Art. 21(2)(i) NIS 2 + CIR §12

Gestion des actifs NIS 2 au titre de l'article 21(2)(i)

La gestion des actifs est le socle sous toutes les autres mesures NIS 2. Si vous ne savez pas ce que vous possédez, vous ne pouvez ni le protéger, ni le classer, ni le sauvegarder, ni savoir qui peut y accéder. L'article 21(2)(i) est le siège de cette obligation, le CIR (UE) 2024/2690 §12 en précise les cinq éléments, et le §30(2)(9) BSIG inscrit la même règle en droit allemand.

Simon OrzelSimon Orzel·

En bref

La gestion des actifs figure au point (i) de la liste des dix obligations de cybersécurité de l'article 21(2). Le texte la regroupe avec la sécurité du personnel et le contrôle d'accès. La raison est simple : les trois répondent à la même question, qui peut toucher à quoi. La gestion des actifs est la moitié qui dit ce que « quoi » est réellement.

Le CIR (UE) 2024/2690 §12 en précise le détail. Il décompose la gestion des actifs en cinq éléments. Classez vos actifs par confidentialité, intégrité, authenticité et disponibilité. Manipulez-les en sécurité sur l'ensemble du cycle de vie. Maîtrisez les supports amovibles. Tenez un inventaire complet et à jour. Assurez-vous que les actifs reviennent au départ des personnes. C'est le minimum requis.

L'Allemagne transpose la même règle en droit national par le §30(2)(9) BSIG. Le libellé suit la directive. Le BSI renvoie ensuite à IT-Grundschutz pour la mécanique pratique, y compris la règle qui vous permet de regrouper les actifs identiques afin que l'inventaire reste maîtrisable.

La source juridique
Trois couches superposées. La directive (contraignante pour chaque pays de l'UE). Le règlement d'exécution (droit de l'UE directement applicable pour les secteurs cités dans l'annexe). La transposition nationale (en Allemagne : BSIG).

Article 21(2)(i) de la directive NIS 2 (2022/2555)

La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs.

Il s'agit du point (i) de la liste des dix mesures de cybersécurité que toute entité essentielle et importante doit mettre en place. La directive regroupe trois obligations : la sécurité du personnel, le contrôle d'accès et la gestion des actifs. Le CIR §12 est la partie qui opérationnalise le volet actifs.

CIR (UE) 2024/2690, annexe §12

Gestion des actifs et de la valeur (article 21(2)(i) de la directive (UE) 2022/2555).

Parce qu'il s'agit d'un règlement (et non d'une directive), c'est un droit de l'UE directement contraignant. Aucune transposition nationale n'est nécessaire. Il s'applique aux fournisseurs de DNS, aux registres de domaines de premier niveau, aux fournisseurs de cloud, aux centres de données, aux fournisseurs de services gérés et aux autres secteurs cités dans son annexe. Le §12 comporte cinq sous-sections couvrant la classification, le traitement sur le cycle de vie, les supports amovibles, l'inventaire lui-même et ce qui se passe à la fin de l'emploi.

§30(2)(9) BSIG (Allemagne)

La sécurité des ressources humaines, les concepts de contrôle d'accès et la gestion des actifs.

L'Allemagne reprend le texte de l'UE. Le BSI renvoie ensuite à IT-Grundschutz pour le détail pratique : CON.6 couvre la suppression et la destruction sécurisées (CIR §12.2 et §12.5), et BSI 200-2 §8.1 explique comment regrouper les actifs identiques dans l'inventaire (CIR §12.4).

Les trois éléments que le §12 du CIR exige réellement
Le CIR 2024/2690 §12 comporte cinq sous-sections. Trois d'entre elles portent l'essentiel : comment vous classez les actifs, comment vous les manipulez sur le cycle de vie, et l'inventaire lui-même. Les deux autres (supports amovibles, fin de l'emploi) sont des extensions spécifiques de ces trois.
§12.1

Classer par CIA plus valeur métier

Chaque actif reçoit un niveau de classification fondé sur la confidentialité, l'intégrité, l'authenticité et la disponibilité dont les données qu'il porte ont besoin. Le CIR met ces quatre critères en correspondance avec la sensibilité, la criticité, le risque et la valeur métier. La part de disponibilité de la notation renvoie aux objectifs de reprise que vous fixez au titre du §4.1 pour la continuité d'activité. Ainsi, le même inventaire alimente à la fois le contrôle d'accès et le PCA.

