Como construir o inventário de ativos da NIS 2
O Artigo 21(2)(j) NIS 2 e o §12 CIR fixam os cinco campos obrigatórios. O BSI 200-2 §8.1 permite-lhe agrupar ativos idênticos. A maioria das empresas Mittelstand termina com 10 a 15 entradas, não 200.
A versão curta
A NIS 2 nomeia a gestão de ativos no Artigo 21(2)(j) como uma das dez medidas mínimas de gestão de risco. O Regulamento de Execução (UE) 2024/2690 da Comissão transforma isso num dever concreto no §12: manter um registo dos ativos de que a entidade depende, com um identificador único, uma descrição, um proprietário, um nível de proteção e uma localização.
O número que assusta as pessoas (200 servidores, 600 portáteis, 40 ferramentas SaaS) encolhe assim que se lê o BSI Standard 200-2 §8.1 ao lado do §12 CIR. Ativos idênticos com a mesma necessidade de proteção são agrupados numa só entrada. Os 600 portáteis tornam-se uma linha com um campo de quantidade, não 600 linhas.
Um operador Mittelstand com 50 trabalhadores acaba normalmente com 10 a 15 entradas agrupadas que abrangem TI, OT, SaaS, equipamento de rede e instalações físicas. Esse registo é a fundação que a avaliação de risco, o registo de fornecedores, a política de acesso e o plano de incidentes referenciam todos. Construa-o uma vez, reveja-o uma vez por ano, atualize-o quando algo material mudar.
Artigo 21(2)(j) Diretiva NIS 2 (UE) 2022/2555
[As medidas de gestão de risco incluem, pelo menos] segurança na aquisição, desenvolvimento e manutenção de redes e sistemas de informação, incluindo o tratamento e a divulgação de vulnerabilidades, e segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos.
O Artigo 21(2)(j) nomeia a gestão de ativos como uma das dez medidas mínimas que toda a besonders wichtige e wichtige Einrichtung tem de tomar. A Diretiva não diz como é o registo. Esse detalhe está uma camada abaixo, no Regulamento de Execução.
Regulamento de Execução (UE) 2024/2690 da Comissão, Anexo §12 (gestão de ativos)
§12.4: O inventário de ativos inclui, para cada ativo, pelo menos um identificador único, uma descrição, o proprietário do ativo, o nível de proteção exigido e a localização do ativo. §12.5: O inventário é revisto a intervalos planeados e, pelo menos, anualmente, e sempre que ocorram alterações significativas.
O CIR 2024/2690 vincula diretamente as entidades relevantes dos Anexos I e II da NIS 2. O §12.4 é o único sítio no corpo do direito da UE que lista os campos obrigatórios. O §12.5 fixa a cadência de revisão. Tudo o que vá além destes cinco campos é uma escolha, não um dever.
§30 BSIG (Alemanha) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
O §30 BSIG copia o Artigo 21 para o direito alemão. O BSI Standard 200-2 §8.1 explica depois como a Strukturanalyse é efetivamente feita na prática: objetos idênticos com propriedades semelhantes e necessidades de proteção comparáveis são agrupados numa só entrada. Essa é a regra que transforma 600 portáteis numa só linha do registo.
Comece pelos processos, não pela varredura de rede
Escreva os oito a doze processos de negócio de que a empresa depende (receção de encomendas, faturação, processamento de salários, apoio ao cliente, a linha de produção, o controlo de aquecimento urbano, o despacho de rotas). Para cada um, nomeie as dependências. Este é o ponto de entrada a que o BSI 200-2 chama Strukturanalyse. O mapa de processos fixa quais os ativos que importam e qual a sua necessidade de proteção. Uma varredura de rede iniciada a frio dá-lhe ruído, não um registo.
Liste os ativos de que cada processo depende, agrupados
Percorra cada processo e capte os ativos de que precisa: aplicações, bases de dados, servidores, endpoints, equipamento de rede, serviços de cloud e SaaS, componentes de OT e ICS, instalações físicas. Aplique o BSI 200-2 §8.1: 45 portáteis de escritório idênticos são uma entrada com um campo de quantidade, não 45 linhas. Três PLCs idênticos na mesma linha são uma entrada. Os serviços SaaS contam mesmo não estando na sua rede. O resultado são 10 a 15 entradas agrupadas para uma empresa de 50 trabalhadores, não 200.
