Wat is een asset onder NIS 2?
Een asset onder NIS 2 is alles wat informatie verwerkt, opslaat of verzendt waarvan uw bedrijfsvoering afhankelijk is. De richtlijn noemt het woord 'asset' geen enkele keer, maar zeven van de tien maatregelen in art. 21(2) krijgen pas betekenis wanneer de lijst er ligt.
Waarom de inventaris eerst komt
De meeste NIS 2 uitvoeringen lopen op hetzelfde punt vast: iemand begint met risicomanagement zonder eerst te weten wat er beoordeeld moet worden. De assetinventaris is de voorwaarde. Zonder lijst is de risicoanalyse gokken, het leveranciersoverzicht incompleet, de incidentrespons zonder scope, en de audit zonder ijkpunt.
De richtlijn zelf gebruikt het woord 'asset' in art. 21 niet. Ze spreekt over 'netwerk- en informatiesystemen', hun beveiliging en de risicopositie van de organisatie. CIR 2024/2690 art. 2(4) en IT-Grundschutz BSI 200-2 §8.1 vullen de operationele betekenis in: een asset is alles wat informatie verwerkt, opslaat of verzendt waar uw bedrijfsvoering van afhangt.
Voor een 60-persoons Mittelstand is de inventaris geen 200-regelig Excel-bestand. Het is een lijst van één pagina met ongeveer 10 tot 15 gegroepeerde regels, wat Grundschutz uitdrukkelijk toestaat. De zin is om hem te hebben, actueel te houden en elke andere NIS 2 beslissing eraan op te hangen.
Art. 21(2)(a) en 21(2)(b) NIS 2
De in lid 1 bedoelde maatregelen berusten op een alle-gevaren-aanpak die erop gericht is de netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen incidenten, en omvatten ten minste het volgende: (a) beleid inzake risicoanalyse en informatiesysteembeveiliging; (b) incidentafhandeling.
Risicoanalyse en incidentafhandeling staan vooraan, beide vereisen echter een object om te analyseren en af te handelen: de inventaris van wat u daadwerkelijk heeft. De richtlijn behandelt het als voorwaarde, niet als afzonderlijke maatregel.
CIR 2024/2690, art. 2 en bijlage II §2.1
De betreffende entiteiten ontwikkelen, documenteren en implementeren beleid voor risicoanalyse en informatiesysteembeveiliging, onder meer door het opstellen en bijhouden van een inventaris van hun assets inclusief software, hardware en informatie.
De uitvoeringsverordening maakt de inventarisplicht expliciet voor de entiteitstypen die zij dekt (digitale aanbieders). Voor alle andere NIS 2 sectoren zit de plicht impliciet in art. 21(2)(a); Grundschutz maakt haar op dezelfde manier operationeel.
BSI IT-Grundschutz BSI 200-2, §8.1
Gelijksoortige objecten kunnen tot groepen worden samengevoegd wanneer ze in de vaststelling van de beschermingsbehoefte gelijk kunnen worden behandeld.
Groepering van gelijksoortige objecten is uitdrukkelijk toegestaan. Een 60-persoons Mittelstand hoeft geen 45 laptopregels te hebben; één regel 'laptops medewerkers, 45 stuks' volstaat als ze hetzelfde beschermingsprofiel hebben. Precies dat maakt de inventaris hanteerbaar.
Bedrijfsapplicaties
ERP, CRM, boekhouding, HR, projectmanagement, sectorspecifieke software (labsysteem in farma, facturatieplatform bij een nutsbedrijf, MES op de werkvloer). Eén regel per applicatie, ook wanneer als SaaS gehost.
Datastores
Productiedatabases, fileshares, documentmanagement, back-ups, archieven. Groeperen naar gevoeligheid, niet naar fysieke locatie.
Netwerk- en compute-infrastructuur
Servers (eigen of gehost), firewalls, switches, routers, VPN-concentrators, identity providers, hypervisors, cloudaccounts. Eén regel per cluster van identieke functie.
Endpoints
Laptops, desktops, mobiele apparaten, tablets van medewerkers. Groeperen naar rol en OS-familie. Apart toevoegen: bevoorrechte adminwerkstations, kiosken, kassasystemen.
