Come costruire l'inventario degli asset NIS 2
L'Articolo 21(2)(j) NIS 2 e l'§12 del CIR fissano i cinque campi obbligatori. Il BSI 200-2 §8.1 consente di raggruppare asset identici. La maggior parte delle aziende del Mittelstand finisce con 10-15 voci, non 200.
La versione breve
La NIS 2 nomina la gestione degli asset all'Articolo 21(2)(j) come una delle dieci misure minime di gestione del rischio. Il Regolamento di esecuzione (UE) 2024/2690 della Commissione lo trasforma in un obbligo concreto all'§12: tenere un registro degli asset da cui il soggetto dipende, con un identificatore univoco, una descrizione, un proprietario, un livello di protezione e un'ubicazione.
Il numero che spaventa le persone (200 server, 600 laptop, 40 strumenti SaaS) si riduce una volta che si legge il BSI Standard 200-2 §8.1 accanto all'§12 del CIR. Asset identici con la stessa esigenza di protezione vengono raggruppati in un'unica voce. I 600 laptop diventano una riga con un campo quantità, non 600 righe.
Un operatore del Mittelstand di 50 dipendenti finisce tipicamente con 10-15 voci raggruppate che abbracciano IT, OT, SaaS, apparati di rete e siti fisici. Quel registro è la fondazione a cui fanno riferimento la valutazione del rischio, il registro dei fornitori, la politica degli accessi e il piano di risposta agli incidenti. Costruitelo una volta, rivedetelo una volta all'anno, aggiornatelo quando cambia qualcosa di rilevante.
Articolo 21(2)(j) Direttiva NIS 2 (UE) 2022/2555
[Le misure di gestione del rischio comprendono almeno] la sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità, e la sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli attivi.
L'Articolo 21(2)(j) nomina la gestione degli asset come una delle dieci misure minime che ogni besonders wichtige e wichtige Einrichtung deve adottare. La Direttiva non dice come si presenta il registro. Quel dettaglio si trova un livello più in basso, nel Regolamento di esecuzione.
Regolamento di esecuzione (UE) 2024/2690 della Commissione, Allegato §12 (gestione degli asset)
§12.4: L'inventario degli asset comprende per ciascun asset almeno un identificatore univoco, una descrizione, il proprietario dell'asset, il livello di protezione richiesto e l'ubicazione dell'asset. §12.5: L'inventario è riesaminato a intervalli pianificati e almeno una volta all'anno, e al verificarsi di modifiche significative.
Il CIR 2024/2690 vincola direttamente i soggetti rilevanti degli Allegati I e II della NIS 2. L'§12.4 è l'unico punto del corpus normativo dell'UE che elenca i campi obbligatori. L'§12.5 fissa la cadenza di revisione. Tutto ciò che va oltre questi cinque campi è una scelta, non un obbligo.
§30 BSIG (Germania) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
L'§30 BSIG copia l'Articolo 21 nel diritto tedesco. Il BSI Standard 200-2 §8.1 spiega poi come la Strukturanalyse viene effettivamente svolta nella pratica: oggetti identici con proprietà simili ed esigenze di protezione comparabili vengono raggruppati in un'unica voce. È questa la regola che trasforma 600 laptop in una sola riga di registro.
Partite dai processi, non dalla scansione di rete
Annotate gli otto-dodici processi aziendali da cui l'azienda dipende (acquisizione ordini, fatturazione, buste paga, assistenza clienti, la linea di produzione, il controllo del teleriscaldamento, lo smistamento delle rotte). Per ciascuno, nominate le dipendenze. Questo è il punto di ingresso che il BSI 200-2 chiama Strukturanalyse. La mappa dei processi stabilisce quali asset contano e qual è la loro esigenza di protezione. Una scansione di rete avviata a freddo vi dà rumore, non un registro.
Elencate gli asset da cui dipende ciascun processo, raggruppati
Percorrete ogni processo e catturate gli asset di cui ha bisogno: applicazioni, database, server, endpoint, apparati di rete, servizi cloud e SaaS, componenti OT e ICS, siti fisici. Applicate il BSI 200-2 §8.1: 45 laptop d'ufficio identici sono una voce con un campo quantità, non 45 righe. Tre PLC identici sulla stessa linea sono una voce. I servizi SaaS contano anche se non sono sulla vostra rete. L'output è 10-15 voci raggruppate per un'azienda di 50 dipendenti, non 200.
