Art. 21(2) NIS 2 + CIR + IT-Grundschutz BSI 200-2

Co je aktivum podle NIS 2?

Aktivum podle NIS 2 je cokoli, co zpracovává, ukládá nebo přenáší informace, na nichž závisí váš provoz. Směrnice slovo "aktivum" ani jednou neuvádí, ale sedm z deseti opatření čl. 21(2) dává smysl až tehdy, když máte ten seznam.

Simon OrzelSimon Orzel·

Proč jde inventář jako první

Většina zavádění NIS 2 uvázne na stejném místě: někdo začne s řízením rizik, aniž by nejprve věděl, co posuzovat. Inventář aktiv je předpokladem. Bez něj je analýza rizik hádáním, mapování dodavatelů je neúplné, reakce na incidenty nemůže vymezit rozsah a audity nenajdou nic, proti čemu by testovaly.

Sama směrnice slovo "aktivum" v čl. 21 nepoužívá. Mluví o "sítích a informačních systémech", jejich bezpečnosti a o stavu rizik organizace. CIR 2024/2690 čl. 2(4) a IT-Grundschutz BSI 200-2 §8.1 doplňují provozní význam: aktivum je cokoli, co zpracovává, ukládá nebo přenáší informace, na nichž závisí váš provoz.

Pro Mittelstand o 60 lidech není inventář excelovou tabulkou o 200 řádcích. Je to jednostránkový seznam zhruba 10 až 15 seskupených položek, což Grundschutz výslovně umožňuje. Jde o to ho mít, udržovat aktuální a nechat ho ukotvit každé další rozhodnutí podle NIS 2.

Kde povinnost leží
Jeden operativní článek, jedno prováděcí nařízení, jedna metodika BSI.

Čl. 21(2)(a) a 21(2)(b) NIS 2

Opatření uvedená v odstavci 1 musí vycházet z přístupu zohledňujícího všechna rizika, jehož cílem je chránit sítě a informační systémy a fyzické prostředí těchto systémů před incidenty, a musí zahrnovat alespoň následující: (a) zásady analýzy rizik a bezpečnosti informačních systémů; (b) zvládání incidentů.

Analýza rizik a zvládání incidentů jsou uvedeny jako první, ale obojí vyžaduje objekt k analýze a ke zvládání: inventář toho, co skutečně máte. Směrnice to považuje za předpoklad, ne za samostatné opatření.

CIR 2024/2690, čl. 2 a příloha II §2.1

Relevantní subjekty musí vypracovat, zdokumentovat a zavést zásady analýzy rizik a bezpečnosti informačních systémů, zejména zavedením a udržováním inventáře svých aktiv včetně softwaru, hardwaru a informací.

Prováděcí nařízení činí povinnost inventáře výslovnou pro typy subjektů, které pokrývá (poskytovatelé digitálních služeb). Pro všechny ostatní sektory NIS 2 je povinnost implicitní v čl. 21(2)(a), ale Grundschutz ji operacionalizuje stejným způsobem.

BSI IT-Grundschutz BSI 200-2, §8.1

Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.

Seskupování podobných objektů je výslovně povoleno. SME o 60 lidech nepotřebuje 45 řádků pro notebooky; potřebuje jednu položku pro "notebooky zaměstnanců, 45 kusů", pokud sdílejí stejný ochranný profil. Právě to činí inventář zvládnutelným.

Co se počítá jako aktivum
Šest kategorií. Většina subjektů typu Mittelstand o 60 lidech se napříč nimi čistě namapuje na 10 až 15 seskupených položek.

Podnikové aplikace

ERP, CRM, účetnictví, HR, projektové řízení, sektorově specifický software (laboratorní systém ve farmacii, fakturační platforma u utility, MES ve výrobní hale). Jeden řádek na aplikaci, i když ji hostuje poskytovatel SaaS.

Úložiště dat

Produkční databáze, sdílené disky, správa dokumentů, zálohy, archivní systémy. Seskupujte podle citlivosti, ne podle fyzického umístění.

Síťová a výpočetní infrastruktura

Servery (vlastní nebo hostované), firewally, switche, routery, VPN koncentrátory, poskytovatelé identit, hypervizory, cloudové účty. Jeden řádek na shluk se stejným účelem.

Koncové body

Notebooky zaměstnanců, stolní počítače, mobilní zařízení, tablety. Seskupujte podle role a rodiny OS. Přidejte zvlášť: privilegované administrátorské pracovní stanice, kiosky, pokladní terminály.

OT a fyzické systémy

SCADA, PLC, správa budov, řízení přístupu, CCTV, čtečky fyzického přístupu, sektorově specifické průmyslové řízení. Často opomíjeno; pro utility, výrobu a nemocnice je to největší jednotlivá kategorie.

