Zarządzanie aktywami w NIS 2 na mocy artykułu 21(2)(i)
Zarządzanie aktywami jest fundamentem pod każdym innym środkiem NIS 2. Jeśli nie wiesz, co posiadasz, nie możesz tego chronić, sklasyfikować, utworzyć kopii zapasowej ani wiedzieć, kto może mieć do tego dostęp. Artykuł 21(2)(i) to miejsce, w którym mieści się ten obowiązek, CIR (UE) 2024/2690 §12 precyzuje pięć elementów, a §30(2)(9) BSIG wprowadza tę samą zasadę do prawa niemieckiego.
W skrócie
Zarządzanie aktywami znajduje się w punkcie (i) na liście dziesięciu obowiązków cyberbezpieczeństwa zawartej w artykule 21(2). Tekst łączy je z bezpieczeństwem personelu i kontrolą dostępu. Powód jest prosty: wszystkie trzy odpowiadają na to samo pytanie, kto może czego dotknąć. Zarządzanie aktywami to ta połowa, która mówi, czym to 'co' właściwie jest.
CIR (UE) 2024/2690 §12 uzupełnia szczegóły. Dzieli zarządzanie aktywami na pięć elementów. Sklasyfikuj swoje aktywa według poufności, integralności, autentyczności i dostępności. Postępuj z nimi bezpiecznie przez cały cykl życia. Kontroluj nośniki wymienne. Prowadź kompletną i aktualną inwentaryzację. Zapewnij, że aktywa wracają, gdy ludzie odchodzą. To jest minimum.
Niemcy wprowadzają tę samą zasadę do prawa krajowego poprzez §30(2)(9) BSIG. Brzmienie podąża za dyrektywą. BSI następnie wskazuje IT-Grundschutz dla praktycznej mechaniki, w tym zasadę, która pozwala grupować identyczne aktywa razem, tak by inwentaryzacja pozostała opanowana.
Artykuł 21(2)(i) dyrektywy NIS 2 (2022/2555)
Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami.
To jest punkt (i) na liście dziesięciu środków cyberbezpieczeństwa, które każdy podmiot kluczowy i ważny musi wdrożyć. Dyrektywa grupuje razem trzy obowiązki: bezpieczeństwo personelu, kontrolę dostępu i zarządzanie aktywami. CIR §12 to część, która operacjonalizuje połowę dotyczącą aktywów.
CIR (UE) 2024/2690, załącznik §12
Zarządzanie aktywami i wartościami (artykuł 21(2)(i) dyrektywy (UE) 2022/2555).
Ponieważ jest to rozporządzenie (a nie dyrektywa), stanowi bezpośrednio wiążące prawo UE. Nie jest potrzebna transpozycja krajowa. Ma zastosowanie do dostawców DNS, rejestrów TLD, dostawców usług chmurowych, centrów danych, dostawców usług zarządzanych oraz pozostałych sektorów wymienionych w jego załączniku. §12 ma pięć podsekcji obejmujących klasyfikację, postępowanie w cyklu życia, nośniki wymienne, samą inwentaryzację oraz to, co się dzieje, gdy zatrudnienie się kończy.
§30(2)(9) BSIG (Niemcy)
Bezpieczeństwo zasobów ludzkich, koncepcje kontroli dostępu i zarządzanie aktywami.
Niemcy kopiują tekst UE. BSI następnie wskazuje IT-Grundschutz dla praktycznych szczegółów: CON.6 obejmuje bezpieczne usuwanie i niszczenie (CIR §12.2 i §12.5), a BSI 200-2 §8.1 wyjaśnia, jak grupować identyczne aktywa w inwentaryzacji (CIR §12.4).
