Cos'è un asset ai sensi di NIS 2?
Un asset ai sensi di NIS 2 è qualsiasi cosa che elabora, archivia o trasmette informazioni da cui dipendono le vostre operazioni. La direttiva non dice 'asset' nemmeno una volta, ma sette delle dieci misure dell'art. 21(2) hanno senso solo una volta che si dispone dell'elenco.
Perché l'inventario viene prima
La maggior parte delle attuazioni di NIS 2 si arena nello stesso punto: qualcuno inizia con la gestione del rischio senza prima sapere cosa valutare. L'inventario degli asset è il prerequisito. Senza di esso, l'analisi del rischio è un tirare a indovinare, la mappatura dei fornitori è incompleta, la risposta agli incidenti non può definire l'ambito e gli audit non trovano nulla su cui effettuare verifiche.
La direttiva stessa non usa la parola 'asset' nell'art. 21. Parla di 'sistemi informatici e di rete', della loro sicurezza e della postura di rischio dell'organizzazione. L'art. 2(4) del CIR 2024/2690 e l'IT-Grundschutz BSI 200-2 §8.1 ne completano il significato operativo: un asset è qualsiasi cosa che elabora, archivia o trasmette informazioni da cui dipendono le vostre operazioni.
Per un Mittelstand di 60 persone l'inventario non è un foglio Excel di 200 righe. È un elenco di una pagina di circa 10-15 voci raggruppate, cosa che il Grundschutz consente esplicitamente. Il punto è averlo, mantenerlo aggiornato e lasciare che ancori ogni altra decisione NIS 2.
Art. 21(2)(a) e 21(2)(b) NIS 2
Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti, e comprendono almeno gli elementi seguenti: (a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici; (b) gestione degli incidenti.
L'analisi del rischio e la gestione degli incidenti sono elencate per prime, ma entrambe richiedono un oggetto da analizzare e da gestire: l'inventario di ciò che si possiede effettivamente. La direttiva lo tratta come una precondizione piuttosto che come una misura separata.
CIR 2024/2690, art. 2 e allegato II §2.1
I soggetti pertinenti elaborano, documentano e attuano politiche di analisi dei rischi e di sicurezza dei sistemi informatici, in particolare istituendo e mantenendo un inventario dei loro asset, compresi software, hardware e informazioni.
Il regolamento di esecuzione rende esplicito l'obbligo di inventario per i tipi di soggetti che copre (fornitori di servizi digitali). Per tutti gli altri settori NIS 2 l'obbligo è implicito nell'art. 21(2)(a), ma il Grundschutz lo rende operativo nello stesso modo.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Il raggruppamento di oggetti simili è esplicitamente consentito. Una PMI di 60 persone non ha bisogno di 45 righe per i laptop; ha bisogno di una voce per '45 laptop dei dipendenti' se condividono lo stesso profilo di protezione. È questo che rende l'inventario gestibile.
Applicazioni aziendali
ERP, CRM, contabilità, HR, gestione progetti, software specifico di settore (sistema di laboratorio nel farmaceutico, piattaforma di fatturazione presso un'utility, MES in officina). Una riga per applicazione, anche se ospitata da un fornitore SaaS.
Archivi di dati
Database di produzione, file share, gestione documentale, backup, sistemi di archiviazione. Raggruppate per sensibilità, non per ubicazione fisica.
Infrastruttura di rete e di calcolo
Server (propri o ospitati), firewall, switch, router, concentratori VPN, identity provider, hypervisor, account cloud. Una riga per cluster con finalità identica.
Endpoint
Laptop dei dipendenti, desktop, dispositivi mobili, tablet. Raggruppate per ruolo e famiglia di sistema operativo. Aggiungete separatamente: postazioni amministrative privilegiate, chioschi, terminali punto vendita.
OT e sistemi fisici
SCADA, PLC, gestione degli edifici, controllo degli accessi, videosorveglianza, lettori di accesso fisico, controllo industriale specifico di settore. Spesso trascurati; per utility, manifatturiero, ospedali questa è la singola categoria più grande.
