CUMPLIMIENTO NORMATIVO

Evidencia técnica firmada
para 6 frameworks normativos.

NIS2, ENS, ISO 27001, PCI-DSS, HIPAA y DORA. Itamite genera automáticamente la evidencia técnica de cumplimiento desde los datos del agente, firmada con SHA-256 y verificable públicamente. Sin consultoría externa cara.

El problema del cumplimiento manual

Una auditoría NIS2 o ENS pide evidencia técnica concreta: que cada equipo tiene cifrado de disco activo, antivirus actualizado, parches al día, cuentas de administrador controladas, registros de actividad inmutables… para cada activo de tu flota.

Hacer esto a mano significa: hojas de Excel, capturas de pantalla, contratar una consultora a 10.000-30.000 €, repetir el proceso cada vez que toca renovar certificación. Y aún así, la evidencia es estática y desactualizada en cuanto se imprime.

Itamite hace esto automáticamente y en tiempo real. El agente reporta cada control en cada heartbeat. La plataforma mantiene el estado de cumplimiento de cada framework actualizado al minuto. Cuando llega el auditor, generas el informe firmado en 30 segundos.

FRAMEWORKS CUBIERTOS

Los 6 estándares más demandados en Europa

Cada framework tiene sus controles mapeados a los datos que recoge el agente.

NIS2 (Directiva UE 2022/2555)

Obligatorio desde octubre 2024 para entidades esenciales e importantes: energía, transporte, sanidad, banca, AAPP digital, agua, alimentación, química, manufactura crítica, gestores TIC.

Itamite cubre:
  • Art. 21.2.a — Análisis de riesgos (inventario completo)
  • Art. 21.2.b — Gestión de incidentes (auditoría inmutable)
  • Art. 21.2.d — Seguridad cadena de suministro (SBOM)
  • Art. 21.2.e — Mantenimiento (parches, EOL)
  • Art. 21.2.f — Eficacia medidas (postura medible)
  • Art. 21.2.g — Higiene básica (AV, firewall, screen lock)
  • Art. 21.2.h — Cifrado (disk_encrypted, TPM, Secure Boot)
  • Art. 21.2.i — Control de acceso (cuentas admin, MFA)

ENS (RD 311/2022)

Esquema Nacional de Seguridad. Obligatorio para AAPP españolas y proveedores críticos. Tres categorías: Básica, Media, Alta.

Familias cubiertas:
  • mp.eq — Protección de equipos
  • op.exp — Explotación
  • mp.com — Protección de comunicaciones
  • op.acc — Control de acceso
  • mp.s — Protección servicios

Informes válidos para auditoría CCN-CERT y certificación ENS por organismo acreditado.

ISO/IEC 27001:2022

Norma internacional de gestión de seguridad de la información. Certificación voluntaria por organismo acreditado.

Anexo A — Controles cubiertos:
  • A.5.10, A.5.16, A.5.18 — Acceso y autenticación
  • A.8.1 — Inventario de activos
  • A.8.7 — Protección contra malware
  • A.8.8 — Gestión de vulnerabilidades técnicas
  • A.8.9 — Gestión de configuración
  • A.8.11 — Cifrado de datos
  • A.8.16 — Actividades de monitorización

PCI-DSS v4.0

Obligatorio para cualquier empresa que procese, almacene o transmita datos de tarjetas de pago.

Requisitos cubiertos:
  • Req. 5 — Protección antimalware (AV, EDR)
  • Req. 6 — Sistemas y aplicaciones seguros (parches)
  • Req. 7 — Restricción de acceso por función
  • Req. 8 — Identificación y autenticación
  • Req. 10 — Registro y monitorización de accesos
  • Req. 11.5 — Detección de cambios no autorizados

HIPAA Security Rule

Para entidades de EE.UU. que gestionan información de salud (PHI): hospitales, clínicas, aseguradoras médicas y sus business associates.

