Gestione degli asset NIS 2 ai sensi dell'articolo 21(2)(i)
La gestione degli asset è il fondamento sotto ogni altra misura di NIS 2. Se non sapete cosa avete, non potete proteggerlo, classificarlo, eseguirne il backup o sapere chi può accedervi. L'articolo 21(2)(i) è dove risiede l'obbligo, il CIR (UE) 2024/2690 §12 ne specifica le cinque parti e il §30(2)(9) BSIG recepisce la stessa regola nel diritto tedesco.
La versione breve
La gestione degli asset è al punto (i) dell'elenco dei dieci obblighi di cibersicurezza dell'articolo 21(2). Il testo la accorpa alla sicurezza del personale e al controllo degli accessi. Il motivo è semplice: tutti e tre rispondono alla stessa domanda, chi può toccare cosa. La gestione degli asset è la metà che dice cosa sia effettivamente quel 'cosa'.
Il CIR (UE) 2024/2690 §12 ne completa il dettaglio. Suddivide la gestione degli asset in cinque parti. Classificate i vostri asset per riservatezza, integrità, autenticità e disponibilità. Trattateli in sicurezza lungo l'intero ciclo di vita. Controllate i supporti rimovibili. Mantenete un inventario completo e aggiornato. Assicuratevi che gli asset tornino indietro quando le persone se ne vanno. Questo è il minimo.
La Germania recepisce la stessa regola nel diritto nazionale tramite il §30(2)(9) BSIG. La formulazione segue la direttiva. Il BSI indica poi IT-Grundschutz per la meccanica pratica, compresa la regola che consente di raggruppare asset identici affinché l'inventario resti gestibile.
Articolo 21(2)(i) della direttiva NIS 2 (2022/2555)
Sicurezza delle risorse umane, politiche di controllo dell'accesso e gestione degli attivi.
Questo è il punto (i) dell'elenco delle dieci misure di cibersicurezza che ogni soggetto essenziale e importante deve attuare. La direttiva raggruppa tre obblighi: sicurezza del personale, controllo degli accessi e gestione degli asset. Il CIR §12 è la parte che rende operativa la metà relativa agli asset.
CIR (UE) 2024/2690, allegato §12
Gestione degli asset e dei valori (articolo 21, paragrafo 2, lettera i), della direttiva (UE) 2022/2555).
Poiché si tratta di un regolamento (non di una direttiva), è diritto UE direttamente vincolante. Non serve alcun recepimento nazionale. Si applica ai fornitori di DNS, ai registri TLD, ai fornitori di cloud, ai centri dati, ai fornitori di servizi gestiti e agli altri settori elencati nel suo allegato. Il §12 ha cinque sottosezioni che coprono la classificazione, il trattamento lungo il ciclo di vita, i supporti rimovibili, l'inventario stesso e cosa accade quando termina il rapporto di lavoro.
§30(2)(9) BSIG (Germania)
Sicurezza delle risorse umane, concetti di controllo dell'accesso e gestione degli asset.
La Germania copia il testo UE. Il BSI indica poi IT-Grundschutz per il dettaglio pratico: CON.6 copre la cancellazione e la distruzione sicure (CIR §12.2 e §12.5) e BSI 200-2 §8.1 spiega come raggruppare asset identici nell'inventario (CIR §12.4).
Classificare per CIA più valore aziendale
Ogni asset riceve un livello di classificazione basato sulla riservatezza, integrità, autenticità e disponibilità di cui i dati su di esso hanno bisogno. Il CIR mappa quei quattro su sensibilità, criticità, rischio e valore aziendale. La parte di disponibilità della valutazione si ricollega agli obiettivi di ripristino che fissate ai sensi del §4.1 per la continuità operativa. Così lo stesso inventario guida sia il controllo degli accessi sia il BCP.
Trattare gli asset in sicurezza lungo l'intero ciclo di vita
Vi serve un concetto scritto per ogni fase che un asset attraversa: acquisizione, uso, conservazione, trasporto e dismissione. Uso sicuro, conservazione sicura, trasporto sicuro e cancellazione o distruzione irreversibile a fine vita. Il §12.3 estende questo ai supporti rimovibili (chiavette USB, dischi esterni) e il §12.5 lo estende al momento in cui un dipendente se ne va.
Mantenere un inventario completo, accurato e aggiornato
L'inventario deve essere completo, accurato, aggiornato e coerente, con una granularità sufficiente alle vostre esigenze. Vi entrano due cose: (a) un elenco dei vostri processi e servizi aziendali con descrizioni e (b) un elenco dei sistemi informativi e di rete e degli altri asset che supportano tali processi e servizi. Questa è la struttura di dati da cui legge ogni altra sezione del CIR.
L'inventario è la precondizione per tutto il resto
Il CIR §12.4 non è solo una sezione tra dieci. È la struttura di dati da cui dipende ogni altra sezione. La gestione del rischio (§2) ne legge. Gli obiettivi di ripristino della continuità operativa (§4) ne leggono. Le regole di controllo degli accessi (§13) ne leggono. La classificazione MFA (§9) ne legge. Se il §12.4 manca o è errato, ogni modulo a valle manca o è errato. Costruitelo per primo.
