Art. 21(2)(i) NIS 2 + CIR §12

Správa aktiv podle NIS 2 podle článku 21 odst. 2 písm. i)

Správa aktiv je základem pod každým dalším opatřením NIS 2. Pokud nevíte, co máte, nemůžete to chránit, klasifikovat, zálohovat ani vědět, kdo k tomu může přistupovat. Povinnost je zakotvena v článku 21 odst. 2 písm. i), CIR (EU) 2024/2690 §12 rozepisuje pět částí a §30 odst. 2 bod 9 BSIG zakotvuje stejné pravidlo do německého práva.

Simon OrzelSimon Orzel·

Stručně

Správa aktiv sedí v bodě i) na seznamu deseti kybernetických povinností v článku 21 odst. 2. Text ji slučuje s personální bezpečností a řízením přístupu. Důvod je jednoduchý: všechny tři odpovídají na stejnou otázku, kdo se může čeho dotknout. Správa aktiv je ta polovina, která říká, co to "co" vlastně je.

CIR (EU) 2024/2690 §12 doplňuje detail. Rozděluje správu aktiv do pěti částí. Klasifikujte svá aktiva podle důvěrnosti, integrity, pravosti a dostupnosti. Bezpečně s nimi nakládejte po celý životní cyklus. Mějte pod kontrolou výměnná média. Veďte úplný a aktuální soupis. Zajistěte, aby se aktiva vrátila, když lidé odejdou. To je minimum.

Německo zakotvuje stejné pravidlo do národního práva prostřednictvím §30 odst. 2 bodu 9 BSIG. Znění se drží směrnice. BSI pak ukazuje na IT-Grundschutz pro praktickou mechaniku, včetně pravidla, které vám umožní sdružit identická aktiva dohromady, aby soupis zůstal zvládnutelný.

Právní zdroj
Tři vrstvy navršené na sebe. Směrnice (závazná pro každou zemi EU). Prováděcí nařízení (přímo použitelné právo EU pro odvětví uvedená v příloze). Národní transpozice (v Německu: BSIG).

Článek 21 odst. 2 písm. i) směrnice NIS 2 (2022/2555)

Bezpečnost lidských zdrojů, zásady řízení přístupu a správa aktiv.

Toto je bod i) na seznamu deseti opatření kybernetické bezpečnosti, která musí zavést každý základní a důležitý subjekt. Směrnice slučuje tři povinnosti: personální bezpečnost, řízení přístupu a správu aktiv. CIR §12 je část, která uvádí do praxe polovinu o aktivech.

CIR (EU) 2024/2690, příloha §12

Správa aktiv a hodnot (čl. 21 odst. 2 písm. i) směrnice (EU) 2022/2555).

Protože jde o nařízení (nikoli o směrnici), je přímo závazným právem EU. Není potřeba žádná národní transpozice. Vztahuje se na poskytovatele DNS, registry TLD, poskytovatele cloudu, datová centra, poskytovatele řízených služeb a další odvětví uvedená v jeho příloze. §12 má pět pododdílů pokrývajících klasifikaci, nakládání po celý životní cyklus, výměnná média, samotný soupis a to, co se stane při ukončení zaměstnání.

§30 odst. 2 bod 9 BSIG (Německo)

Bezpečnost lidských zdrojů, koncepty řízení přístupu a správa aktiv.

Německo kopíruje text EU. BSI pak ukazuje na IT-Grundschutz pro praktický detail: CON.6 pokrývá bezpečné mazání a ničení (CIR §12.2 a §12.5) a BSI 200-2 §8.1 vysvětluje, jak v soupisu sdružovat identická aktiva (CIR §12.4).

Tři věci, které CIR §12 skutečně vyžaduje
CIR 2024/2690 §12 má pět pododdílů. Tři z nich nesou hlavní váhu: jak klasifikujete aktiva, jak s nimi nakládáte po celý životní cyklus a samotný soupis. Další dva (výměnná média, konec zaměstnání) jsou konkrétní rozšíření těchto tří.
§12.1

Klasifikujte podle CIA plus obchodní hodnota

Každé aktivum dostává úroveň klasifikace na základě důvěrnosti, integrity, pravosti a dostupnosti, které data na něm potřebují. CIR mapuje tyto čtyři na citlivost, kritičnost, riziko a obchodní hodnotu. Část hodnocení týkající se dostupnosti se váže zpět na cíle obnovy, které stanovíte podle §4.1 pro kontinuitu provozu. Takže stejný soupis řídí jak řízení přístupu, tak BCP.

