Gestão de ativos NIS 2 ao abrigo do Artigo 21(2)(i)
A gestão de ativos é a base sob todas as outras medidas NIS 2. Se não sabe o que tem, não o pode proteger, classificar, salvaguardar nem saber quem lhe pode aceder. O Artigo 21(2)(i) é onde reside o dever, o §12 do CIR (UE) 2024/2690 detalha as cinco peças, e o § 30(2)(9) BSIG passa a mesma regra para a lei alemã.
A versão curta
A gestão de ativos está no ponto (i) da lista de dez deveres de cibersegurança do Artigo 21(2). O texto junta-a à segurança do pessoal e ao controlo de acesso. A razão é simples: os três respondem à mesma pergunta, quem pode tocar em quê. A gestão de ativos é a metade que diz o que o 'quê' é de facto.
O CIR (UE) 2024/2690 §12 preenche os detalhes. Divide a gestão de ativos em cinco peças. Classifique os seus ativos por confidencialidade, integridade, autenticidade e disponibilidade. Manuseie-os com segurança em todo o ciclo de vida. Controle os suportes amovíveis. Mantenha um inventário completo e atual. Garanta que os ativos regressam quando as pessoas saem. Esse é o mínimo.
A Alemanha passa a mesma regra para a lei nacional através do § 30(2)(9) BSIG. A redação segue a diretiva. O BSI aponta depois para o IT-Grundschutz para a mecânica prática, incluindo a regra que lhe permite agrupar ativos idênticos para que o inventário se mantenha gerível.
Artigo 21(2)(i) da Diretiva NIS 2 (2022/2555)
Segurança dos recursos humanos, políticas de controlo de acesso e gestão de ativos.
Este é o ponto (i) na lista das dez medidas de cibersegurança que todas as entidades essenciais e importantes têm de implementar. A diretiva agrupa três deveres: segurança do pessoal, controlo de acesso e gestão de ativos. O §12 do CIR é a parte que operacionaliza a metade dos ativos.
CIR (UE) 2024/2690, Anexo §12
Gestão de ativos e de valor (Artigo 21(2)(i) da Diretiva (UE) 2022/2555).
Por ser um regulamento (e não uma diretiva), é lei da UE diretamente vinculativa. Não é necessária transposição nacional. Aplica-se a fornecedores de DNS, registos de TLD, fornecedores de cloud, centros de dados, fornecedores de serviços geridos e aos outros setores listados no seu Anexo. O §12 tem cinco subsecções que cobrem a classificação, o manuseamento ao longo do ciclo de vida, os suportes amovíveis, o próprio inventário, e o que acontece quando o vínculo laboral termina.
§30(2)(9) BSIG (Alemanha)
Segurança dos recursos humanos, conceitos de controlo de acesso e gestão de ativos.
A Alemanha copia o texto da UE. O BSI aponta depois para o IT-Grundschutz para o detalhe prático: o CON.6 cobre a eliminação e destruição seguras (§12.2 e §12.5 do CIR), e o BSI 200-2 §8.1 explica como agrupar ativos idênticos no inventário (§12.4 do CIR).
Classificar por CIA mais valor de negócio
Cada ativo recebe um nível de classificação com base na confidencialidade, integridade, autenticidade e disponibilidade de que os dados nele necessitam. O CIR mapeia esses quatro em sensibilidade, criticidade, risco e valor de negócio. A parte da disponibilidade da classificação liga-se de volta aos objetivos de recuperação que define ao abrigo do §4.1 para a continuidade de negócio. Por isso o mesmo inventário alimenta tanto o controlo de acesso como o BCP.
Manusear os ativos com segurança em todo o ciclo de vida
Precisa de um conceito escrito para cada fase por que um ativo passa: aquisição, utilização, armazenamento, transporte e eliminação. Utilização segura, armazenamento seguro, transporte seguro, e eliminação ou destruição irreversível em fim de vida. O §12.3 estende isto aos suportes amovíveis (pens USB, discos externos), e o §12.5 estende-o ao momento em que um trabalhador sai.
Manter um inventário completo, exato e atual
O inventário tem de ser completo, exato, atualizado e consistente, com granularidade suficiente para as suas necessidades. Duas coisas entram nele: (a) uma lista dos seus processos e serviços de negócio com descrições, e (b) uma lista das redes e sistemas de informação e outros ativos que apoiam esses processos e serviços. Esta é a estrutura de dados de que todas as outras secções do CIR leem.
O inventário é a pré-condição para tudo o resto
O §12.4 do CIR não é apenas uma secção entre dez. É a estrutura de dados de que todas as outras secções dependem. A gestão de risco (§2) lê dele. Os objetivos de recuperação da continuidade de negócio (§4) leem dele. As regras de controlo de acesso (§13) leem dele. A classificação para MFA (§9) lê dele. Se o §12.4 estiver em falta ou errado, todos os módulos a jusante ficam em falta ou errados. Construa-o primeiro.
