Czym jest aktyw na podstawie NIS 2?
Aktyw na podstawie NIS 2 to wszystko, co przetwarza, przechowuje lub przesyła informacje, od których zależy Twoja działalność. Dyrektywa ani razu nie mówi 'aktyw', ale siedem z dziesięciu środków art. 21 ust. 2 ma sens dopiero, gdy masz listę.
Dlaczego inwentaryzacja jest pierwsza
Większość wdrożeń NIS 2 utyka w tym samym miejscu: ktoś zaczyna od zarządzania ryzykiem, nie wiedząc najpierw, co oceniać. Inwentaryzacja aktywów jest warunkiem wstępnym. Bez niej analiza ryzyka jest zgadywaniem, mapowanie dostawców jest niekompletne, reagowanie na incydenty nie potrafi określić zakresu, a audyty nie znajdują nic, względem czego mogłyby testować.
Sama dyrektywa nie używa słowa 'aktyw' w art. 21. Mówi o 'sieciach i systemach informatycznych', ich bezpieczeństwie oraz o postawie organizacji wobec ryzyka. CIR 2024/2690 art. 2 ust. 4 oraz IT-Grundschutz BSI 200-2 §8.1 wypełniają znaczenie operacyjne: aktyw to wszystko, co przetwarza, przechowuje lub przesyła informacje, od których zależy Twoja działalność.
Dla 60-osobowego Mittelstand inwentaryzacja nie jest arkuszem Excela liczącym 200 wierszy. To jednostronicowa lista około 10 do 15 zgrupowanych pozycji, na co Grundschutz wyraźnie zezwala. Chodzi o to, aby ją mieć, utrzymywać ją aktualną i pozwolić jej zakotwiczyć każdą inną decyzję NIS 2.
Art. 21 ust. 2 lit. a) i 21 ust. 2 lit. b) NIS 2
Środki, o których mowa w ust. 1, opierają się na podejściu uwzględniającym wszystkie zagrożenia i mają na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej: a) polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych; b) obsługę incydentów.
Analiza ryzyka i obsługa incydentów są wymienione jako pierwsze, ale obie wymagają obiektu do przeanalizowania i obsłużenia: inwentaryzacji tego, co rzeczywiście posiadasz. Dyrektywa traktuje to jako warunek wstępny, a nie odrębny środek.
CIR 2024/2690, art. 2 i załącznik II §2.1
Odpowiednie podmioty opracowują, dokumentują i wdrażają polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych, w szczególności poprzez ustanowienie i utrzymywanie inwentaryzacji swoich aktywów obejmującej oprogramowanie, sprzęt i informacje.
Rozporządzenie wykonawcze czyni obowiązek inwentaryzacji wyraźnym dla rodzajów podmiotów, które obejmuje (dostawcy usług cyfrowych). Dla wszystkich pozostałych sektorów NIS 2 obowiązek jest dorozumiany w art. 21 ust. 2 lit. a), ale Grundschutz czyni go operacyjnym w ten sam sposób.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Grupowanie podobnych obiektów jest wyraźnie dozwolone. 60-osobowe MŚP nie potrzebuje 45 wierszy laptopów; potrzebuje jednej pozycji dla 'laptopów pracowniczych, 45 sztuk', jeśli mają ten sam profil ochrony. To właśnie czyni inwentaryzację wykonalną.
Aplikacje biznesowe
ERP, CRM, księgowość, HR, zarządzanie projektami, oprogramowanie specyficzne dla sektora (system laboratoryjny w farmacji, platforma rozliczeniowa w przedsiębiorstwie użyteczności publicznej, MES na hali produkcyjnej). Jedna linia na aplikację, nawet jeśli hostowana przez dostawcę SaaS.
Magazyny danych
Produkcyjne bazy danych, udziały plików, zarządzanie dokumentami, kopie zapasowe, systemy archiwizacji. Grupuj według wrażliwości, a nie według fizycznej lokalizacji.
Infrastruktura sieciowa i obliczeniowa
Serwery (własne lub hostowane), zapory sieciowe, przełączniki, routery, koncentratory VPN, dostawcy tożsamości, hipernadzorcy, konta chmurowe. Jedna linia na klaster o identycznym przeznaczeniu.
Punkty końcowe
Laptopy pracownicze, komputery stacjonarne, urządzenia mobilne, tablety. Grupuj według roli i rodziny systemu operacyjnego. Dodaj osobno: uprzywilejowane stacje robocze administratorów, kioski, terminale punktów sprzedaży.
