Jak vybudovat inventář aktiv podle NIS 2
Čl. 21 odst. 2 písm. j) NIS 2 a §12 CIR stanoví pět povinných polí. BSI 200-2 §8.1 umožňuje seskupit shodná aktiva. Většina firem typu Mittelstand skončí s 10 až 15 záznamy, ne s 200.
Stručná verze
NIS 2 jmenuje správu aktiv v čl. 21 odst. 2 písm. j) jako jedno z deseti minimálních opatření řízení rizik. Prováděcí nařízení Komise (EU) 2024/2690 to v §12 mění v konkrétní povinnost: vést registr aktiv, na kterých subjekt závisí, s jedinečným identifikátorem, popisem, vlastníkem, úrovní ochrany a umístěním.
Číslo, které lidi děsí (200 serverů, 600 notebooků, 40 SaaS nástrojů), se zmenší, jakmile přečtete BSI Standard 200-2 §8.1 vedle §12 CIR. Shodná aktiva se stejnou potřebou ochrany se seskupí do jednoho záznamu. Z 600 notebooků se stane jeden řádek s polem množství, ne 600 řádků.
50členný provozovatel typu Mittelstand obvykle skončí s 10 až 15 seskupenými záznamy zahrnujícími IT, OT, SaaS, síťové prvky a fyzické lokality. Tento registr je základem, na který odkazují posouzení rizik, registr dodavatelů, politika přístupu i plán pro incidenty. Vybudujte jej jednou, přezkoumejte jednou ročně, aktualizujte, když se něco podstatného změní.
Čl. 21 odst. 2 písm. j) směrnice NIS 2 (EU) 2022/2555
[Opatření řízení rizik musí zahrnovat alespoň] bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně řešení a zveřejňování zranitelností, a bezpečnost lidských zdrojů, politiky řízení přístupu a správu aktiv.
Čl. 21 odst. 2 písm. j) jmenuje správu aktiv jako jedno z deseti minimálních opatření, která musí přijmout každá besonders wichtige a wichtige Einrichtung. Směrnice neříká, jak registr vypadá. Tento detail sedí o vrstvu níže v prováděcím nařízení.
Prováděcí nařízení Komise (EU) 2024/2690, příloha §12 (správa aktiv)
§12.4: Inventář aktiv musí pro každé aktivum obsahovat alespoň jedinečný identifikátor, popis, vlastníka aktiva, požadovanou úroveň ochrany a umístění aktiva. §12.5: Inventář musí být přezkoumáván v plánovaných intervalech a alespoň jednou ročně a při výskytu významných změn.
CIR 2024/2690 váže příslušné subjekty z Příloh I a II NIS 2 přímo. §12.4 je jediným místem v souboru unijního práva, které vyjmenovává povinná pole. §12.5 stanoví kadenci přezkumu. Cokoli nad rámec těchto pěti polí je volba, nikoli povinnost.
§30 BSIG (Německo) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
§30 BSIG opisuje čl. 21 do německého práva. BSI Standard 200-2 §8.1 pak vysvětluje, jak se Strukturanalyse v praxi skutečně provádí: shodné objekty s podobnými vlastnostmi a srovnatelnými potřebami ochrany se seskupují do jednoho záznamu. To je pravidlo, které mění 600 notebooků v jeden řádek registru.
Začněte od procesů, ne od síťového skenu
Sepište osm až dvanáct obchodních procesů, na kterých firma závisí (příjem objednávek, fakturace, mzdy, zákaznická podpora, výrobní linka, řízení dálkového vytápění, dispečink tras). U každého pojmenujte závislosti. To je vstupní bod, který BSI 200-2 nazývá Strukturanalyse. Mapa procesů určuje, která aktiva jsou důležitá a jaká je jejich potřeba ochrany. Síťový sken spuštěný studeně vám dá šum, ne registr.
Vyjmenujte aktiva, na kterých každý proces závisí, seskupeně
Projděte každý proces a zachyťte aktiva, která potřebuje: aplikace, databáze, servery, koncová zařízení, síťové prvky, cloudové a SaaS služby, komponenty OT a ICS, fyzické lokality. Použijte BSI 200-2 §8.1: 45 shodných kancelářských notebooků je jeden záznam s polem množství, ne 45 řádků. Tři shodné PLC na téže lince jsou jeden záznam. SaaS služby se počítají, i když nejsou ve vaší síti. Výstupem je 10 až 15 seskupených záznamů pro 50člennou firmu, ne 200.
