Las nuevas normativas, NIS2, DORA y el ENS, obligan a las organizaciones a revisar su estrategia tecnológica, exigiendo mayor visibilidad, trazabilidad y control sobre todos sus activos TI para garantizar la ciberresiliencia y el cumplimiento regulatorio. Proactivanet propone 13 acciones concretas, como el inventario automático de activos, la detección de software no autorizado, la trazabilidad de cambios o la gestión del ciclo de vida de licencias, que permiten avanzar hacia el cumplimiento normativo
La evolución del marco normativo europeo en materia de ciberseguridad está obligando a organizaciones públicas y privadas a revisar en profundidad su estrategia tecnológica. Directivas como NIS2, el Reglamento DORA y la actualización del Esquema Nacional de Seguridad (ENS) introducen requisitos estrictos en aspectos clave como la visibilidad de los activos tecnológicos, la trazabilidad de los cambios y el control sobre la infraestructura digital. Para adaptarse a este nuevo contexto, existen ya acciones técnicas específicas que pueden aplicarse a corto plazo, de forma progresiva y realista, facilitando así el cumplimiento normativo y la mejora de la postura de seguridad.
Proactivanet, compañía española especializada en gestión de activos y servicios TI, ha identificado 13 medidas prácticas que permiten a las organizaciones avanzar con garantías hacia el cumplimiento de estos marcos normativos. Todas tienen un denominador común: parten de la gestión integral del parque tecnológico como base para proteger, auditar y mejorar los entornos digitales. «Cumplir con NIS2 o DORA no es solo una cuestión jurídica, sino operativa. Lo que no se conoce, no se puede proteger. Por eso la primera línea de defensa es tener control total sobre todos los activos TI. Desde los dispositivos físicos hasta las configuraciones, licencias, accesos o software desplegado», explica Alberto Lombardía, director comercial de Proactivanet.
13 pasos para avanzar hacia el nuevo cumplimiento normativo a través de ITAM
Estas acciones están diseñadas para que empresas y organismos públicos puedan adaptar su infraestructura tecnológica a los nuevos requisitos regulatorios, tanto desde un enfoque técnico como documental. Una de las primeras medidas fundamentales es inventariar automáticamente todos los activos tecnológicos, asegurando su actualización en tiempo real para mantener una visión precisa del entorno. A esto se suma la necesidad de clasificar los activos por nivel de criticidad, en función de su impacto en los procesos operativos y servicios esenciales. También resulta clave detectar y bloquear software no autorizado o en versiones inseguras, que puedan suponer una puerta de entrada a vulnerabilidades.
Para garantizar el control continuo, las organizaciones deben asegurar la trazabilidad de todos los cambios, configuraciones y eventos relevantes en su infraestructura TI, así como establecer mecanismos de alerta y respuesta temprana ante desviaciones, brechas de seguridad o incumplimientos normativos. Igualmente, es imprescindible preparar evidencias técnicas documentadas que permitan superar auditorías e inspecciones, reforzando la transparencia y la confianza. Todo ello debe complementarse con una correcta gestión del ciclo de vida de licencias, contratos tecnológicos y configuraciones críticas, que ayude a anticipar renovaciones, evitar riesgos por expiración o uso indebido, y optimizar costes.
Además, conviene incorporar otras acciones transversales como evaluar periódicamente los riesgos asociados a los activos, automatizar informes de cumplimiento y mantener una política clara de asignación de responsabilidades y accesos, que fortalezca la gobernanza del entorno TI. En conjunto, estas medidas no solo refuerzan la seguridad y eficiencia operativa, sino que permiten a las organizaciones avanzar con garantías hacia el cumplimiento de buena parte de los controles exigidos por marcos normativos como NIS2, DORA o el ENS.
Proactivanet y ENS: Más del 70 % de los controles cubiertos
Muchas organizaciones siguen abordando la ciberseguridad desde una lógica reactiva o centrada exclusivamente en la defensa perimetral, sin prestar suficiente atención a una capa previa fundamental: saber qué se tiene, cómo está configurado y qué nivel de exposición representa cada activo tecnológico. Las acciones propuestas por Proactivanet buscan precisamente corregir ese enfoque, colocando la gestión de activos como el primer eslabón para lograr cumplimiento, resiliencia y mejora continua. «Estas acciones no requieren inversiones inasumibles ni cambios disruptivos, pero sí una mentalidad de control proactivo. Cumplir con la normativa no debe vivirse como una carga, sino como una oportunidad para reforzar procesos, optimizar costes y reducir exposición a amenazas. Y todo empieza por saber con exactitud qué se tiene entre manos», afirma Alejandro Castro, director de producto de Proactivanet.
Un análisis técnico realizado por Proactivanet demuestra que, mediante una estrategia robusta de gestión de activos TI (ITAM), es posible cubrir directamente más del 70 % de los 202 controles del Esquema Nacional de Seguridad, incluyendo niveles bajo, medio y alto. Esta cobertura incluye: 48 controles de nivel bajo (77 %), 44 controles de nivel medio (72 %) y 28 controles de nivel alto (64 %). Además, los principios técnicos detrás de estas acciones, como la trazabilidad, la documentación, la detección proactiva y el control en tiempo real, coinciden plenamente con los requisitos incluidos en las normativas europeas NIS2 y DORA, que hacen especial énfasis en la resiliencia operativa digital, la gestión de riesgos y la respuesta ante incidentes.
Las 13 medidas identificadas son aplicables tanto al sector público, obligado a cumplir con el ENS, como al privado, con especial relevancia para entidades financieras sujetas a DORA y organizaciones estratégicas incluidas en el marco de NIS2. Su implantación permite anticiparse a auditorías, documentar evidencias, reducir riesgos y alinear tecnología con las exigencias regulatorias. Para quienes quieran profundizar en cada una de estas acciones, Proactivanet ha recopilado todas las recomendaciones en una guía gratuita disponible en: https://www.proactivanet.com/whitepaper/compliance/?source=email.
