Comment construire l'inventaire des actifs NIS 2
L'article 21(2)(j) de NIS 2 et le §12 du CIR fixent les cinq champs obligatoires. La BSI 200-2 §8.1 vous permet de grouper les actifs identiques. La plupart des entreprises Mittelstand terminent avec 10 à 15 entrées, et non 200.
La version courte
NIS 2 nomme la gestion des actifs à l'article 21(2)(j) comme l'une des dix mesures minimales de gestion des risques. Le règlement d'exécution (UE) 2024/2690 de la Commission en fait une obligation concrète au §12 : tenir un registre des actifs dont l'entité dépend, avec un identifiant unique, une description, un propriétaire, un niveau de protection et une localisation.
Le nombre qui fait peur (200 serveurs, 600 ordinateurs portables, 40 outils SaaS) diminue dès lors qu'on lit la BSI Standard 200-2 §8.1 à côté du §12 du CIR. Les actifs identiques avec le même besoin de protection sont groupés en une seule entrée. Les 600 ordinateurs portables deviennent une seule ligne avec un champ de quantité, et non 600 lignes.
Un exploitant Mittelstand de 50 salariés se retrouve généralement avec 10 à 15 entrées groupées couvrant l'IT, l'OT, le SaaS, les équipements réseau et les sites physiques. Ce registre est le socle que l'évaluation des risques, le registre des fournisseurs, la politique d'accès et le plan d'incident référencent tous. Construisez-le une fois, revoyez-le une fois par an, mettez-le à jour lorsque quelque chose de significatif change.
Article 21(2)(j) de la directive NIS 2 (UE) 2022/2555
[Les mesures de gestion des risques comprennent au moins] la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités, et la sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs.
L'article 21(2)(j) nomme la gestion des actifs comme l'une des dix mesures minimales que toute besonders wichtige et wichtige Einrichtung doit prendre. La directive ne dit pas à quoi ressemble le registre. Ce détail se situe un niveau en dessous, dans le règlement d'exécution.
Règlement d'exécution (UE) 2024/2690 de la Commission, annexe §12 (gestion des actifs)
§12.4 : L'inventaire des actifs comprend pour chaque actif au moins un identifiant unique, une description, le propriétaire de l'actif, le niveau de protection requis et la localisation de l'actif. §12.5 : L'inventaire est revu à intervalles planifiés et au moins une fois par an, ainsi qu'en cas de changements significatifs.
Le CIR 2024/2690 lie directement les entités concernées des Annexes I et II de NIS 2. Le §12.4 est le seul endroit, dans le corpus du droit de l'UE, qui énumère les champs obligatoires. Le §12.5 fixe la cadence de revue. Tout ce qui va au-delà de ces cinq champs est un choix, pas une obligation.
§30 BSIG (Allemagne) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG : Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
Le §30 BSIG reprend l'article 21 dans le droit allemand. La BSI Standard 200-2 §8.1 explique ensuite comment la Strukturanalyse se fait réellement en pratique : les objets identiques avec des propriétés similaires et des besoins de protection comparables sont groupés en une seule entrée. C'est la règle qui transforme 600 ordinateurs portables en une seule ligne de registre.
Partez des processus, et non du balayage réseau
Notez les huit à douze processus métier dont l'entreprise dépend (prise de commande, facturation, paie, support client, ligne de production, contrôle du chauffage urbain, répartition des tournées). Pour chacun, nommez les dépendances. C'est le point d'entrée que la BSI 200-2 appelle Strukturanalyse. La cartographie des processus détermine quels actifs importent et quel est leur besoin de protection. Un balayage réseau démarré à froid vous donne du bruit, pas un registre.
Listez les actifs dont dépend chaque processus, groupés
Parcourez chaque processus et capturez les actifs dont il a besoin : applications, bases de données, serveurs, terminaux, équipements réseau, services cloud et SaaS, composants OT et ICS, sites physiques. Appliquez la BSI 200-2 §8.1 : 45 ordinateurs portables de bureau identiques constituent une seule entrée avec un champ de quantité, et non 45 lignes. Trois PLC identiques sur la même ligne constituent une seule entrée. Les services SaaS comptent même s'ils ne sont pas sur votre réseau. Le résultat est de 10 à 15 entrées groupées pour une entreprise de 50 salariés, et non 200.
