Qu'est-ce qu'un actif au titre de NIS 2 ?
Un actif au titre de NIS 2 est tout ce qui traite, stocke ou transmet des informations dont vos activités dépendent. La directive ne dit pas une seule fois « actif », mais sept des dix mesures de l'art. 21(2) n'ont de sens qu'une fois la liste établie.
Pourquoi l'inventaire vient en premier
La plupart des mises en œuvre de NIS 2 calent au même endroit : quelqu'un commence par la gestion des risques sans d'abord savoir quoi évaluer. L'inventaire des actifs est le préalable. Sans lui, l'analyse des risques relève de la conjecture, la cartographie des fournisseurs est incomplète, la réponse aux incidents ne peut pas en cerner la portée et les audits ne trouvent rien à tester.
La directive elle-même n'emploie pas le mot « actif » à l'art. 21. Elle parle de « réseaux et systèmes d'information », de leur sécurité et de la posture de risque de l'organisation. La CIR 2024/2690, art. 2(4), et l'IT-Grundschutz BSI 200-2 §8.1 en précisent le sens opérationnel : un actif est tout ce qui traite, stocke ou transmet des informations dont vos activités dépendent.
Pour un Mittelstand de 60 personnes, l'inventaire n'est pas un tableur Excel de 200 lignes. C'est une liste d'une page d'environ 10 à 15 entrées regroupées, ce que le Grundschutz autorise explicitement. Le but est de l'avoir, de la tenir à jour et de la laisser ancrer chaque autre décision NIS 2.
Art. 21(2)(a) et 21(2)(b) NIS 2
Les mesures visées au paragraphe 1 sont fondées sur une approche tous risques qui vise à protéger les réseaux et systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents, et comprennent au moins les éléments suivants : a) les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ; b) la gestion des incidents.
L'analyse des risques et la gestion des incidents sont citées en premier, mais toutes deux requièrent un objet à analyser et à traiter : l'inventaire de ce que vous possédez réellement. La directive traite cela comme une condition préalable plutôt que comme une mesure distincte.
CIR 2024/2690, art. 2 et annexe II §2.1
Les entités concernées élaborent, documentent et mettent en œuvre des politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information, en particulier en établissant et en tenant à jour un inventaire de leurs actifs comprenant les logiciels, le matériel et l'information.
Le règlement d'exécution rend l'obligation d'inventaire explicite pour les types d'entités qu'il couvre (fournisseurs de services numériques). Pour tous les autres secteurs NIS 2, l'obligation est implicite à l'art. 21(2)(a) mais le Grundschutz la rend opérationnelle de la même manière.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Le regroupement d'objets similaires est explicitement autorisé. Une PME de 60 personnes n'a pas besoin de 45 lignes d'ordinateurs portables ; elle a besoin d'une seule entrée pour « ordinateurs portables des collaborateurs, 45 unités » s'ils partagent le même profil de protection. C'est ce qui rend l'inventaire gérable.
Applications métier
ERP, CRM, comptabilité, RH, gestion de projet, logiciels propres au secteur (système de laboratoire en pharmacie, plateforme de facturation chez un service public, MES sur un atelier de production). Une ligne par application, même si elle est hébergée par un fournisseur SaaS.
Stockages de données
Bases de données de production, partages de fichiers, gestion documentaire, sauvegardes, systèmes d'archivage. Regroupez par sensibilité, et non par emplacement physique.
Infrastructure réseau et de calcul
Serveurs (propres ou hébergés), pare-feu, commutateurs, routeurs, concentrateurs VPN, fournisseurs d'identité, hyperviseurs, comptes cloud. Une ligne par grappe à finalité identique.
Terminaux
Ordinateurs portables des collaborateurs, postes de travail, appareils mobiles, tablettes. Regroupez par rôle et par famille d'OS. Ajoutez séparément : postes d'administration privilégiés, bornes, terminaux de point de vente.