OT i systemy fizyczne
SCADA, PLC, zarządzanie budynkami, kontrola dostępu, CCTV, czytniki dostępu fizycznego, sterowanie przemysłowe specyficzne dla sektora. Często pomijane; dla przedsiębiorstw użyteczności publicznej, produkcji, szpitali to największa pojedyncza kategoria.
Usługi świadczone przez dostawców
Zlecane na zewnątrz IT, hostowana poczta, zarządzana zapora sieciowa, lista płac, biuro w chmurze, tożsamość jako usługa. Odnotuj nazwę dostawcy i rodzaj zależności zgodnie z art. 21 ust. 2 lit. d) NIS 2.
Ten sam wymóg ochrony
Grupuj 45 laptopów pracowniczych tylko wtedy, gdy wszystkie mają ten sam Schutzbedarf dla poufności, integralności i dostępności. Jeśli 5 z nich zawiera dane listy płac, te 5 stanowi osobną grupę.
Ta sama rola operacyjna
Serwer produkcyjnej bazy danych i piaskownica programisty nie mogą być jedną grupą nawet na identycznym sprzęcie. Rola się różni, narażenie się różni, środki kontroli się różnią.
Licz wyraźnie
Zapisz ilość. '45 laptopów pracowniczych' mówi audytorowi o zakresie. '1 klaster laptopów' jest bezużyteczny. Liczba jest mostem od inwentaryzacji do analizy ryzyka.
Krok 1 — Zacznij od świadczonych usług (15 min)
Co Twój podmiot rzeczywiście robi dla klientów? Wymień 3 do 8 podstawowych usług. Dla Stadtwerk: dystrybucja energii elektrycznej, dystrybucja wody, rozliczanie klientów. Każdy aktyw musi prowadzić z powrotem do usługi, w przeciwnym razie jest narzutem.
Krok 2 — Zmapuj aplikacje i dane na usługi (25 min)
Dla każdej usługi nazwij aplikacje, na których działa, oraz dane, których dotyka. SAP do rozliczeń, platforma odczytu liczników do dystrybucji, archiwum dokumentów dla działu prawnego. Jedna linia na aplikację.
Krok 3 — Podłóż infrastrukturę pod spód (25 min)
Serwery, sieć, punkty końcowe, tożsamość, konta chmurowe. Grupuj bezwzględnie zgodnie z BSI 200-2 §8.1. 60-osobowy podmiot rzadko przekracza 10 zgrupowanych wierszy infrastruktury.
Krok 4 — Dodaj usługi świadczone przez dostawców (25 min)
Każda zlecana na zewnątrz usługa, która dotyka powyższych aktywów, sama jest aktywem, plus zależnością od dostawcy. Poczta SaaS to jedna linia; MSP zarządzający Twoją zaporą sieciową to jedna linia. To zasila obowiązki łańcucha dostaw z art. 21 ust. 2 lit. d).
Brakuje OT i usług budynkowych
Linie produkcyjne, dostęp do budynku, CCTV, kontrola klimatu. Łatwe do pominięcia, bo nie leżą na biurku zespołu IT. Na podstawie NIS 2 są aktywami w chwili, gdy przetwarzają informacje związane z Twoją usługą.
Niezmapowane przepływy danych
Nie wystarczy wymienić aplikacji. Odnotuj, które dane płyną skąd dokąd. Plik listy płac przemieszczający się z systemu HR do banku przez SFTP sam jest przepływem, który wymaga ochrony.
Nieujawnione shadow IT
Działy często prowadzą własne subskrypcje SaaS (kreatory formularzy, narzędzia ankietowe, udostępnianie plików). Pytaj, nie zakładaj. Shadow IT staje się zależnością od dostawcy na podstawie art. 21 ust. 2 lit. d), niezależnie od tego, kto za to zapłacił.
- Dyrektywa (UE) 2022/2555 (NIS 2), art. 21 ust. 2, www.eur-lex.europa.eu
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), art. 2 i załącznik II §2.1, www.eur-lex.europa.eu
- BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Ustawa o Federalnym Urzędzie Bezpieczeństwa w Technice Informacyjnej (BSIG), §30 (krajowa transpozycja art. 21)
Ta strona zapewnia ustrukturyzowane wytyczne oparte na publicznie dostępnych źródłach (dyrektywa NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Nie stanowi porady prawnej w rozumieniu §2 RDG. W konkretnych sprawach skonsultuj się z dopuszczonym adwokatem. Stan na 2026-06-04.