Jak zbudować inwentarz zasobów NIS 2
Artykuł 21(2)(j) NIS 2 i §12 CIR ustanawiają pięć obowiązkowych pól. BSI 200-2 §8.1 pozwala grupować identyczne zasoby. Większość firm Mittelstand kończy z 10 do 15 wpisami, a nie 200.
Wersja skrócona
NIS 2 nazywa zarządzanie zasobami w artykule 21(2)(j) jako jeden z dziesięciu minimalnych środków zarządzania ryzykiem. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 zamienia to w konkretny obowiązek w §12: prowadzić rejestr zasobów, od których podmiot jest zależny, z unikalnym identyfikatorem, opisem, właścicielem, poziomem ochrony oraz lokalizacją.
Liczba, która przeraża ludzi (200 serwerów, 600 laptopów, 40 narzędzi SaaS), kurczy się, gdy przeczytacie BSI Standard 200-2 §8.1 obok §12 CIR. Identyczne zasoby o tej samej potrzebie ochrony są grupowane w jeden wpis. 600 laptopów staje się jednym wierszem z polem ilości, a nie 600 wierszami.
50-osobowy operator Mittelstand zazwyczaj kończy z 10 do 15 grupowanymi wpisami obejmującymi IT, OT, SaaS, sprzęt sieciowy i obiekty fizyczne. Ten rejestr jest fundamentem, do którego odwołują się ocena ryzyka, rejestr dostawców, polityka dostępu i plan incydentów. Zbudujcie go raz, przeglądajcie raz w roku, aktualizujcie, gdy zmieni się coś istotnego.
Artykuł 21(2)(j) dyrektywy NIS 2 (UE) 2022/2555
[Środki zarządzania ryzykiem obejmują co najmniej] bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu sieci i systemów informatycznych, w tym obsługę i ujawnianie podatności, oraz bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami.
Artykuł 21(2)(j) nazywa zarządzanie zasobami jako jeden z dziesięciu minimalnych środków, które musi podjąć każda besonders wichtige i wichtige Einrichtung. Dyrektywa nie mówi, jak wygląda rejestr. Ten szczegół tkwi o warstwę niżej w rozporządzeniu wykonawczym.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690, załącznik §12 (zarządzanie zasobami)
§12.4: Inwentarz zasobów obejmuje dla każdego zasobu co najmniej unikalny identyfikator, opis, właściciela zasobu, wymagany poziom ochrony oraz lokalizację zasobu. §12.5: Inwentarz jest przeglądany w zaplanowanych odstępach i co najmniej raz w roku oraz w przypadku wystąpienia istotnych zmian.
CIR 2024/2690 wiąże odpowiednie podmioty z załączników I i II NIS 2 bezpośrednio. §12.4 to jedyne miejsce w korpusie prawa UE, które wymienia obowiązkowe pola. §12.5 ustanawia kadencję przeglądu. Wszystko ponad te pięć pól jest wyborem, a nie obowiązkiem.
§30 BSIG (Niemcy) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
§30 BSIG kopiuje artykuł 21 do prawa niemieckiego. BSI Standard 200-2 §8.1 wyjaśnia następnie, jak Strukturanalyse jest faktycznie wykonywana w praktyce: identyczne obiekty o podobnych właściwościach i porównywalnych potrzebach ochrony są grupowane w jeden wpis. To jest zasada, która zamienia 600 laptopów w jeden wiersz rejestru.
Zacznijcie od procesów, a nie od skanu sieci
Zapiszcie osiem do dwunastu procesów biznesowych, od których firma jest zależna (przyjmowanie zamówień, fakturowanie, lista płac, obsługa klienta, linia produkcyjna, sterowanie ciepłem sieciowym, dyspozycja tras). Dla każdego nazwijcie zależności. To jest punkt wejścia, który BSI 200-2 nazywa Strukturanalyse. Mapa procesów ustanawia, które zasoby mają znaczenie i jaka jest ich potrzeba ochrony. Skan sieci rozpoczęty na zimno daje wam szum, a nie rejestr.
Wymieńcie zasoby, od których zależy każdy proces, pogrupowane
Przejdźcie przez każdy proces i ujmijcie zasoby, których potrzebuje: aplikacje, bazy danych, serwery, punkty końcowe, sprzęt sieciowy, usługi chmurowe i SaaS, komponenty OT i ICS, obiekty fizyczne. Zastosujcie BSI 200-2 §8.1: 45 identycznych laptopów biurowych to jeden wpis z polem ilości, a nie 45 wierszy. Trzy identyczne PLC na tej samej linii to jeden wpis. Usługi SaaS liczą się, mimo że nie są w waszej sieci. Wynikiem jest 10 do 15 grupowanych wpisów dla 50-osobowej firmy, a nie 200.