Compilate i cinque campi dell'§12.4 del CIR per voce
Per ogni voce, compilate i cinque campi obbligatori dell'§12.4 del CIR: identificatore univoco (un breve ID asset come ERP-01), descrizione (cos'è e quale processo serve), proprietario (una persona nominata, non un reparto), livello di protezione (lo Schutzbedarf in riservatezza, integrità e disponibilità, derivato dal processo che serve), ubicazione (data center, regione cloud, sito fisico, o il fornitore che lo ospita). Cinque campi. Il diritto UE non richiede nulla di più.
Raggruppate asset identici, non enumerate ogni dispositivo
Il BSI Standard 200-2 §8.1 dice che oggetti identici con esigenza di protezione comparabile vengono raggruppati. Usatelo. 600 laptop nello stesso profilo MDM con lo stesso Schutzbedarf sono un'unica voce di registro. Tre PLC identici di pompe per le acque reflue sono una voce. Un insieme di workstation VDI identiche è una voce. Chi legge il vostro registro (il BSI, un auditor, il vostro assicuratore) vuole vedere che comprendete le vostre dipendenze, non che siete in grado di scaricare etichette di asset.
Inventariate le dipendenze, non solo le cose che possedete
L'§12.4 del CIR vuole il proprietario dell'asset e il livello di protezione. Entrambi hanno senso solo se sapete quale processo l'asset serve. Un server senza un processo nominato dietro di sé non ottiene alcun proprietario né alcun livello di protezione difendibile, e il campo viene meno. Quindi mappate prima i processi e poi gli asset. La stessa regola copre il SaaS: uno strumento che non possedete ma da cui la vostra fatturazione dipende è nell'ambito, ospitato dal fornitore nominato nel campo ubicazione.
BSI: Strukturanalyse più Gruppenbildung è il metodo canonico
La metodologia IT-Grundschutz del BSI nello Standard 200-2 §8.1 nomina la Strukturanalyse come primo passo concreto e la Gruppenbildung come meccanismo di scalabilità. Il catalogo di audit del BSI stesso (ORP.1, OPS.1, CON.3) legge il registro rispetto ai campi dell'§12.4 del CIR. Un registro raggruppato con dipendenze di processo nominate, un proprietario chiaro per voce e un livello di protezione documentato è ciò che un auditor del BSI si aspetta di vedere in un audit ai sensi dell'§30 BSIG.
Guida tecnica di attuazione dell'ENISA: sezione 12 sulla gestione degli asset
La Guida tecnica di attuazione dell'ENISA per il CIR 2024/2690 dedica la sezione 12 alla gestione degli asset. Ribadisce i cinque campi obbligatori, richiama la cadenza di revisione dell'§12.5 e punta alla ISO/IEC 27001:2022 Annex A.5.9 e alla ISO/IEC 27002 §5.9 come riferimenti di attuazione riconosciuti. La tabella di mappatura dell'ENISA (CC BY 4.0, v1.2, agosto 2025) effettua il crosswalk dell'§12 del CIR alla ISO 27001 A.5.9, al NIST CSF 2.0 ID.AM e alla ETSI EN 319 401.
NL, AT e FR: la ISO/IEC 27001:2022 Annex A.5.9 porta gli stessi campi
La Cyberbeveiligingswet olandese, la NISG austriaca e la trasposizione francese leggono tutte direttamente l'§12 del CIR 2024/2690. La guida nazionale in ciascuno Stato membro punta alla ISO/IEC 27001:2022 Annex A.5.9 (inventario delle informazioni e di altri asset associati) come modo riconosciuto per dare evidenza dell'obbligo. Un soggetto con un unico registro che soddisfa l'§12.4 del CIR li soddisfa tutti. I campi, non il formato, sono ciò che alla legge importa.
Elencheremo ogni dispositivo singolarmente così il registro è completo.
No. Il BSI 200-2 §8.1 autorizza esplicitamente il raggruppamento. Un registro con 600 righe di laptop non supera il test di leggibilità e non aggiunge alcuna informazione che un registro raggruppato da 25 righe non porti già. Il BSI valuta in base al fatto che le voci siano difendibili, non a quante righe siate in grado di produrre.
Il SaaS è invisibile perché non è sulla nostra rete, quindi lo saltiamo.