OT et systèmes physiques
SCADA, automates programmables, gestion technique du bâtiment, contrôle d'accès, vidéosurveillance, lecteurs d'accès physiques, contrôle-commande industriel propre au secteur. Souvent oubliés ; pour les services publics, l'industrie manufacturière, les hôpitaux, c'est la plus grande catégorie isolée.
Services fournis par des fournisseurs
Informatique externalisée, messagerie hébergée, pare-feu géré, paie, bureautique cloud, identité en tant que service. Notez le nom du fournisseur et le type de dépendance au titre de l'art. 21(2)(d) NIS 2.
Même besoin de protection
Regroupez 45 ordinateurs portables de collaborateurs uniquement s'ils partagent tous le même Schutzbedarf pour la confidentialité, l'intégrité et la disponibilité. Si 5 d'entre eux contiennent des données de paie, ces 5-là forment un groupe distinct.
Même rôle opérationnel
Un serveur de base de données de production et le bac à sable d'un développeur ne peuvent pas former un seul groupe, même sur un matériel identique. Le rôle diffère, l'exposition diffère, les contrôles diffèrent.
Comptez explicitement
Inscrivez la quantité. « 45 ordinateurs portables de collaborateurs » indique la portée à un auditeur. « 1 grappe d'ordinateurs portables » est inutile. Le nombre est le pont entre l'inventaire et l'analyse des risques.
Étape 1 — Commencez par les services rendus (15 min)
Que fait réellement votre entité pour les clients ? Énumérez 3 à 8 services essentiels. Pour un Stadtwerk : distribution d'électricité, distribution d'eau, facturation des clients. Chaque actif doit pouvoir se rattacher à un service, sinon c'est du superflu.
Étape 2 — Reliez applications et données aux services (25 min)
Pour chaque service, nommez les applications sur lesquelles il repose et les données qu'il touche. SAP pour la facturation, la plateforme de relevé des compteurs pour la distribution, l'archive documentaire pour le juridique. Une ligne par application.
Étape 3 — Déposez l'infrastructure en dessous (25 min)
Serveurs, réseau, terminaux, identité, comptes cloud. Regroupez sans pitié au titre du BSI 200-2 §8.1. Une entité de 60 personnes dépasse rarement 10 lignes d'infrastructure regroupées.
Étape 4 — Ajoutez les services fournis par des fournisseurs (25 min)
Tout service externalisé qui touche les actifs ci-dessus est lui-même un actif, plus une dépendance fournisseur. La messagerie SaaS est une ligne ; le MSP qui gère votre pare-feu est une ligne. Cela alimente les obligations de chaîne d'approvisionnement de l'art. 21(2)(d).
OT et services techniques du bâtiment manquants
Lignes de production, accès au bâtiment, vidéosurveillance, climatisation. Faciles à oublier parce qu'ils ne sont pas sur le bureau de l'équipe informatique. Au titre de NIS 2, ils sont des actifs dès l'instant où ils traitent des informations liées à votre service.
Flux de données non cartographiés
Il ne suffit pas d'énumérer les applications. Notez quelles données circulent d'où vers où. Un fichier de paie passant du système RH à la banque par SFTP est lui-même un flux qui doit être protégé.
Shadow IT non mis en évidence
Les services métier gèrent souvent leurs propres abonnements SaaS (générateurs de formulaires, outils de sondage, partage de fichiers). Demandez, ne présumez pas. Le shadow IT devient une dépendance fournisseur au titre de l'art. 21(2)(d), peu importe qui a payé.
- Directive (UE) 2022/2555 (NIS 2), art. 21(2), www.eur-lex.europa.eu
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), art. 2 et annexe II §2.1, www.eur-lex.europa.eu
- Norme BSI IT-Grundschutz BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Loi sur l'Office fédéral de la sécurité des technologies de l'information (BSIG), §30 (transposition nationale de l'art. 21)
Cette page fournit des orientations structurées fondées sur des sources accessibles au public (directive NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Elle ne constitue pas un conseil juridique au sens du §2 RDG. Pour des cas particuliers, consultez un avocat admis. Au 2026-06-04.