Wypełnijcie pięć pól CIR §12.4 na wpis
Dla każdego wpisu wypełnijcie pięć obowiązkowych pól z CIR §12.4: unikalny identyfikator (krótki identyfikator zasobu jak ERP-01), opis (czym jest i jakiemu procesowi służy), właściciel (osoba imiennie, a nie dział), poziom ochrony (Schutzbedarf w zakresie poufności, integralności i dostępności, wyprowadzony z procesu, któremu służy), lokalizacja (ośrodek danych, region chmury, obiekt fizyczny lub dostawca, który go hostuje). Pięć pól. Prawo UE nie wymaga niczego więcej.
Grupujcie identyczne zasoby, nie wyliczajcie każdego urządzenia
BSI Standard 200-2 §8.1 mówi, że identyczne obiekty o porównywalnej potrzebie ochrony są grupowane. Użyjcie tego. 600 laptopów w tym samym profilu MDM o tym samym Schutzbedarf to jeden wpis rejestru. Trzy identyczne PLC pomp ścieków to jeden wpis. Pula identycznych stacji roboczych VDI to jeden wpis. Czytelnik waszego rejestru (BSI, audytor, wasz ubezpieczyciel) chce zobaczyć, że rozumiecie swoje zależności, a nie że potraficie zrzucić etykiety zasobów.
Inwentaryzujcie zależności, a nie tylko rzeczy, które posiadacie
CIR §12.4 chce właściciela zasobu i poziomu ochrony. Oba mają sens tylko wtedy, gdy wiecie, któremu procesowi zasób służy. Serwer bez nazwanego procesu za nim nie otrzymuje właściciela ani obronnego poziomu ochrony, i nie spełniacie pola. Więc najpierw mapujcie procesy, a zasoby drugie. Ta sama zasada obejmuje SaaS: narzędzie, którego nie posiadacie, ale od którego zależy wasze fakturowanie, jest w zakresie, hostowane przez nazwanego dostawcę w polu lokalizacji.
BSI: Strukturanalyse plus Gruppenbildung to metoda kanoniczna
Metodyka IT-Grundschutz BSI w Standardzie 200-2 §8.1 nazywa Strukturanalyse jako pierwszy konkretny krok, a Gruppenbildung jako mechanizm skalowania. Własny katalog audytowy BSI (ORP.1, OPS.1, CON.3) czyta rejestr względem pól CIR §12.4. Grupowany rejestr z nazwanymi zależnościami procesowymi, jasnym właścicielem na wpis i udokumentowanym poziomem ochrony to to, co audytor BSI oczekuje zobaczyć w audycie §30 BSIG.
ENISA Technical Implementation Guidance: zarządzanie zasobami sekcja 12
Technical Implementation Guidance ENISA dla CIR 2024/2690 poświęca sekcję 12 zarządzaniu zasobami. Powtarza pięć obowiązkowych pól, odwołuje się do kadencji przeglądu w §12.5 i wskazuje na ISO/IEC 27001:2022 Annex A.5.9 oraz ISO/IEC 27002 §5.9 jako uznane odniesienia wdrożeniowe. Tabela mapowania ENISA (CC BY 4.0, v1.2, sierpień 2025) krzyżuje CIR §12 z ISO 27001 A.5.9, NIST CSF 2.0 ID.AM i ETSI EN 319 401.
NL, AT i FR: ISO/IEC 27001:2022 Annex A.5.9 niesie te same pola
Holenderska Cyberbeveiligingswet, austriacka NISG oraz francuska transpozycja wszystkie czytają CIR 2024/2690 §12 bezpośrednio. Wytyczne krajowe w każdym państwie członkowskim wskazują na ISO/IEC 27001:2022 Annex A.5.9 (inwentarz informacji i innych powiązanych zasobów) jako uznany sposób udowodnienia obowiązku. Podmiot z jednym rejestrem, który spełnia CIR §12.4, spełnia je wszystkie. Pola, a nie format, są tym, na czym zależy prawu.
Wymienimy każde urządzenie indywidualnie, żeby rejestr był kompletny.
Nie. BSI 200-2 §8.1 wyraźnie upoważnia do grupowania. Rejestr z 600 wierszami laptopów nie zdaje testu czytelności i nie dodaje żadnej informacji, której nie niesie już 25-wierszowy grupowany rejestr. BSI ocenia, czy wpisy są obronne, a nie ile wierszy potraficie wyprodukować.
SaaS jest niewidoczny, bo nie jest w naszej sieci, więc go pomijamy.