OT en fysieke systemen
SCADA, PLC's, gebouwbeheersystemen, toegangscontrole, CCTV, sectorspecifieke industriële sturing. Vaak gemist; bij nutsbedrijven, productie, ziekenhuizen de grootste afzonderlijke categorie.
Leveranciersdiensten
Uitbesteed IT, gehoste e-mail, managed firewall, salarisadministratie, cloud-office, identity-as-a-service. Noteer de leverancier en de afhankelijkheidstype volgens art. 21(2)(d) NIS 2.
Gelijke beschermingsbehoefte
Groepeer 45 laptops alleen als ze alle dezelfde beschermingsbehoefte voor vertrouwelijkheid, integriteit en beschikbaarheid hebben. Dragen 5 ervan salarisgegevens, dan vormen die 5 een eigen groep.
Gelijke operationele rol
Productiedatabaseserver en sandbox van een ontwikkelaar kunnen geen groep zijn, zelfs op identieke hardware. Rol, blootstelling en controles verschillen.
Aantal expliciet vermelden
Schrijf het aantal op. '45 laptops medewerkers' vertelt een auditor de scope. '1 laptopcluster' is nutteloos. Het getal is de brug van inventaris naar risicoanalyse.
Stap 1 — Begin met geleverde diensten (15 min)
Wat doet uw entiteit feitelijk voor klanten? Som 3 tot 8 kerndiensten op. Bij een Stadtwerk: stroomdistributie, waterdistributie, klantfacturatie. Elke asset moet teruggevoerd kunnen worden op een dienst, anders is het overhead.
Stap 2 — Wijs applicaties en data toe aan diensten (25 min)
Noem per dienst de applicaties en data. SAP voor facturatie, het meteruitleesplatform voor distributie, het documentarchief voor de juridische afdeling. Eén regel per applicatie.
Stap 3 — Plaats de infrastructuur eronder (25 min)
Servers, netwerk, endpoints, identity, cloudaccounts. Groepeer consequent volgens BSI 200-2 §8.1. Een 60-persoons entiteit overschrijdt zelden 10 gegroepeerde infrastructuurregels.
Stap 4 — Voeg leveranciersdiensten toe (25 min)
Elke uitbestede dienst die de bovenstaande assets raakt, is zelf een asset plus een leveranciersafhankelijkheid. SaaS-e-mail één regel; de MSP die uw firewall beheert één regel. Dit voedt de toeleveringsketenplichten uit art. 21(2)(d).
OT en gebouwdiensten ontbreken
Productielijnen, toegangscontrole, CCTV, klimaatregeling. Gemakkelijk over te slaan omdat ze niet op het bureau van het IT-team liggen. Onder NIS 2 zijn het assets zodra ze informatie verwerken die aan uw dienst gerelateerd is.
Datastromen niet in kaart
Alleen de applicaties opsommen is niet genoeg. Noteer welke data van waar naar waar stroomt. Een salarisbestand dat per SFTP van HR-systeem naar bank gaat, is zelf een stroom die bescherming verdient.
Schaduw-IT niet zichtbaar gemaakt
Afdelingen draaien vaak eigen SaaS-abonnementen (formulierbouwers, enquêtes, file sharing). Vragen, niet aannemen. Schaduw-IT wordt onder art. 21(2)(d) een leveranciersafhankelijkheid ongeacht wie ervoor betaalde.
- Richtlijn (EU) 2022/2555 (NIS 2), art. 21(2), www.eur-lex.europa.eu
- Uitvoeringsverordening (EU) 2024/2690 (CIR), art. 2 en bijlage II §2.1, www.eur-lex.europa.eu
- BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Wet betreffende het Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (nationale omzetting van art. 21)
Deze pagina biedt gestructureerde informatie op basis van openbaar toegankelijke bronnen (NIS 2 Richtlijn, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Het is geen juridisch advies in de zin van §2 RDG. Voor concrete gevallen wendt u zich tot een toegelaten advocaat. Stand: 2026-06-04.