Vyplňte pět polí podle §12.4 CIR na záznam
U každého záznamu vyplňte pět povinných polí podle §12.4 CIR: jedinečný identifikátor (krátké ID aktiva jako ERP-01), popis (co to je a kterému procesu slouží), vlastník (jmenovaná osoba, ne oddělení), úroveň ochrany (Schutzbedarf v důvěrnosti, integritě a dostupnosti, odvozená z procesu, kterému slouží), umístění (datové centrum, cloudový region, fyzická lokalita nebo dodavatel, který jej hostuje). Pět polí. Více unijní právo nevyžaduje.
Seskupujte shodná aktiva, nevypisujte každé zařízení
BSI Standard 200-2 §8.1 říká, že shodné objekty se srovnatelnou potřebou ochrany se seskupují. Využijte to. 600 notebooků ve stejném profilu MDM se stejným Schutzbedarf je jeden záznam registru. Tři shodné PLC čerpadel odpadní vody jsou jeden záznam. Skupina shodných pracovních stanic VDI je jeden záznam. Čtenář vašeho registru (BSI, auditor, váš pojistitel) chce vidět, že rozumíte svým závislostem, ne že umíte vysypat štítky aktiv.
Inventarizujte závislosti, ne jen věci, které vlastníte
§12.4 CIR chce vlastníka aktiva a úroveň ochrany. Obojí dává smysl jen tehdy, když víte, kterému procesu aktivum slouží. Server bez jmenovaného procesu za sebou nedostane žádného vlastníka ani obhajitelnou úroveň ochrany a v poli neuspějete. Proto nejdřív mapujte procesy a aktiva až poté. Stejné pravidlo pokrývá SaaS: nástroj, který nevlastníte, ale na kterém vaše fakturace závisí, je v působnosti, hostovaný jmenovaným dodavatelem v poli umístění.
BSI: Strukturanalyse plus Gruppenbildung je kanonická metoda
Metodika IT-Grundschutz od BSI ve Standardu 200-2 §8.1 jmenuje Strukturanalyse jako první konkrétní krok a Gruppenbildung jako mechanismus škálování. Vlastní auditní katalog BSI (ORP.1, OPS.1, CON.3) čte registr vůči polím podle §12.4 CIR. Seskupený registr s pojmenovanými procesními závislostmi, jasným vlastníkem na záznam a zdokumentovanou úrovní ochrany je to, co auditor BSI očekává vidět při auditu podle §30 BSIG.
Technický prováděcí návod ENISA: správa aktiv oddíl 12
Technický prováděcí návod ENISA pro CIR 2024/2690 věnuje oddíl 12 správě aktiv. Znovu uvádí pět povinných polí, odkazuje na kadenci přezkumu v §12.5 a ukazuje na ISO/IEC 27001:2022 Přílohu A.5.9 a ISO/IEC 27002 §5.9 jako uznané implementační reference. Mapovací tabulka ENISA (CC BY 4.0, v1.2, srpen 2025) křížově propojuje §12 CIR s ISO 27001 A.5.9, NIST CSF 2.0 ID.AM a ETSI EN 319 401.
NL, AT a FR: ISO/IEC 27001:2022 Příloha A.5.9 nese stejná pole
Nizozemský Cyberbeveiligingswet, rakouský NISG i francouzská transpozice čtou §12 CIR 2024/2690 přímo. Národní návody v každém členském státě ukazují na ISO/IEC 27001:2022 Přílohu A.5.9 (inventář informací a dalších souvisejících aktiv) jako uznaný způsob doložení povinnosti. Subjekt s jedním registrem, který splňuje §12.4 CIR, splňuje je všechny. Zákonu jde o pole, ne o formát.
Vypíšeme každé zařízení jednotlivě, aby byl registr úplný.
Ne. BSI 200-2 §8.1 výslovně povoluje seskupování. Registr se 600 řádky notebooků neprojde testem čitelnosti a nepřidá žádnou informaci, kterou 25řádkový seskupený registr již nenese. BSI hodnotí, zda jsou záznamy obhajitelné, ne kolik řádků dokážete vyprodukovat.