Błąd. CIR §12.4 mówi o zasobach, od których podmiot jest zależny, z polem lokalizacji zaprojektowanym dokładnie na ten przypadek. Usługa SaaS, od której zależy wasze fakturowanie, wchodzi jako jeden wpis, lokalizacja to dostawca i region (na przykład Salesforce, eu-west), a dostawca trafia do rejestru dostawców zgodnie z CIR §5 równolegle.
Możemy zbudować rejestr ze skanu sieci i dodać właścicieli później.
Możecie, ale pole właściciela pozostanie puste, a poziom ochrony będzie zgadywaniem. Oba są obowiązkowe zgodnie z CIR §12.4. Bez kroku procesowego z BSI 200-2 §8.1 wpis nie ma obronnego właściciela, ponieważ żaden proces biznesowy na niego nie wskazuje. Rejestr wtedy nie zdaje audytu, nawet jeśli ma w sobie 600 wierszy.
60-osobowa firma budowy maszyn w Sauerland zmapowała jedenaście procesów biznesowych (przyjmowanie zamówień, projektowanie, zaopatrzenie, linia produkcyjna A, linia produkcyjna B, jakość, wysyłka, fakturowanie, lista płac, obsługa klienta, zdalny serwis posprzedażny). Przejście przez zasoby dało dwanaście grupowanych wpisów: ERP (jeden), CAD i PLM (jeden), MES na hali produkcyjnej (jeden), serwery plików i druku (jeden, trzy identyczne urządzenia), flota 50 laptopów pod jednym profilem MDM (jeden), dwie grupowane rodziny kontrolerów CNC (dwa), centralny sprzęt sieciowy (jeden), Microsoft 365 (jeden), SaaS obsługi klienta (jeden), urządzenie VPN posprzedażne (jeden) oraz obiekt fizyczny w Plettenberg (jeden). Dwanaście wpisów obejmujących IT i OT, z nazwanymi właścicielami, jasnymi poziomami ochrony i znaną lokalizacją.
Sporządzenie rejestru zajęło dwa dni warsztatowe oraz tydzień działań następczych na potwierdzenie właścicieli i poziomów ochrony. Coroczny przegląd to pół dnia. Te same dwanaście wpisów stanowi kręgosłup rejestru ryzyka, rejestru dostawców, polityki dostępu, planu BCM i procedury reagowania na incydenty. Projekt audytowej jakości CMDB za 30 000 EUR, który integrator pierwotnie wycenił, okazał się zbędny; CIR §12.4 prosi tylko o pięć pól na wpis, a BSI 200-2 §8.1 pozwala grupować.
Platforma wdraża CIR §12.4 bezpośrednio: każdy wpis zasobu niesie pięć obowiązkowych pól (identyfikator, opis, właściciel, poziom ochrony, lokalizacja) plus pole ilości dla grupowanych wpisów z BSI 200-2 §8.1. Przechodzicie przez procesy, które już zmapowaliście w module ryzyka, i dołączacie zasoby, od których zależy każdy proces. Rejestr pozostaje w dziesiątkach wpisów, a nie w setkach.
Coroczny przegląd zgodnie z CIR §12.5 to zaplanowane zadanie z nazwanym właścicielem i podpisem śladu audytowego. Zdarzenia istotnej zmiany (nowy SaaS, nowa linia OT, zamiana dostawcy) uruchamiają monit o aktualizację zamiast czekania dwanaście miesięcy. Ten sam rejestr zasila powiązanie z dostawcą zgodnie z CIR §5, politykę dostępu zgodnie z CIR §11 oraz plan incydentów, więc pięć pól, które wypełniacie raz, zasila resztę rejestru obowiązków.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21(2)(j): minimalne środki zarządzania ryzykiem obejmują bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r., załącznik §12 (zarządzanie zasobami): §12.4 wymienia pięć obowiązkowych pól inwentarza (unikalny identyfikator, opis, właściciel, poziom ochrony, lokalizacja); §12.5 ustanawia kadencję przeglądu (w zaplanowanych odstępach i co najmniej raz w roku oraz w przypadku istotnej zmiany).
- BSIG (Niemcy), §30 (Risikomanagementmaßnahmen), transponujący artykuł 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): identyczne obiekty o porównywalnych właściwościach i potrzebie ochrony są grupowane w jeden wpis rejestru.
- ISO/IEC 27001:2022 Annex A.5.9 (inwentarz informacji i innych powiązanych zasobów), do którego odwołuje się Technical Implementation Guidance ENISA dla CIR 2024/2690 §12 jako uznana forma wdrożenia.