Preencha os cinco campos do §12.4 CIR por entrada
Para cada entrada, preencha os cinco campos obrigatórios do §12.4 CIR: identificador único (um ID de ativo curto como ERP-01), descrição (o que é e que processo serve), proprietário (uma pessoa nomeada, não um departamento), nível de proteção (o Schutzbedarf em confidencialidade, integridade e disponibilidade, derivado do processo que serve), localização (centro de dados, região de cloud, instalação física, ou o fornecedor que o aloja). Cinco campos. O direito da UE não exige mais.
Agrupe ativos idênticos, não enumere cada dispositivo
O BSI Standard 200-2 §8.1 diz que objetos idênticos com necessidade de proteção comparável são agrupados. Use isso. 600 portáteis no mesmo perfil de MDM com o mesmo Schutzbedarf são uma entrada do registo. Três PLCs idênticos de bombas de águas residuais são uma entrada. Um conjunto de estações de trabalho VDI idênticas é uma entrada. Quem lê o seu registo (a BSI, um auditor, a sua seguradora) quer ver que compreende as suas dependências, não que consegue despejar etiquetas de ativos.
Inventarie as dependências, não apenas as coisas que possui
O §12.4 CIR quer o proprietário do ativo e o nível de proteção. Ambos só fazem sentido se souber que processo o ativo serve. Um servidor sem nenhum processo nomeado por trás não tem proprietário nem nível de proteção defensável, e falha o campo. Por isso, mapeie os processos primeiro e os ativos em segundo. A mesma regra cobre o SaaS: uma ferramenta que não possui mas de que a sua faturação depende está em âmbito, alojada pelo fornecedor nomeado no campo de localização.
BSI: Strukturanalyse mais Gruppenbildung é o método canónico
A metodologia IT-Grundschutz da BSI, no Standard 200-2 §8.1, nomeia a Strukturanalyse como o primeiro passo concreto e a Gruppenbildung como o mecanismo de escala. O próprio catálogo de auditoria da BSI (ORP.1, OPS.1, CON.3) lê o registo face aos campos do §12.4 CIR. Um registo agrupado, com dependências de processo nomeadas, um proprietário claro por entrada e um nível de proteção documentado, é o que um auditor da BSI espera ver numa auditoria do §30 BSIG.
ENISA Technical Implementation Guidance: gestão de ativos secção 12
A Technical Implementation Guidance da ENISA para o CIR 2024/2690 dedica a secção 12 à gestão de ativos. Reafirma os cinco campos obrigatórios, referencia a cadência de revisão do §12.5 e aponta para a ISO/IEC 27001:2022 Anexo A.5.9 e a ISO/IEC 27002 §5.9 como referências de implementação reconhecidas. A tabela de mapeamento da ENISA (CC BY 4.0, v1.2, agosto de 2025) faz a correspondência cruzada do §12 CIR com a ISO 27001 A.5.9, o NIST CSF 2.0 ID.AM e a ETSI EN 319 401.
NL, AT e FR: a ISO/IEC 27001:2022 Anexo A.5.9 carrega os mesmos campos
A Cyberbeveiligingswet neerlandesa, a NISG austríaca e a transposição francesa leem todas o §12 do CIR 2024/2690 diretamente. A orientação nacional em cada Estado-Membro aponta para a ISO/IEC 27001:2022 Anexo A.5.9 (inventário de informação e outros ativos associados) como forma reconhecida de evidenciar o dever. Uma entidade com um registo que satisfaz o §12.4 CIR satisfaz todos eles. São os campos, não o formato, que importam à lei.
Vamos listar cada dispositivo individualmente para que o registo fique completo.
Não. O BSI 200-2 §8.1 autoriza explicitamente o agrupamento. Um registo com 600 linhas de portáteis falha o teste de legibilidade e não acrescenta informação que um registo agrupado de 25 linhas não carregue já. A BSI avalia se as entradas são defensáveis, não quantas linhas consegue produzir.
O SaaS é invisível porque não está na nossa rede, por isso saltamo-lo.