Sklasyfikuj według CIA plus wartość biznesowa
Każde aktywo otrzymuje poziom klasyfikacji oparty na poufności, integralności, autentyczności i dostępności, których potrzebują dane na nim zawarte. CIR mapuje te cztery na wrażliwość, krytyczność, ryzyko i wartość biznesową. Część oceny dotycząca dostępności wiąże się z powrotem z celami odtworzenia, które ustalasz na mocy §4.1 dla ciągłości działania. Zatem ta sama inwentaryzacja napędza zarówno kontrolę dostępu, jak i BCP.
Postępuj z aktywami bezpiecznie przez cały cykl życia
Potrzebujesz spisanej koncepcji dla każdego etapu, przez który przechodzi aktywo: nabycia, użytkowania, przechowywania, transportu i utylizacji. Bezpieczne użytkowanie, bezpieczne przechowywanie, bezpieczny transport oraz nieodwracalne usunięcie lub zniszczenie na koniec życia. §12.3 rozszerza to na nośniki wymienne (pamięci USB, dyski zewnętrzne), a §12.5 rozszerza to na moment, w którym pracownik odchodzi.
Prowadź kompletną, dokładną, aktualną inwentaryzację
Inwentaryzacja musi być kompletna, dokładna, aktualna i spójna, z wystarczającą szczegółowością do Twoich potrzeb. Wchodzą w nią dwie rzeczy: (a) lista Twoich procesów biznesowych i usług wraz z opisami oraz (b) lista sieci i systemów informatycznych oraz innych aktywów, które wspierają te procesy i usługi. To struktura danych, z której odczytuje każda inna sekcja CIR.
Inwentaryzacja jest warunkiem wstępnym wszystkiego innego
CIR §12.4 to nie tylko jedna sekcja spośród dziesięciu. To struktura danych, od której zależy każda inna sekcja. Zarządzanie ryzykiem (§2) z niej odczytuje. Cele odtworzenia w ciągłości działania (§4) z niej odczytują. Zasady kontroli dostępu (§13) z niej odczytują. Klasyfikacja MFA (§9) z niej odczytuje. Jeśli §12.4 brakuje lub jest błędne, każdy moduł poniżej jest brakujący lub błędny. Zbuduj ją najpierw.
Grundschutz pozwala grupować identyczne aktywa
BSI 200-2 §8.1 wyraźnie zezwala na grupowanie: 45 laptopów biurowych z tym samym obrazem i tą samą rolą liczy się jako jeden wpis z ilością 45. 50-osobowa firma z Mittelstandu kończy z dziesięcioma do piętnastu zgrupowanymi wpisami, a nie dziesięcioma tysiącami pojedynczych wierszy. Inwentaryzacja musi być kompletna, ale kompletność nie oznacza pozycji na każde urządzenie.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
BSI wskazuje IT-Grundschutz dla praktycznej mechaniki. CON.6 'Löschen und Vernichten' obejmuje bezpieczne usuwanie i niszczenie (odpowiada utylizacji z CIR §12.2 i końcowi zatrudnienia z §12.5). BSI 200-2 §8.1 to miejsce, w którym mieści się zasada grupowania: identyczne aktywa zgrupowane w jeden wpis inwentaryzacji z podaną ilością. Oba są przywoływane przez wytyczne wdrożeniowe §30 BSIG.
Wytyczne techniczne wdrożeniowe ENISA
TIG ENISA rozkłada CIR §12 na konkretne dowody: eksporty inwentaryzacji, schematy klasyfikacji, polityki nośników wymiennych, listy kontrolne na koniec zatrudnienia. Mapuje też §12 na zabezpieczenia ISO/IEC 27001:2022 A.5.9 (inwentaryzacja), A.5.10 (dopuszczalne użycie), A.5.11 (zwrot aktywów), A.5.12 (klasyfikacja) i A.7.10 (nośniki danych). Jeśli już prowadzisz ISO 27001, te zabezpieczenia dają Ci bezpośrednio większość CIR §12.
Krajowe ustawy transponujące
Każde państwo członkowskie ma własną ustawę transponującą (Holandia: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obowiązek zarządzania aktywami jest taki sam we wszystkich, ponieważ dyrektywa ustanawia jeden ogólnounijny standard. Różni się: w której krajowej agencji się rejestrujesz i jak audytuje ona inwentaryzację w praktyce.