§12.2

Manipuler les actifs en sécurité sur l'ensemble du cycle de vie

Il vous faut un concept écrit pour chaque étape que traverse un actif : acquisition, utilisation, stockage, transport et mise au rebut. Utilisation sécurisée, stockage sécurisé, transport sécurisé, et suppression ou destruction irréversible en fin de vie. Le §12.3 étend cela aux supports amovibles (clés USB, disques externes), et le §12.5 l'étend au moment où un salarié part.

§12.4

Tenir un inventaire complet, exact et à jour

L'inventaire doit être complet, exact, à jour et cohérent, avec une granularité suffisante pour vos besoins. Deux choses y figurent : (a) une liste de vos processus et services métier avec descriptions, et (b) une liste des réseaux et systèmes d'information et autres actifs qui soutiennent ces processus et services. C'est la structure de données dans laquelle toutes les autres sections du CIR puisent.

Deux règles qui structurent tout le reste
Deux règles pratiques sous-tendent l'ensemble du module actifs. Elles expliquent pourquoi l'inventaire est le socle, et pourquoi l'inventaire n'a pas à être pléthorique pour être valide.

L'inventaire est la condition préalable à tout le reste

Le CIR §12.4 n'est pas qu'une section parmi dix. C'est la structure de données dont dépend toute autre section. La gestion des risques (§2) y puise. Les objectifs de reprise de la continuité d'activité (§4) y puisent. Les règles de contrôle d'accès (§13) y puisent. La classification MFA (§9) y puise. Si le §12.4 est absent ou erroné, tout module en aval est absent ou erroné. Construisez-le en premier.

Grundschutz vous permet de regrouper les actifs identiques

BSI 200-2 §8.1 autorise explicitement le regroupement : 45 ordinateurs portables de bureau avec la même image et le même rôle comptent pour une seule entrée avec une quantité de 45. Une entreprise du Mittelstand de 50 personnes aboutit à dix à quinze entrées regroupées, pas à dix mille lignes individuelles. L'inventaire doit être complet, mais complétude ne signifie pas une ligne par appareil.

Comment les régulateurs nationaux l'appliquent concrètement
L'UE fixe la règle. Chaque pays la transpose. Le fond est le même. Les modalités locales diffèrent quelque peu.
Allemagne

BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1

Le BSI renvoie à IT-Grundschutz pour la mécanique pratique. CON.6 « Löschen und Vernichten » couvre la suppression et la destruction sécurisées (correspond au CIR §12.2 mise au rebut et §12.5 fin de l'emploi). BSI 200-2 §8.1 est l'endroit où réside la règle de regroupement : actifs identiques regroupés en une seule entrée d'inventaire avec une quantité. Les deux sont référencés par les orientations de mise en œuvre du §30 BSIG.

À l'échelle de l'UE

Orientations techniques de mise en œuvre de l'ENISA

Le TIG de l'ENISA décompose le CIR §12 en preuves concrètes : exports d'inventaire, schémas de classification, politiques sur les supports amovibles, listes de vérification de fin d'emploi. Il met aussi en correspondance le §12 avec les contrôles de l'ISO/IEC 27001:2022 A.5.9 (inventaire), A.5.10 (utilisation acceptable), A.5.11 (restitution des actifs), A.5.12 (classification) et A.7.10 (supports de stockage). Si vous exploitez déjà l'ISO 27001, ces contrôles vous donnent l'essentiel du CIR §12 directement.

Autres États membres

Lois nationales de transposition

Chaque État membre dispose de sa propre loi de transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet). L'obligation de gestion des actifs est la même pour toutes parce que la directive fixe une norme unique à l'échelle de l'UE. Ce qui diffère : l'agence nationale auprès de laquelle vous vous enregistrez et la manière dont elle audite l'inventaire en pratique.