Remplissez les cinq champs du §12.4 du CIR par entrée
Pour chaque entrée, remplissez les cinq champs obligatoires du §12.4 du CIR : identifiant unique (un ID d'actif court comme ERP-01), description (ce que c'est et quel processus il sert), propriétaire (une personne nommée, pas un service), niveau de protection (le Schutzbedarf en confidentialité, intégrité et disponibilité, dérivé du processus qu'il sert), localisation (centre de données, région cloud, site physique, ou le fournisseur qui l'héberge). Cinq champs. Le droit de l'UE n'en exige pas davantage.
Groupez les actifs identiques, n'énumérez pas chaque appareil
La BSI Standard 200-2 §8.1 dit que les objets identiques ayant un besoin de protection comparable sont groupés. Utilisez-le. 600 ordinateurs portables dans le même profil MDM avec le même Schutzbedarf constituent une seule entrée de registre. Trois PLC de pompes d'eaux usées identiques constituent une seule entrée. Un parc de postes de travail VDI identiques constitue une seule entrée. Le lecteur de votre registre (le BSI, un auditeur, votre assureur) veut voir que vous comprenez vos dépendances, pas que vous savez déverser des étiquettes d'actifs.
Inventoriez les dépendances, et non seulement ce que vous possédez
Le §12.4 du CIR veut le propriétaire de l'actif et le niveau de protection. Les deux n'ont de sens que si vous savez quel processus l'actif sert. Un serveur sans processus nommé derrière lui n'obtient ni propriétaire ni niveau de protection défendable, et vous échouez sur le champ. Donc cartographiez les processus d'abord et les actifs ensuite. La même règle couvre le SaaS : un outil que vous ne possédez pas mais dont votre facturation dépend est dans le champ d'application, hébergé par le fournisseur nommé dans le champ de localisation.
BSI : Strukturanalyse plus Gruppenbildung est la méthode canonique
La méthodologie IT-Grundschutz du BSI dans la Standard 200-2 §8.1 nomme la Strukturanalyse comme la première étape concrète et la Gruppenbildung comme le mécanisme de mise à l'échelle. Le catalogue d'audit propre au BSI (ORP.1, OPS.1, CON.3) lit le registre au regard des champs du §12.4 du CIR. Un registre groupé avec des dépendances de processus nommées, un propriétaire clair par entrée et un niveau de protection documenté est ce qu'un auditeur du BSI s'attend à voir dans un audit au titre du §30 BSIG.
Orientations techniques de mise en œuvre de l'ENISA : section 12 gestion des actifs
Les orientations techniques de mise en œuvre de l'ENISA pour le CIR 2024/2690 consacrent la section 12 à la gestion des actifs. Elles reprennent les cinq champs obligatoires, renvoient à la cadence de revue du §12.5 et pointent vers l'ISO/IEC 27001:2022 Annexe A.5.9 et l'ISO/IEC 27002 §5.9 comme références de mise en œuvre reconnues. Le tableau de correspondance de l'ENISA (CC BY 4.0, v1.2, août 2025) met en correspondance le §12 du CIR avec l'ISO 27001 A.5.9, le NIST CSF 2.0 ID.AM et l'ETSI EN 319 401.
NL, AT et FR : l'ISO/IEC 27001:2022 Annexe A.5.9 porte les mêmes champs
La Cyberbeveiligingswet néerlandaise, la NISG autrichienne et la transposition française lisent toutes le §12 du CIR 2024/2690 directement. Les orientations nationales de chaque État membre pointent vers l'ISO/IEC 27001:2022 Annexe A.5.9 (inventaire des informations et autres actifs associés) comme moyen reconnu d'établir la preuve de l'obligation. Une entité disposant d'un registre unique qui satisfait au §12.4 du CIR les satisfait tous. Ce sont les champs, et non le format, qui importent au droit.
Nous allons lister chaque appareil individuellement pour que le registre soit complet.
Non. La BSI 200-2 §8.1 autorise explicitement le groupement. Un registre avec 600 lignes d'ordinateurs portables échoue au test de lisibilité et n'ajoute aucune information qu'un registre groupé de 25 lignes ne porte pas déjà. Le BSI note selon que les entrées sont défendables, et non selon le nombre de lignes que vous pouvez produire.
Le SaaS est invisible parce qu'il n'est pas sur notre réseau, donc nous le sautons.
