Ce este un activ in temeiul NIS 2?
Un activ in temeiul NIS 2 este orice proceseaza, stocheaza sau transmite informatii de care depind operatiunile dumneavoastra. Directiva nu spune nici macar o data cuvantul activ, dar sapte dintre cele zece masuri ale Art. 21(2) au sens doar dupa ce aveti lista.
De ce inventarul vine primul
Majoritatea implementarilor NIS 2 se blocheaza in acelasi loc: cineva incepe cu managementul riscului fara a sti mai intai ce sa evalueze. Inventarul de active este conditia prealabila. Fara el, analiza riscurilor este o ghiceala, cartografierea furnizorilor este incompleta, raspunsul la incidente nu se poate delimita, iar auditurile nu gasesc nimic de testat.
Directiva insasi nu foloseste cuvantul activ in Art. 21. Vorbeste despre retele si sisteme informatice, securitatea lor si postura de risc a organizatiei. CIR 2024/2690 Art. 2(4) si IT-Grundschutz BSI 200-2 §8.1 completeaza intelesul operational: un activ este orice proceseaza, stocheaza sau transmite informatii de care depind operatiunile dumneavoastra.
Pentru un Mittelstand de 60 de persoane, inventarul nu este o foaie Excel cu 200 de randuri. Este o lista de o pagina cu aproximativ 10 pana la 15 intrari grupate, ceea ce Grundschutz permite explicit. Ideea este sa il aveti, sa il mentineti actualizat si sa il lasati sa ancoreze fiecare alta decizie NIS 2.
Art. 21(2)(a) si 21(2)(b) NIS 2
Masurile mentionate la alineatul (1) se bazeaza pe o abordare bazata pe toate pericolele care vizeaza protejarea retelelor si sistemelor informatice si a mediului fizic al acestor sisteme impotriva incidentelor si includ cel putin urmatoarele: (a) politici privind analiza riscurilor si securitatea sistemelor informatice; (b) gestionarea incidentelor.
Analiza riscurilor si gestionarea incidentelor sunt enumerate primele, dar ambele necesita un obiect de analizat si de gestionat: inventarul a ceea ce aveti efectiv. Directiva trateaza acest lucru ca pe o conditie prealabila, nu ca pe o masura separata.
CIR 2024/2690, Art. 2 si Anexa II §2.1
Entitatile relevante elaboreaza, documenteaza si pun in aplicare politici privind analiza riscurilor si securitatea sistemelor informatice, in special prin stabilirea si mentinerea unui inventar al activelor lor, inclusiv software, hardware si informatii.
Regulamentul de punere in aplicare face obligatia de inventar explicita pentru tipurile de entitati pe care le acopera (furnizorii de servicii digitale). Pentru toate celelalte sectoare NIS 2, obligatia este implicita in Art. 21(2)(a), dar Grundschutz o face operationala in acelasi mod.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Gruparea obiectelor similare este permisa explicit. Un IMM de 60 de persoane nu are nevoie de 45 de randuri de laptopuri; are nevoie de o intrare pentru laptopuri de angajati, 45 de bucati daca acestea au acelasi profil de protectie. Acest lucru face inventarul gestionabil.
Aplicatii de afaceri
ERP, CRM, contabilitate, HR, management de proiect, software specific sectorului (sistem de laborator in farmacie, platforma de facturare la o utilitate, MES intr-o hala de productie). Un rand pentru fiecare aplicatie, chiar daca este gazduita de un furnizor SaaS.
Depozite de date
Baze de date de productie, partajari de fisiere, managementul documentelor, copii de rezerva, sisteme de arhiva. Grupati dupa sensibilitate, nu dupa locatia fizica.
Infrastructura de retea si de calcul
Servere (proprii sau gazduite), firewall-uri, switch-uri, routere, concentratoare VPN, furnizori de identitate, hipervizoare, conturi cloud. Un rand pentru fiecare grup cu acelasi scop identic.
Puncte finale
Laptopuri de angajati, desktopuri, dispozitive mobile, tablete. Grupati dupa rol si familia de sistem de operare. Adaugati separat: statiile de lucru de administrare privilegiata, chioscurile, terminalele de la punctele de vanzare.