Trois pièges que nous voyons constamment
Trois réponses qui reviennent dans presque chaque entretien de préparation à l'audit. Chacune est proche de la vérité, mais chacune laisse une lacune qu'un auditeur trouvera.

  • Nous avons une page Confluence qui répertorie nos systèmes.

    Proche, mais le CIR §12.4 veut plus qu'une liste de systèmes. Il demande que l'inventaire soit complet, exact, à jour et cohérent, et qu'il couvre deux choses : vos processus et services métier avec descriptions, et les systèmes et actifs qui les soutiennent. Une liste plate de serveurs est la moitié du travail. La mise en correspondance processus-système est l'autre moitié, et c'est la moitié que les auditeurs vérifient en premier.

  • Nous broyons les anciens ordinateurs portables, donc nous sommes couverts sur le départ des salariés.

    Bien pour le matériel, mais le §12.5 couvre davantage. Il demande une procédure documentée garantissant la restitution, la remise ou la suppression des actifs à la fin de l'emploi, et si ce n'est pas possible, que la personne ne puisse plus accéder aux réseaux et systèmes d'information. Qu'en est-il des comptes cloud du partant, des connexions SaaS, des jetons MFA, des appareils mobiles et des profils VPN ? Le broyeur ne les attrape pas.

  • Nous classons les données, pas les actifs. L'actif n'est que le contenant.

    Le CIR §12.1 classe explicitement l'actif d'après les exigences CIA des données qu'il traite. La classification réside sur l'actif parce que l'actif est ce qui porte les contrôles d'accès, les politiques de sauvegarde et les objectifs de reprise. Classez les deux : les données vous disent pourquoi, l'actif est l'endroit où vous agissez.

Comment les opérateurs du Mittelstand procèdent réellement

Le CIR §12.4 est l'artefact fondateur de toute la mise en œuvre de NIS 2. Vous le construisez une fois, correctement, avec le regroupement Grundschutz. Après cela, tout autre module y puise au lieu de reposer les mêmes questions. Registre des risques, objectifs de reprise du PCA, règles de contrôle d'accès, classification MFA, périmètre fournisseurs. Tous renvoient à l'inventaire.

Notre règle empirique dans le Mittelstand allemand : une entreprise de 50 à 250 personnes aboutit à dix à quinze entrées regroupées côté actifs et à peu près autant côté fournisseurs. Ajoutez la cartographie des processus (huit à douze processus métier pour la plupart des opérateurs) et l'inventaire est terminé. Cela prend une semaine concentrée avec le responsable informatique et les propriétaires de processus, pas un projet de six mois.

Comment nous traitons cela sur la plateforme

Notre module Actifs est l'inventaire du §12.4 et la classification du §12.1 en un seul endroit. Vous ajoutez des actifs avec quantité et regroupement comme Grundschutz l'autorise. Chaque actif porte sa classification CIA, son titulaire, sa localisation et les fournisseurs qui le touchent. Le même enregistrement alimente le traitement des risques, les objectifs de reprise du PCA et le périmètre du contrôle d'accès sans que vous ressaisissiez quoi que ce soit.

Le traitement du cycle de vie du §12.2, les supports amovibles du §12.3 et le départ des salariés du §12.5 résident tous sous forme de politiques écrites reliées à l'inventaire. Lorsqu'une personne part, la plateforme génère la liste de vérification de départ par rapport aux actifs qui lui sont affectés. Pas de tableur. Pas de fil de tickets RH distinct.

Sources
  • Directive (UE) 2022/2555 (NIS 2), article 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Loi BSI (BSIG), §30(2)(9) tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
  • BSI IT-Grundschutz CON.6 « Löschen und Vernichten » — bsi.bund.de/Grundschutz
  • BSI 200-2 §8.1 (règle de regroupement des actifs) — bsi.bund.de/200-2
  • Orientations techniques de mise en œuvre de l'ENISA pour le CIR (UE) 2024/2690 (état de mai 2026)
Constituez l'inventaire des actifs une fois, alimentez tout le reste
Actifs, classification, regroupement, propriété et cycle de vie sur une seule plateforme. Gratuit, open source, sans lock-in.
Ouvrir la plateforme gratuite