Mamy stronę Confluence, która wymienia nasze systemy.
Blisko, ale CIR §12.4 wymaga więcej niż listy systemów. Wymaga, by inwentaryzacja była kompletna, dokładna, aktualna i spójna oraz by obejmowała dwie rzeczy: Twoje procesy biznesowe i usługi wraz z opisami oraz systemy i aktywa, które je wspierają. Płaska lista serwerów to połowa zadania. Mapowanie proces-do-systemu to druga połowa i to ją audytorzy sprawdzają najpierw.
Niszczymy stare laptopy, więc jesteśmy zabezpieczeni przy offboardingu.
Dobre dla sprzętu, ale §12.5 obejmuje więcej. Wymaga udokumentowanej procedury, która zapewnia zwrot, przekazanie lub usunięcie aktywów po zakończeniu zatrudnienia, a jeśli to niemożliwe, że dana osoba nie może już mieć dostępu do sieci i systemów informatycznych. Co z kontami chmurowymi osoby odchodzącej, logowaniami SaaS, tokenami MFA, urządzeniami mobilnymi i profilami VPN? Niszczarka tego nie łapie.
Klasyfikujemy dane, nie aktywa. Aktywo to tylko pojemnik.
CIR §12.1 wyraźnie klasyfikuje aktywo według wymogów CIA danych, którymi się ono zajmuje. Klasyfikacja mieszka na aktywie, ponieważ to aktywo niesie kontrole dostępu, polityki kopii zapasowych i cele odtworzenia. Sklasyfikuj oba: dane mówią Ci dlaczego, aktywo to miejsce, w którym działasz.
CIR §12.4 to fundamentalny artefakt całego wdrożenia NIS 2. Budujesz go raz, porządnie, z grupowaniem Grundschutz. Potem każdy inny moduł z niego odczytuje, zamiast zadawać te same pytania od nowa. Rejestr ryzyk, cele odtworzenia w BCP, zasady kontroli dostępu, klasyfikacja MFA, zakres dostawców. Wszystkie wskazują z powrotem na inwentaryzację.
Nasza reguła kciuka w niemieckim Mittelstandzie: 50- do 250-osobowa firma kończy z dziesięcioma do piętnastu zgrupowanymi wpisami po stronie aktywów i mniej więcej tyle samo po stronie dostawców. Dodaj mapę procesów (osiem do dwunastu procesów biznesowych dla większości operatorów) i inwentaryzacja jest gotowa. Zajmuje to skoncentrowany tydzień z liderem IT i właścicielami procesów, a nie sześciomiesięczny projekt.
Nasz moduł Aktywa to inwentaryzacja z §12.4 i klasyfikacja z §12.1 w jednym miejscu. Dodajesz aktywa z ilością i grupowaniem tak, jak pozwala Grundschutz. Każde aktywo niesie swoją klasyfikację CIA, właściciela, lokalizację i dostawców, którzy go dotykają. Ten sam rekord napędza postępowanie z ryzykiem, cele odtworzenia w BCP i zakres kontroli dostępu bez przepisywania czegokolwiek od nowa.
Postępowanie w cyklu życia z §12.2, nośniki wymienne z §12.3 i offboarding z §12.5 wszystkie żyją jako spisane polityki, które łączą się z inwentaryzacją. Gdy ktoś odchodzi, platforma generuje listę kontrolną offboardingu względem przypisanych mu aktywów. Żadnego arkusza. Żadnego osobnego śladu zgłoszeń HR.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR), załącznik §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §30(2)(9) w brzmieniu zmienionym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten' — bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (zasada grupowania aktywów) — bsi.bund.de/200-2
- Wytyczne techniczne wdrożeniowe ENISA dla CIR (UE) 2024/2690 (stan na maj 2026)