Sbagliato. L'§12.4 del CIR parla di asset da cui il soggetto dipende, con un campo ubicazione progettato esattamente per questo caso. Un servizio SaaS da cui la vostra fatturazione dipende entra come una voce, l'ubicazione è il fornitore e la regione (ad esempio Salesforce, eu-west), e il fornitore figura nel registro dei fornitori ai sensi dell'§5 del CIR in parallelo.
Possiamo costruire il registro dalla scansione di rete e aggiungere i proprietari in seguito.
Potete, ma il campo proprietario resterà vuoto e il livello di protezione sarà una stima. Entrambi sono obbligatori ai sensi dell'§12.4 del CIR. Senza il passo del processo dal BSI 200-2 §8.1, una voce non ha alcun proprietario difendibile perché nessun processo aziendale punta ad essa. Il registro allora non supera l'audit anche se ha 600 righe.
Un'azienda di costruzione di macchinari con 60 dipendenti nel Sauerland ha mappato undici processi aziendali (acquisizione ordini, progettazione, approvvigionamento, linea di produzione A, linea di produzione B, qualità, spedizione, fatturazione, buste paga, assistenza clienti, servizio remoto post-vendita). La ricognizione degli asset ha prodotto dodici voci raggruppate: ERP (una), CAD e PLM (una), MES in officina (una), file e print server (una, tre macchine identiche), la flotta di 50 laptop sotto un unico profilo MDM (una), due famiglie raggruppate di controller CNC (due), gli apparati di rete centrali (una), Microsoft 365 (una), il SaaS di assistenza clienti (una), l'appliance VPN post-vendita (una) e il sito fisico a Plettenberg (una). Dodici voci che coprono IT e OT, con proprietari nominati, livelli di protezione chiari e un'ubicazione nota.
Il registro ha richiesto due giornate di workshop per la bozza e una settimana di follow-up per confermare proprietari e livelli di protezione. La revisione annuale è di mezza giornata. Le stesse dodici voci sono la spina dorsale del registro dei rischi, del registro dei fornitori, della politica degli accessi, del piano BCM e del runbook di risposta agli incidenti. Il progetto di CMDB di livello audit da 30.000 EUR che l'integratore aveva inizialmente preventivato si è rivelato non necessario; l'§12.4 del CIR chiede solo cinque campi per voce, e il BSI 200-2 §8.1 consente di raggruppare.
La piattaforma attua direttamente l'§12.4 del CIR: ogni voce di asset porta i cinque campi obbligatori (identificatore, descrizione, proprietario, livello di protezione, ubicazione) più un campo quantità per le voci raggruppate dal BSI 200-2 §8.1. Percorrete i processi che avete già mappato nel modulo dei rischi e collegate gli asset da cui ciascun processo dipende. Il registro resta nell'ordine delle decine di voci, non delle centinaia.
La revisione annuale ai sensi dell'§12.5 del CIR è un'attività programmata con un proprietario nominato e una firma con pista di controllo. Gli eventi di modifica significativa (nuovo SaaS, nuova linea OT, cambio di fornitore) attivano una richiesta di aggiornamento invece di attendere dodici mesi. Lo stesso registro alimenta il collegamento al fornitore ai sensi dell'§5 del CIR, la politica degli accessi ai sensi dell'§11 del CIR e il piano di risposta agli incidenti, in modo che i cinque campi che compilate una volta alimentino il resto del registro degli obblighi.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 21(2)(j): le misure minime di gestione del rischio comprendono la sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset.
- Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, Allegato §12 (gestione degli asset): l'§12.4 elenca i cinque campi obbligatori dell'inventario (identificatore univoco, descrizione, proprietario, livello di protezione, ubicazione); l'§12.5 fissa la cadenza di revisione (a intervalli pianificati e almeno una volta all'anno, e al verificarsi di modifiche significative).
- BSIG (Germania), §30 (Risikomanagementmaßnahmen), che traspone l'Articolo 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): oggetti identici con proprietà ed esigenza di protezione comparabili vengono raggruppati in un'unica voce di registro.
- ISO/IEC 27001:2022 Annex A.5.9 (Inventario delle informazioni e di altri asset associati), richiamato dalla Guida tecnica di attuazione dell'ENISA per l'§12 del CIR 2024/2690 come forma di attuazione riconosciuta.