Salvaguardas técnicas cubiertas:
  • §164.312(a) — Control de acceso
  • §164.312(b) — Auditoría de actividades
  • §164.312(c) — Integridad de datos
  • §164.312(d) — Autenticación de personas
  • §164.312(e) — Cifrado de transmisiones

DORA (Reglamento UE 2022/2554)

Resiliencia operativa digital. En vigor desde enero 2025 para entidades financieras de la UE.

Itamite cubre:
  • Art. 5-15 — Marco gestión riesgo TIC
  • Art. 9 — Protección y prevención
  • Art. 10 — Detección
  • Art. 11 — Respuesta y recuperación
  • Art. 17-23 — Gestión incidentes TIC
  • Art. 28-30 — Riesgo terceros TIC
CÓMO FUNCIONA

De los datos del agente al PDF firmado

4 pasos automáticos. Cero hojas de Excel.

01

El agente reporta 25+ controles técnicos

En cada heartbeat (15 min por defecto), el agente Itamite envía el estado real de más de 25 controles de seguridad: cifrado de disco, AV instalado y actualizado, parches pendientes, firewall, cuentas de administrador, screen lock, TPM, Secure Boot, configuración SMB, RDP NLA, USB storage, macros Office, BitLocker.

02

Itamite mapea cada control al framework activo

Cuando activas un framework (ej. NIS2 + ENS + ISO 27001), Itamite mapea automáticamente cada dato del agente al artículo/control correspondiente. Un dato técnico, múltiples cumplimientos.

03

Estado en tiempo real con porcentaje y gaps

La consola muestra el estado actual: para cada control normativo, cuántos activos cumplen y cuáles fallan, con el valor técnico exacto. Auditoría preventiva continua.

04

Generas el PDF firmado en 30 segundos

Botón "Generar informe" → seleccionas framework + periodo → PDF descargable con: porcentaje de cumplimiento global, estado de cada control con evidencia técnica por activo, excepciones documentadas, y firma SHA-256 verificable públicamente en itamite.com/verify.

FIRMA Y VERIFICACIÓN

SHA-256 verificable por el auditor

Cada PDF generado por Itamite lleva al pie un hash SHA-256 calculado sobre el contenido del informe + el hash del informe anterior del tenant (cadena de integridad tipo blockchain).

Para verificar la integridad de un informe:

  1. Tu auditor va a https://itamite.com/verify (acceso público sin login).
  2. Arrastra el PDF al área de verificación o introduce el hash manualmente.
  3. Itamite confirma si el hash coincide con el registro en la auditoría inmutable y muestra: tenant que lo generó, usuario que lo solicitó, timestamp UTC.

Si alguien manipula aunque sea un carácter del PDF, el hash deja de coincidir y la verificación falla.

Aceptado como evidencia técnica por los principales organismos certificadores (Bureau Veritas, DNV, SGS) para ISO 27001, y por las autoridades competentes españolas para NIS2 y ENS.

SEAMOS HONESTOS

Qué NO cubre Itamite

No vendemos humo. Esto es lo que tú tienes que aportar.

  • Políticas escritas: NIS2/ENS/ISO exigen documentación organizativa (política de seguridad, política de uso aceptable, política de incidentes). Itamite gestiona la parte técnica; las políticas escritas las aportas tú o tu DPO.
  • Formación y concienciación del personal: los frameworks exigen formación demostrable a empleados. Itamite no es una plataforma de formación.
  • Análisis de riesgos: el análisis de riesgos formal (MAGERIT, ISO 27005) lo hace tu equipo o un consultor.
  • Continuidad de negocio (BCM): planes de continuidad y recuperación quedan fuera del alcance de Itamite.
  • Auditoría externa: Itamite genera evidencia técnica. La auditoría en sí (ISO 27001, ENS) la realiza un organismo acreditado independiente.

En resumen: Itamite es la pieza técnica del cumplimiento. Cubrimos el ~70% del trabajo de un proyecto NIS2/ENS típico — el 30% restante (políticas escritas, formación, auditoría) sigue siendo trabajo organizativo que tú tienes que hacer.

¿Auditoría NIS2 o ENS este año?

Demo de 45 min con un caso real de tu sector. Te enseñamos el informe firmado en vivo.

Solicitar demo cumplimiento Ver precios