho a doce procesos de negocio para la mayoría de los operadores) y el inventario está listo. Lleva una semana enfocada con el responsable de TI y los propietarios de procesos, no un proyecto de seis meses.
Nuestro módulo de activos es el inventario del §12.4 y la clasificación del §12.1 en un solo lugar. Añade activos con cantidad y agrupación del modo en que lo permite Grundschutz. Cada activo lleva su clasificación CIA, su propietario, su ubicación y los proveedores que lo tocan. El mismo registro alimenta el tratamiento de riesgos, los objetivos de recuperación del BCP y el alcance del control de acceso sin que vuelva a teclear nada.
El manejo del ciclo de vida del §12.2, los soportes extraíbles del §12.3 y el offboarding del §12.5 viven todos como políticas escritas vinculadas al inventario. Cuando alguien se marcha, la plataforma genera la lista de comprobación de offboarding frente a sus activos asignados. Sin una hoja de cálculo. Sin un rastro de tickets de RR. HH. aparte.
- Directiva (UE) 2022/2555 (NIS2), artículo 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(9) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten' — bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (regla de agrupación de activos) — bsi.bund.de/200-2
- Guía Técnica de Implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)