§12.2

Nakládejte s aktivy bezpečně po celý životní cyklus

Potřebujete písemný koncept pro každou fázi, kterou aktivum prochází: pořízení, použití, uložení, přeprava a likvidace. Bezpečné použití, bezpečné uložení, bezpečná přeprava a nevratné smazání nebo zničení na konci životnosti. §12.3 to rozšiřuje na výměnná média (USB klíčenky, externí disky) a §12.5 to rozšiřuje na okamžik, kdy zaměstnanec odchází.

§12.4

Veďte úplný, přesný a aktuální soupis

Soupis musí být úplný, přesný, aktuální a konzistentní, s dostatečnou granularitou pro vaše potřeby. Patří do něj dvě věci: (a) seznam vašich obchodních procesů a služeb s popisy a (b) seznam sítí a informačních systémů a dalších aktiv, která tyto procesy a služby podporují. Toto je datová struktura, ze které čte každý další oddíl CIR.

Dvě pravidla, která utvářejí vše ostatní
Pod celým modulem aktiv sedí dvě praktická pravidla. Vysvětlují, proč je soupis základem a proč soupis nemusí být obrovský, aby byl platný.

Soupis je předpokladem pro vše ostatní

CIR §12.4 není jen jeden oddíl mezi deseti. Je to datová struktura, na které závisí každý další oddíl. Řízení rizik (§2) z něj čte. Cíle obnovy kontinuity provozu (§4) z něj čtou. Pravidla řízení přístupu (§13) z něj čtou. Klasifikace MFA (§9) z něj čte. Pokud §12.4 chybí nebo je špatně, každý navazující modul chybí nebo je špatně. Vybudujte ho první.

Grundschutz vám umožní sdružit identická aktiva

BSI 200-2 §8.1 výslovně umožňuje sdružování: 45 kancelářských notebooků se stejným obrazem a stejnou rolí se počítá jako jedna položka s počtem 45. Padesátičlenná společnost v Mittelstandu skončí s deseti až patnácti sdruženými položkami, nikoli s deseti tisíci jednotlivých řádků. Soupis musí být úplný, ale úplnost neznamená položku na zařízení.

Jak to národní regulátoři skutečně řídí
EU stanoví pravidlo. Každá země ho transponuje. Podstata je stejná. Místní mechanika se trochu liší.
Německo

BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1

BSI ukazuje na IT-Grundschutz pro praktickou mechaniku. CON.6 "Löschen und Vernichten" pokrývá bezpečné mazání a ničení (odpovídá likvidaci dle CIR §12.2 a konci zaměstnání dle §12.5). BSI 200-2 §8.1 je místo, kde žije pravidlo sdružování: identická aktiva sdružená do jedné položky soupisu s počtem. Na obojí odkazuje implementační návod k §30 BSIG.

Celá EU

Technické prováděcí pokyny ENISA

TIG od ENISA rozkládá CIR §12 do konkrétních důkazů: exporty soupisu, klasifikační schémata, politiky výměnných médií, kontrolní seznamy pro konec zaměstnání. Mapuje také §12 na opatření ISO/IEC 27001:2022 A.5.9 (soupis), A.5.10 (přijatelné použití), A.5.11 (vrácení aktiv), A.5.12 (klasifikace) a A.7.10 (paměťová média). Pokud již provozujete ISO 27001, tato opatření vám dají většinu CIR §12 přímo.

Ostatní členské státy

Národní transpoziční zákony

Každý členský stát má vlastní transpoziční zákon (Nizozemsko: Cyberbeveiligingswet, Rakousko: NISG, Belgie: NIS2-Wet). Povinnost správy aktiv je u všech stejná, protože směrnice stanoví jeden standard pro celou EU. Co se liší: u kterého národního úřadu se registrujete a jak v praxi auditují soupis.