Errado. O §12.4 CIR fala de ativos de que a entidade depende, com um campo de localização concebido exatamente para este caso. Um serviço SaaS de que a sua faturação depende entra como uma entrada, a localização é o fornecedor e a região (por exemplo, Salesforce, eu-west), e o fornecedor fica no registo de fornecedores ao abrigo do §5 CIR em paralelo.
Podemos construir o registo a partir da varredura de rede e acrescentar os proprietários mais tarde.
Pode, mas o campo do proprietário ficará vazio e o nível de proteção será um palpite. Ambos são obrigatórios ao abrigo do §12.4 CIR. Sem o passo dos processos do BSI 200-2 §8.1, uma entrada não tem proprietário defensável porque nenhum processo de negócio aponta para ela. O registo falha então a auditoria, mesmo tendo 600 linhas dentro.
Uma empresa de construção de máquinas com 60 trabalhadores no Sauerland mapeou onze processos de negócio (receção de encomendas, projeto, aprovisionamento, linha de produção A, linha de produção B, qualidade, expedição, faturação, processamento de salários, apoio ao cliente, serviço remoto pós-venda). A varredura de ativos produziu doze entradas agrupadas: ERP (uma), CAD e PLM (uma), MES no chão de fábrica (uma), servidores de ficheiros e impressão (uma, três caixas idênticas), a frota de 50 portáteis sob um perfil de MDM (uma), duas famílias agrupadas de controladores CNC (duas), o equipamento central de rede (uma), Microsoft 365 (uma), o SaaS de apoio ao cliente (uma), a appliance de VPN pós-venda (uma) e a instalação física em Plettenberg (uma). Doze entradas que cobrem TI e OT, com proprietários nomeados, níveis de proteção claros e uma localização conhecida.
O registo levou dois dias de workshop a esboçar e uma semana de acompanhamento para confirmar proprietários e níveis de proteção. A revisão anual é meio dia. As mesmas doze entradas são a espinha dorsal do registo de risco, do registo de fornecedores, da política de acesso, do plano de BCM e do runbook de resposta a incidentes. O projeto de CMDB de grau de auditoria de 30.000 EUR que o integrador tinha originalmente orçamentado revelou-se desnecessário; o §12.4 CIR só pede cinco campos por entrada, e o BSI 200-2 §8.1 deixa-o agrupar.
A plataforma implementa o §12.4 CIR diretamente: cada entrada de ativo carrega os cinco campos obrigatórios (identificador, descrição, proprietário, nível de proteção, localização) mais um campo de quantidade para entradas agrupadas do BSI 200-2 §8.1. Percorre os processos que já mapeou no módulo de risco e anexa os ativos de que cada processo depende. O registo mantém-se nas dezenas de entradas, não nas centenas.
A revisão anual ao abrigo do §12.5 CIR é uma tarefa agendada com um proprietário nomeado e uma assinatura no registo de auditoria. Os eventos de alteração significativa (novo SaaS, nova linha de OT, troca de fornecedor) acionam um aviso de atualização em vez de esperar doze meses. O mesmo registo alimenta a ligação ao fornecedor do §5 CIR, a política de acesso do §11 CIR e o plano de incidentes, pelo que os cinco campos que preenche uma vez alimentam o resto do registo de obrigações.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(2)(j): as medidas mínimas de gestão de risco incluem a segurança dos recursos humanos, as políticas de controlo de acesso e a gestão de ativos.
- Regulamento de Execução (UE) 2024/2690 da Comissão, de 17 de outubro de 2024, Anexo §12 (gestão de ativos): o §12.4 lista os cinco campos obrigatórios do inventário (identificador único, descrição, proprietário, nível de proteção, localização); o §12.5 fixa a cadência de revisão (a intervalos planeados e pelo menos anualmente, e sempre que ocorram alterações significativas).
- BSIG (Alemanha), §30 (Risikomanagementmaßnahmen), que transpõe o Artigo 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): objetos idênticos com propriedades e necessidade de proteção comparáveis são agrupados numa só entrada do registo.
- ISO/IEC 27001:2022 Anexo A.5.9 (Inventário de informação e outros ativos associados), referenciado pela Technical Implementation Guidance da ENISA para o §12 do CIR 2024/2690 como forma de implementação reconhecida.