Servizi forniti da fornitori
IT esternalizzato, posta elettronica ospitata, firewall gestito, gestione delle buste paga, ufficio in cloud, identity-as-a-service. Annotate il nome del fornitore e il tipo di dipendenza ai sensi dell'art. 21(2)(d) NIS 2.
Stesso requisito di protezione
Raggruppate 45 laptop dei dipendenti solo se condividono tutti lo stesso Schutzbedarf per riservatezza, integrità e disponibilità. Se 5 di essi contengono dati delle buste paga, quei 5 sono un gruppo separato.
Stesso ruolo operativo
Un server di database di produzione e l'ambiente sandbox di uno sviluppatore non possono essere un solo gruppo anche su hardware identico. Il ruolo differisce, l'esposizione differisce, i controlli differiscono.
Contate esplicitamente
Scrivete la quantità. '45 laptop dei dipendenti' indica a un auditor l'ambito. '1 cluster di laptop' è inutile. Il numero è il ponte dall'inventario all'analisi del rischio.
Passo 1 — Iniziate dai servizi erogati (15 min)
Cosa fa effettivamente il vostro soggetto per i clienti? Elencate da 3 a 8 servizi principali. Per uno Stadtwerk: distribuzione di elettricità, distribuzione di acqua, fatturazione ai clienti. Ogni asset deve ricondursi a un servizio, altrimenti è overhead.
Passo 2 — Mappate applicazioni e dati sui servizi (25 min)
Per ciascun servizio, nominate le applicazioni su cui gira e i dati che tocca. SAP per la fatturazione, la piattaforma di lettura dei contatori per la distribuzione, l'archivio documentale per il legale. Una riga per applicazione.
Passo 3 — Inserite l'infrastruttura sottostante (25 min)
Server, rete, endpoint, identità, account cloud. Raggruppate senza pietà ai sensi del BSI 200-2 §8.1. Un soggetto di 60 persone raramente supera le 10 righe di infrastruttura raggruppate.
Passo 4 — Aggiungete i servizi forniti dai fornitori (25 min)
Qualsiasi servizio esternalizzato che tocca gli asset di cui sopra è esso stesso un asset, più una dipendenza da fornitore. La posta elettronica SaaS è una riga; l'MSP che gestisce il vostro firewall è una riga. Questo alimenta gli obblighi della catena di approvvigionamento dell'art. 21(2)(d).
OT e servizi degli edifici mancanti
Linee di produzione, accesso agli edifici, videosorveglianza, controllo del clima. Facili da saltare perché non stanno sulla scrivania del team IT. Ai sensi di NIS 2 sono asset nel momento in cui elaborano informazioni relative al vostro servizio.
Flussi di dati non mappati
Non basta elencare le applicazioni. Annotate quali dati fluiscono da dove a dove. Un file delle buste paga che si sposta dal sistema HR alla banca via SFTP è esso stesso un flusso che necessita di protezione.
Shadow IT non emerso
I reparti spesso gestiscono i propri abbonamenti SaaS (costruttori di moduli, strumenti di sondaggio, condivisione di file). Chiedete, non date per scontato. Lo shadow IT diventa una dipendenza da fornitore ai sensi dell'art. 21(2)(d) a prescindere da chi l'ha pagato.
- Direttiva (UE) 2022/2555 (NIS 2), art. 21(2), www.eur-lex.europa.eu
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), art. 2 e allegato II §2.1, www.eur-lex.europa.eu
- Standard BSI IT-Grundschutz BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Legge sull'Ufficio federale per la sicurezza informatica (BSIG), §30 (recepimento nazionale dell'art. 21)
Questa pagina fornisce orientamenti strutturati basati su fonti pubblicamente disponibili (direttiva NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Non costituisce consulenza legale ai sensi del §2 RDG. Per casi specifici consultate un avvocato abilitato. Aggiornata al 2026-06-04.