Služby poskytované dodavateli

Outsourcované IT, hostovaný e-mail, řízený firewall, mzdy, cloudová kancelář, identity-as-a-service. Zaznamenejte jméno dodavatele a typ závislosti podle čl. 21(2)(d) NIS 2.

Jak seskupovat bez ztráty informace
Grundschutz BSI 200-2 §8.1 umožňuje sloučit totožná aktiva do jediné položky s počtem, dokud je požadavek na ochranu stejný. Tři pravidla udrží seskupování legitimní.

Stejný požadavek na ochranu

Seskupte 45 notebooků zaměstnanců jen tehdy, pokud všechny sdílejí stejný Schutzbedarf pro důvěrnost, integritu a dostupnost. Pokud 5 z nich nese mzdová data, těch 5 je samostatná skupina.

Stejná provozní role

Produkční databázový server a vývojářský sandbox nemohou být jednou skupinou, ani na totožném hardwaru. Liší se role, liší se expozice, liší se opatření.

Počítejte výslovně

Napište množství. "45 notebooků zaměstnanců" sděluje auditorovi rozsah. "1 shluk notebooků" je k ničemu. Číslo je mostem z inventáře do analýzy rizik.

Sestavte první inventář za 90 minut
Čtyři kroky. Žádný z nich nepotřebuje nástroj. Stačí tabulka, tabule a jeden znalý člověk z IT plus jeden z provozu.

Krok 1. Začněte poskytovanými službami (15 min)

Co váš subjekt pro zákazníky vlastně dělá? Vypište 3 až 8 hlavních služeb. Pro Stadtwerk: distribuce elektřiny, distribuce vody, fakturace zákazníkům. Každé aktivum musí vést zpět ke službě, jinak je to režie.

Krok 2. Namapujte aplikace a data na služby (25 min)

Pro každou službu pojmenujte aplikace, na nichž běží, a data, kterých se dotýká. SAP pro fakturaci, platforma pro odečet měřidel pro distribuci, archiv dokumentů pro právní oddělení. Jeden řádek na aplikaci.

Krok 3. Podložte infrastrukturu pod to (25 min)

Servery, síť, koncové body, identity, cloudové účty. Seskupujte nemilosrdně podle BSI 200-2 §8.1. Subjekt o 60 lidech jen zřídka překročí 10 seskupených řádků infrastruktury.

Krok 4. Přidejte služby poskytované dodavateli (25 min)

Jakákoli outsourcovaná služba, která se dotýká výše uvedených aktiv, je sama aktivem, plus dodavatelská závislost. SaaS e-mail je jeden řádek; MSP, který spravuje váš firewall, je jeden řádek. Toto napájí povinnosti dodavatelského řetězce podle čl. 21(2)(d).

Tři věci, které se opomíjejí
Auditoři nacházejí stejné tři mezery téměř v každém prvním inventáři. Pokryjte je teď a druhá iterace půjde rychleji.

  • Chybí OT a technické zázemí budov

    Výrobní linky, přístup do budov, CCTV, klimatizace. Snadno se vynechají, protože neleží na stole IT týmu. Podle NIS 2 jsou aktivem ve chvíli, kdy zpracovávají informace související s vaší službou.

  • Nezmapované datové toky

    Nestačí vypsat aplikace. Zaznamenejte, která data tečou odkud kam. Mzdový soubor putující z HR systému do banky přes SFTP je sám tokem, který je třeba chránit.

  • Neodhalené stínové IT

    Oddělení často provozují vlastní předplatné SaaS (tvorba formulářů, dotazníkové nástroje, sdílení souborů). Ptejte se, nepředpokládejte. Stínové IT se podle čl. 21(2)(d) stává dodavatelskou závislostí bez ohledu na to, kdo za něj zaplatil.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), čl. 21(2), www.eur-lex.europa.eu
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), čl. 2 a příloha II §2.1, www.eur-lex.europa.eu
  • BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
  • Zákon o Spolkovém úřadu pro informační bezpečnost (BSIG), §30 (národní transpozice čl. 21)

Tato stránka poskytuje strukturované pokyny založené na veřejně dostupných zdrojích (směrnice NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Nepředstavuje právní poradenství ve smyslu §2 RDG. Pro konkrétní případy se obraťte na připuštěného advokáta. Stav k 2026-06-04.

Sestavte první inventář ještě dnes
Přihlaste se a platforma vytvoří sektorově specifickou šablonu inventáře, kterou vyplníte za 90 minut.
Přihlásit se do platformy