O Grundschutz permite agrupar ativos idênticos
O BSI 200-2 §8.1 permite explicitamente o agrupamento: 45 portáteis de escritório com a mesma imagem e a mesma função contam como uma entrada com uma quantidade de 45. Uma empresa Mittelstand de 50 pessoas acaba com dez a quinze entradas agrupadas, não dez mil linhas individuais. O inventário tem de ser completo, mas completude não significa uma linha por dispositivo.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
O BSI aponta para o IT-Grundschutz para a mecânica prática. O CON.6 'Löschen und Vernichten' cobre a eliminação e destruição seguras (corresponde à eliminação do §12.2 e ao fim do vínculo laboral do §12.5). O BSI 200-2 §8.1 é onde reside a regra de agrupamento: ativos idênticos reunidos numa entrada de inventário com uma quantidade. Ambos são referenciados pela orientação de implementação do § 30 BSIG.
Orientação Técnica de Implementação da ENISA
A TIG da ENISA decompõe o §12 do CIR em evidência concreta: exportações de inventário, esquemas de classificação, políticas de suportes amovíveis, listas de verificação de fim de vínculo laboral. Também mapeia o §12 nos controlos da ISO/IEC 27001:2022 A.5.9 (inventário), A.5.10 (utilização aceitável), A.5.11 (devolução de ativos), A.5.12 (classificação) e A.7.10 (suportes de armazenamento). Se já opera ISO 27001, esses controlos dão-lhe a maior parte do §12 do CIR diretamente.
Leis nacionais de transposição
Cada Estado-Membro tem a sua própria lei de transposição (Países Baixos: Cyberbeveiligingswet, Áustria: NISG, Bélgica: NIS2-Wet). O dever de gestão de ativos é o mesmo em todos eles porque a diretiva define um padrão único para toda a UE. O que difere: junto de que agência nacional se regista e como auditam o inventário na prática.
Temos uma página de Confluence que lista os nossos sistemas.
Perto, mas o §12.4 do CIR quer mais do que uma lista de sistemas. Pede que o inventário seja completo, exato, atualizado e consistente, e que cubra duas coisas: os seus processos e serviços de negócio com descrições, e os sistemas e ativos que os apoiam. Uma lista plana de servidores é metade do trabalho. O mapeamento de processo para sistema é a outra metade, e é a metade que os auditores verificam primeiro.
Trituramos os portáteis antigos, por isso estamos cobertos no offboarding.
Bom para o hardware, mas o §12.5 cobre mais do que isso. Pede um procedimento documentado que garanta a devolução, a entrega ou a eliminação dos ativos quando o vínculo laboral termina, e, se isso não for possível, que a pessoa já não consiga aceder às redes e sistemas de informação. E as contas de cloud de quem sai, os inícios de sessão em SaaS, os tokens de MFA, os dispositivos móveis e os perfis de VPN? A trituradora não apanha esses.
Classificamos dados, não ativos. O ativo é só o contentor.
O §12.1 do CIR classifica explicitamente o ativo pelos requisitos CIA dos dados que trata. A classificação vive no ativo porque o ativo é o que carrega os controlos de acesso, as políticas de cópia de segurança e os objetivos de recuperação. Classifique ambos: os dados dizem-lhe porquê, o ativo é onde age sobre isso.
O §12.4 do CIR é o artefacto fundacional de toda a implementação NIS 2. Constrói-o uma vez, bem feito, com o agrupamento do Grundschutz. Depois disso, todos os outros módulos leem dele em vez de fazerem as mesmas perguntas de novo. Registo de risco, objetivos de recuperação do BCP, regras de controlo de acesso, classificação para MFA, âmbito de fornecedores. Todos apontam de volta ao inventário.
A nossa regra prática no Mittelstand alemão: uma empresa de 50 a 250 pessoas acaba com dez a quinze entradas agrupadas do lado dos ativos e mais ou menos o mesmo do lado dos fornecedores. Acrescente o mapa de processos (oito a doze processos de negócio para a maioria dos operadores) e o inventário está feito. Demora uma semana focada com o responsável de TI e os donos dos processos, não um projeto de seis meses.
O nosso módulo de Ativos é o inventário do §12.4 e a classificação do §12.1 num só lugar. Adiciona ativos com quantidade e agrupamento da forma que o Grundschutz permite. Cada ativo carrega a sua classificação CIA, responsável, localização, e os fornecedores que lhe tocam. O mesmo registo alimenta o tratamento de risco, os objetivos de recuperação do BCP e o âmbito de controlo de acesso sem que volte a escrever fosse o que fosse.
O manuseamento de ciclo de vida do §12.2, os suportes amovíveis do §12.3 e o offboarding do §12.5 vivem todos como políticas escritas ligadas ao inventário. Quando alguém sai, a plataforma gera a lista de verificação de offboarding contra os ativos que lhe estavam atribuídos. Sem folha de cálculo. Sem rasto separado de tickets de RH.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(2)(i). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão (CIR), Anexo §12. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Lei do BSI (BSIG), §30(2)(9) com a redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten'. bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (regra de agrupamento de ativos). bsi.bund.de/200-2
- Orientação Técnica de Implementação da ENISA para o CIR (UE) 2024/2690 (à data de maio de 2026)