Tři pasti, které vidíme pořád
Tři odpovědi, které se objevují téměř na každém hovoru s přípravou na audit. Každá z nich je blízko pravdě, ale každá ponechává mezeru, kterou auditor najde.

  • Máme stránku v Confluence, která uvádí naše systémy.

    Blízko, ale CIR §12.4 chce víc než seznam systémů. Žádá, aby byl soupis úplný, přesný, aktuální a konzistentní a aby pokrýval dvě věci: vaše obchodní procesy a služby s popisy a systémy a aktiva, která je podporují. Plochý seznam serverů je polovina práce. Mapování procesů na systémy je ta druhá polovina, a je to ta polovina, kterou auditoři kontrolují jako první.

  • Staré notebooky skartujeme, takže máme offboarding pokrytý.

    Dobré pro hardware, ale §12.5 pokrývá víc. Žádá zdokumentovaný postup, který zajistí vrácení, předání nebo smazání aktiv při ukončení zaměstnání, a pokud to není možné, že daná osoba již nemůže přistupovat k sítím a informačním systémům. Co cloudové účty, přihlášení k SaaS, tokeny MFA, mobilní zařízení a VPN profily odcházejícího? Skartovačka je nezachytí.

  • Klasifikujeme data, ne aktiva. Aktivum je jen schránka.

    CIR §12.1 výslovně klasifikuje aktivum podle požadavků CIA na data, se kterými nakládá. Klasifikace žije na aktivu, protože aktivum je to, co nese řízení přístupu, politiky zálohování a cíle obnovy. Klasifikujte obojí: data vám řeknou proč, aktivum je místo, kde podle toho jednáte.

Jak to skuteční provozovatelé v Mittelstandu opravdu dělají

CIR §12.4 je základní artefakt celého zavedení NIS 2. Vybudujete ho jednou, pořádně, se sdružováním podle Grundschutz. Poté z něj každý další modul čte, místo aby se znovu ptal na stejné otázky. Registr rizik, cíle obnovy BCP, pravidla řízení přístupu, klasifikace MFA, rozsah dodavatelů. Všechny ukazují zpět na soupis.

Naše pravidlo palce v německém Mittelstandu: společnost s 50 až 250 zaměstnanci skončí s deseti až patnácti sdruženými položkami na straně aktiv a zhruba stejně na straně dodavatelů. Přidejte mapu procesů (osm až dvanáct obchodních procesů pro většinu provozovatelů) a soupis je hotov. Zabere to soustředěný týden s vedoucím IT a vlastníky procesů, nikoli šestiměsíční projekt.

Jak to řešíme na platformě

Náš modul Aktiva je soupisem podle §12.4 a klasifikací podle §12.1 na jednom místě. Aktiva přidáváte s počtem a sdružováním tak, jak Grundschutz umožňuje. Každé aktivum nese svou klasifikaci CIA, vlastníka, lokalitu a dodavatele, kteří se ho dotýkají. Stejný záznam řídí ošetření rizik, cíle obnovy BCP a rozsah řízení přístupu, aniž byste cokoli přepisovali.

Nakládání po celý životní cyklus dle §12.2, výměnná média dle §12.3 a offboarding dle §12.5 žijí jako písemné politiky, které se odkazují na soupis. Když někdo odejde, platforma vygeneruje kontrolní seznam offboardingu proti jeho přiřazeným aktivům. Žádná tabulka. Žádná samostatná stopa tiketů z HR.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 21 odst. 2 písm. i). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Prováděcí nařízení Komise (EU) 2024/2690 (CIR), příloha §12. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Zákon o BSI (BSIG), §30 odst. 2 bod 9 ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
  • BSI IT-Grundschutz CON.6 "Löschen und Vernichten". bsi.bund.de/Grundschutz
  • BSI 200-2 §8.1 (pravidlo sdružování aktiv). bsi.bund.de/200-2
  • Technické prováděcí pokyny ENISA k CIR (EU) 2024/2690 (k květnu 2026)
Sestavte soupis aktiv jednou, napájejte vše ostatní
Aktiva, klasifikace, sdružování, vlastnictví a životní cyklus na jedné platformě. Zdarma, open source, žádný lock-in.
Otevřít platformu zdarma