Grundschutz consente di raggruppare asset identici
BSI 200-2 §8.1 consente esplicitamente il raggruppamento: 45 laptop d'ufficio con la stessa immagine e lo stesso ruolo contano come una sola voce con una quantità di 45. Un'azienda Mittelstand di 50 persone finisce con dieci-quindici voci raggruppate, non diecimila righe individuali. L'inventario deve essere completo, ma completezza non significa una voce per dispositivo.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
Il BSI indica IT-Grundschutz per la meccanica pratica. CON.6 'Löschen und Vernichten' copre la cancellazione e la distruzione sicure (corrisponde alla dismissione del CIR §12.2 e al fine del rapporto di lavoro del §12.5). BSI 200-2 §8.1 è dove risiede la regola di raggruppamento: asset identici raggruppati in una sola voce di inventario con una quantità. Entrambi sono richiamati dalla guida di attuazione del §30 BSIG.
Guida tecnica all'attuazione dell'ENISA
La TIG dell'ENISA scompone il CIR §12 in prove concrete: esportazioni di inventario, schemi di classificazione, politiche sui supporti rimovibili, checklist di fine rapporto di lavoro. Mappa inoltre il §12 sui controlli ISO/IEC 27001:2022 A.5.9 (inventario), A.5.10 (uso accettabile), A.5.11 (restituzione degli asset), A.5.12 (classificazione) e A.7.10 (supporti di archiviazione). Se gestite già ISO 27001, quei controlli vi danno direttamente la maggior parte del CIR §12.
Leggi nazionali di recepimento
Ogni Stato membro ha la propria legge di recepimento (Paesi Bassi: Cyberbeveiligingswet, Austria: NISG, Belgio: NIS2-Wet). L'obbligo di gestione degli asset è lo stesso in tutti perché la direttiva fissa un unico standard valido in tutta l'UE. Ciò che differisce: presso quale agenzia nazionale vi registrate e come verificano l'inventario in pratica.
Abbiamo una pagina Confluence che elenca i nostri sistemi.
Vicino, ma il CIR §12.4 vuole più di un elenco di sistemi. Richiede che l'inventario sia completo, accurato, aggiornato e coerente e che copra due cose: i vostri processi e servizi aziendali con descrizioni e i sistemi e gli asset che li supportano. Un elenco piatto di server è metà del lavoro. La mappatura processo-sistema è l'altra metà, ed è la metà che gli auditor verificano per prima.
Distruggiamo i vecchi laptop, quindi siamo coperti sull'offboarding.
Buono per l'hardware, ma il §12.5 copre più di questo. Richiede una procedura documentata che assicuri la restituzione, la consegna o la cancellazione degli asset al termine del rapporto di lavoro e, se ciò non è possibile, che la persona non possa più accedere ai sistemi informativi e di rete. E gli account cloud di chi se ne va, gli accessi SaaS, i token MFA, i dispositivi mobili e i profili VPN? Il distruggidocumenti non li cattura.
Classifichiamo i dati, non gli asset. L'asset è solo il contenitore.
Il CIR §12.1 classifica esplicitamente l'asset in base ai requisiti CIA dei dati che tratta. La classificazione risiede sull'asset perché l'asset è ciò che porta i controlli di accesso, le politiche di backup e gli obiettivi di ripristino. Classificate entrambi: i dati vi dicono il perché, l'asset è dove agite su di essi.
Il CIR §12.4 è l'artefatto fondante dell'intera attuazione di NIS 2. Lo costruite una volta, per bene, con il raggruppamento Grundschutz. Dopodiché, ogni altro modulo ne legge invece di porre di nuovo le stesse domande. Registro dei rischi, obiettivi di ripristino del BCP, regole di controllo degli accessi, classificazione MFA, ambito dei fornitori. Tutti puntano all'inventario.
La nostra regola empirica nel Mittelstand tedesco: un'azienda di 50-250 persone finisce con dieci-quindici voci raggruppate sul lato asset e all'incirca lo stesso sul lato fornitori. Aggiungete la mappa dei processi (otto-dodici processi aziendali per la maggior parte degli operatori) e l'inventario è fatto. Richiede una settimana mirata con il responsabile IT e i titolari dei processi, non un progetto di sei mesi.
Il nostro modulo Asset è l'inventario del §12.4 e la classificazione del §12.1 in un unico posto. Aggiungete asset con quantità e raggruppamento nel modo consentito da Grundschutz. Ogni asset porta la sua classificazione CIA, il titolare, l'ubicazione e i fornitori che lo toccano. Lo stesso record guida il trattamento del rischio, gli obiettivi di ripristino del BCP e l'ambito del controllo degli accessi senza che dobbiate ridigitare nulla.
Il trattamento lungo il ciclo di vita del §12.2, i supporti rimovibili del §12.3 e l'offboarding del §12.5 vivono tutti come politiche scritte collegate all'inventario. Quando qualcuno se ne va, la piattaforma genera la checklist di offboarding rispetto agli asset a lui assegnati. Nessun foglio di calcolo. Nessuna pista separata di ticket HR.
- Direttiva (UE) 2022/2555 (NIS 2), articolo 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento di esecuzione (UE) 2024/2690 della Commissione (CIR), allegato §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legge BSI (BSIG), §30(2)(9) come modificato dalla legge di attuazione di NIS2 e di rafforzamento della cibersicurezza
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten' — bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (regola di raggruppamento degli asset) — bsi.bund.de/200-2
- Guida tecnica all'attuazione dell'ENISA per il CIR (UE) 2024/2690 (al maggio 2026)