OT si sisteme fizice
SCADA, PLC-uri, managementul cladirilor, controlul accesului, CCTV, cititoare de acces fizic, control industrial specific sectorului. Adesea omis; pentru utilitati, productie si spitale aceasta este cea mai mare categorie singulara.
Servicii furnizate de furnizori
IT externalizat, e-mail gazduit, firewall gestionat, salarizare, birou in cloud, identity-as-a-service. Notati numele furnizorului si tipul de dependenta conform Art. 21(2)(d) NIS 2.
Aceeasi cerinta de protectie
Grupati 45 de laptopuri de angajati doar daca toate au acelasi Schutzbedarf pentru confidentialitate, integritate si disponibilitate. Daca 5 dintre ele contin date de salarizare, acele 5 sunt un grup separat.
Acelasi rol operational
Un server de baza de date de productie si un mediu de testare al unui dezvoltator nu pot fi un singur grup, chiar si pe hardware identic. Rolul difera, expunerea difera, controalele difera.
Numarati explicit
Scrieti cantitatea. 45 de laptopuri de angajati ii arata unui auditor domeniul de aplicare. Un grup de laptopuri este inutil. Numarul este puntea de la inventar la analiza riscurilor.
Pasul 1: incepeti cu serviciile livrate (15 min)
Ce face efectiv entitatea dumneavoastra pentru clienti? Enumerati 3 pana la 8 servicii principale. Pentru un Stadtwerk: distributia electricitatii, distributia apei, facturarea clientilor. Fiecare activ trebuie sa se lege inapoi de un serviciu, altfel este cheltuiala generala.
Pasul 2: cartografiati aplicatiile si datele la servicii (25 min)
Pentru fiecare serviciu, numiti aplicatiile pe care ruleaza si datele pe care le atinge. SAP pentru facturare, platforma de citire a contoarelor pentru distributie, arhiva de documente pentru juridic. Un rand pentru fiecare aplicatie.
Pasul 3: asezati infrastructura dedesubt (25 min)
Servere, retea, puncte finale, identitate, conturi cloud. Grupati fara ezitare conform BSI 200-2 §8.1. O entitate de 60 de persoane depaseste rareori 10 randuri de infrastructura grupata.
Pasul 4: adaugati serviciile furnizate de furnizori (25 min)
Orice serviciu externalizat care atinge activele de mai sus este el insusi un activ, plus o dependenta de furnizor. E-mailul SaaS este un rand; MSP-ul care va gestioneaza firewall-ul este un rand. Acest lucru alimenteaza obligatiile privind lantul de aprovizionare din Art. 21(2)(d).
OT si serviciile cladirii lipsesc
Liniile de productie, accesul in cladire, CCTV, controlul climatic. Usor de omis pentru ca nu se afla pe biroul echipei IT. In temeiul NIS 2, acestea sunt active in momentul in care proceseaza informatii legate de serviciul dumneavoastra.
Fluxurile de date nu sunt cartografiate
Nu este suficient sa enumerati aplicatiile. Notati care date curg de unde pana unde. Un fisier de salarizare care se muta din sistemul HR catre banca prin SFTP este el insusi un flux care trebuie protejat.
Shadow IT nu este scos la suprafata
Departamentele isi ruleaza adesea propriile abonamente SaaS (generatoare de formulare, instrumente de sondaj, partajare de fisiere). Intrebati, nu presupuneti. Shadow IT devine o dependenta de furnizor in temeiul Art. 21(2)(d), indiferent de cine a platit pentru el.
- Directiva (UE) 2022/2555 (NIS 2), Art. 21(2), www.eur-lex.europa.eu
- Regulamentul de punere in aplicare al Comisiei (UE) 2024/2690 (CIR), Art. 2 si Anexa II §2.1, www.eur-lex.europa.eu
- BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Legea privind Oficiul Federal pentru Securitatea Informatiilor (BSIG), §30 (transpunerea nationala a Art. 21)
Aceasta pagina ofera indrumari structurate bazate pe surse disponibile public (Directiva NIS 2, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Nu constituie consultanta juridica in sensul §2 RDG. Pentru cazuri specifice consultati un avocat admis. La data de 2026-06-04.