Faux. Le §12.4 du CIR parle des actifs dont l'entité dépend, avec un champ de localisation conçu exactement pour ce cas. Un service SaaS dont votre facturation dépend y figure comme une seule entrée, la localisation est le fournisseur et la région (par exemple Salesforce, eu-west), et le fournisseur figure dans le registre des fournisseurs au titre du §5 du CIR en parallèle.
Nous pouvons construire le registre à partir du balayage réseau et ajouter les propriétaires plus tard.
Vous le pouvez, mais le champ propriétaire restera vide et le niveau de protection sera une supposition. Les deux sont obligatoires au titre du §12.4 du CIR. Sans l'étape des processus de la BSI 200-2 §8.1, une entrée n'a pas de propriétaire défendable parce qu'aucun processus métier ne pointe vers elle. Le registre échoue alors à l'audit même s'il comporte 600 lignes.
Une entreprise de construction de machines de 60 salariés dans le Sauerland a cartographié onze processus métier (prise de commande, conception, approvisionnement, ligne de production A, ligne de production B, qualité, expédition, facturation, paie, support client, service à distance après-vente). Le parcours des actifs a produit douze entrées groupées : ERP (une), CAO et PLM (une), MES à l'atelier (une), serveurs de fichiers et d'impression (une, trois boîtiers identiques), le parc de 50 ordinateurs portables sous un seul profil MDM (une), deux familles groupées de contrôleurs CNC (deux), les équipements réseau centraux (une), Microsoft 365 (une), le SaaS de support client (une), l'appliance VPN après-vente (une), et le site physique à Plettenberg (une). Douze entrées couvrant l'IT et l'OT, avec des propriétaires nommés, des niveaux de protection clairs et une localisation connue.
Le registre a pris deux journées d'atelier à rédiger et une semaine de suivi pour confirmer les propriétaires et les niveaux de protection. La revue annuelle est une demi-journée. Les mêmes douze entrées sont la colonne vertébrale du registre des risques, du registre des fournisseurs, de la politique d'accès, du plan BCM et du runbook de réponse aux incidents. Le projet de CMDB de qualité audit à 30 000 EUR que l'intégrateur avait initialement chiffré s'est avéré inutile ; le §12.4 du CIR ne demande que cinq champs par entrée, et la BSI 200-2 §8.1 vous permet de grouper.
La plateforme met en œuvre le §12.4 du CIR directement : chaque entrée d'actif porte les cinq champs obligatoires (identifiant, description, propriétaire, niveau de protection, localisation) plus un champ de quantité pour les entrées groupées de la BSI 200-2 §8.1. Vous parcourez les processus que vous avez déjà cartographiés dans le module des risques et attachez les actifs dont chaque processus dépend. Le registre reste dans les dizaines d'entrées, et non les centaines.
La revue annuelle au titre du §12.5 du CIR est une tâche planifiée avec un propriétaire nommé et une signature de piste d'audit. Les événements de changement significatif (nouveau SaaS, nouvelle ligne OT, changement de fournisseur) déclenchent une invite de mise à jour au lieu d'attendre douze mois. Le même registre alimente le lien fournisseur au titre du §5 du CIR, la politique d'accès au titre du §11 du CIR et le plan d'incident, de sorte que les cinq champs que vous remplissez une fois alimentent le reste du registre des obligations.
- Directive (UE) 2022/2555 (NIS 2), article 21(2)(j) : les mesures minimales de gestion des risques comprennent la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs.
- Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, annexe §12 (gestion des actifs) : le §12.4 énumère les cinq champs obligatoires de l'inventaire (identifiant unique, description, propriétaire, niveau de protection, localisation) ; le §12.5 fixe la cadence de revue (à intervalles planifiés et au moins une fois par an, ainsi qu'en cas de changement significatif).
- BSIG (Allemagne), §30 (Risikomanagementmaßnahmen), transposant l'article 21 de NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung) : les objets identiques avec des propriétés et un besoin de protection comparables sont groupés en une seule entrée de registre.
- ISO/IEC 27001:2022 Annexe A.5.9 (inventaire des informations et autres actifs associés), référencée par les orientations techniques de mise en œuvre de l'ENISA pour le §12 du CIR 2024/2690 comme forme de mise en œuvre reconnue.