SaaS je neviditelný, protože není v naší síti, takže ho přeskočíme.
Chyba. §12.4 CIR mluví o aktivech, na kterých subjekt závisí, s polem umístění navrženým přesně pro tento případ. SaaS služba, na které vaše fakturace závisí, jde dovnitř jako jeden záznam, umístění je dodavatel a region (například Salesforce, eu-west), a dodavatel sedí v registru dodavatelů podle §5 CIR paralelně.
Registr můžeme vybudovat ze síťového skenu a vlastníky doplnit později.
Můžete, ale pole vlastníka zůstane prázdné a úroveň ochrany bude odhad. Obojí je povinné podle §12.4 CIR. Bez kroku procesů z BSI 200-2 §8.1 nemá záznam obhajitelného vlastníka, protože na něj neukazuje žádný obchodní proces. Registr pak neprojde auditem, i kdyby v něm bylo 600 řádků.
60členná strojírenská firma v Sauerlandu zmapovala jedenáct obchodních procesů (příjem objednávek, konstrukce, nákup, výrobní linka A, výrobní linka B, kvalita, expedice, fakturace, mzdy, zákaznická podpora, vzdálený poprodejní servis). Procházka aktiv vyprodukovala dvanáct seskupených záznamů: ERP (jeden), CAD a PLM (jeden), MES na dílně (jeden), souborové a tiskové servery (jeden, tři shodné stroje), flotila 50 notebooků pod jedním profilem MDM (jeden), dvě seskupené rodiny CNC řídicích jednotek (dvě), centrální síťové prvky (jeden), Microsoft 365 (jeden), SaaS pro zákaznickou podporu (jeden), poprodejní VPN zařízení (jeden) a fyzická lokalita v Plettenbergu (jeden). Dvanáct záznamů pokrývajících IT i OT, se jmenovanými vlastníky, jasnými úrovněmi ochrany a známým umístěním.
Sestavení registru zabralo dva dny workshopu a týden následné práce na potvrzení vlastníků a úrovní ochrany. Roční přezkum je půldenní. Tytéž dvanáct záznamů jsou páteří registru rizik, registru dodavatelů, politiky přístupu, plánu BCM a runbooku pro reakci na incidenty. Projekt CMDB v auditní kvalitě za 30 000 EUR, který integrátor původně nacenil, se ukázal jako zbytečný; §12.4 CIR žádá jen pět polí na záznam a BSI 200-2 §8.1 umožňuje seskupovat.
Platforma zavádí §12.4 CIR přímo: každý záznam aktiva nese pět povinných polí (identifikátor, popis, vlastník, úroveň ochrany, umístění) plus pole množství pro seskupené záznamy z BSI 200-2 §8.1. Projdete procesy, které jste již zmapovali v modulu rizik, a připojíte aktiva, na kterých každý proces závisí. Registr zůstane v desítkách záznamů, ne ve stovkách.
Roční přezkum podle §12.5 CIR je naplánovaný úkol se jmenovaným vlastníkem a podpisem v auditní stopě. Události významné změny (nový SaaS, nová linka OT, výměna dodavatele) spustí výzvu k aktualizaci místo čekání dvanáct měsíců. Tentýž registr napájí propojení dodavatelů podle §5 CIR, politiku přístupu podle §11 CIR a plán pro incidenty, takže pět polí, která vyplníte jednou, pohání zbytek registru povinností.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 21 odst. 2 písm. j): minimální opatření řízení rizik zahrnují bezpečnost lidských zdrojů, politiky řízení přístupu a správu aktiv.
- Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, příloha §12 (správa aktiv): §12.4 vyjmenovává pět povinných polí inventáře (jedinečný identifikátor, popis, vlastník, úroveň ochrany, umístění); §12.5 stanoví kadenci přezkumu (v plánovaných intervalech a alespoň jednou ročně a při významné změně).
- BSIG (Německo), §30 (Risikomanagementmaßnahmen), transponující čl. 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): shodné objekty se srovnatelnými vlastnostmi a potřebou ochrany se seskupují do jednoho záznamu registru.
- ISO/IEC 27001:2022 Příloha A.5.9 (inventář informací a dalších souvisejících aktiv), na který odkazuje technický prováděcí návod ENISA pro §12 CIR 2024/2690 jako na uznanou implementační formu.