Cum se construiește inventarul de active NIS 2
Articolul 21(2)(j) NIS 2 și §12 CIR stabilesc cele cinci câmpuri obligatorii. BSI 200-2 §8.1 vă permite să grupați active identice. Majoritatea companiilor din Mittelstand termină cu 10 până la 15 intrări, nu cu 200.
Pe scurt
NIS 2 numește gestionarea activelor în articolul 21(2)(j) ca una dintre cele zece măsuri minime de management al riscului. Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 transformă aceasta într-o obligație concretă în §12: mențineți un registru al activelor de care depinde entitatea, cu un identificator unic, o descriere, un proprietar, un nivel de protecție și o locație.
Numărul care sperie oamenii (200 de servere, 600 de laptopuri, 40 de instrumente SaaS) se micșorează odată ce citiți BSI Standard 200-2 §8.1 lângă §12 CIR. Activele identice cu aceeași nevoie de protecție sunt grupate într-o singură intrare. Cele 600 de laptopuri devin un singur rând cu un câmp de cantitate, nu 600 de rânduri.
Un operator din Mittelstand cu 50 de angajați ajunge de obicei la 10 până la 15 intrări grupate care acoperă IT, OT, SaaS, echipamente de rețea și locații fizice. Acel registru este temelia la care se raportează evaluarea riscului, registrul de furnizori, politica de acces și planul de incidente. Construiți-l o dată, revizuiți-l o dată pe an, actualizați-l când se schimbă ceva semnificativ.
Articolul 21(2)(j) Directiva NIS 2 (UE) 2022/2555
[Măsurile de management al riscului includ cel puțin] securitatea în achiziția, dezvoltarea și întreținerea rețelelor și a sistemelor informatice, inclusiv gestionarea și divulgarea vulnerabilităților, și securitatea resurselor umane, politicile de control al accesului și gestionarea activelor.
Articolul 21(2)(j) numește gestionarea activelor ca una dintre cele zece măsuri minime pe care fiecare besonders wichtige și wichtige Einrichtung trebuie să le ia. Directiva nu spune cum arată registrul. Acel detaliu se află cu un strat mai jos, în Regulamentul de punere în aplicare.
Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690, Anexă §12 (gestionarea activelor)
§12.4: Inventarul de active include pentru fiecare activ cel puțin un identificator unic, o descriere, proprietarul activului, nivelul de protecție necesar și locația activului. §12.5: Inventarul este revizuit la intervale planificate și cel puțin anual, precum și la apariția unor modificări semnificative.
CIR 2024/2690 obligă direct entitățile relevante din Anexa I și II a NIS 2. §12.4 este singurul loc din corpul de drept al UE care listează câmpurile obligatorii. §12.5 stabilește ritmul de revizuire. Orice depășește aceste cinci câmpuri este o alegere, nu o obligație.
§30 BSIG (Germania) + BSI Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
§30 BSIG copiază articolul 21 în dreptul german. BSI Standard 200-2 §8.1 explică apoi cum se realizează de fapt Strukturanalyse în practică: obiectele identice cu proprietăți similare și nevoi de protecție comparabile sunt grupate într-o singură intrare. Aceasta este regula care transformă 600 de laptopuri într-un singur rând de registru.
Porniți de la procese, nu de la scanarea rețelei
Notați cele opt până la douăsprezece procese de afaceri de care depinde compania (preluarea comenzilor, facturarea, salarizarea, asistența pentru clienți, linia de producție, controlul încălzirii centralizate, dispecerizarea rutelor). Pentru fiecare, numiți dependențele. Acesta este punctul de intrare pe care BSI 200-2 îl numește Strukturanalyse. Harta proceselor stabilește ce active contează și care este nevoia lor de protecție. O scanare de rețea începută la rece vă oferă zgomot, nu un registru.
Listați activele de care depinde fiecare proces, grupat
Parcurgeți fiecare proces și captați activele de care are nevoie: aplicații, baze de date, servere, endpointuri, echipamente de rețea, servicii cloud și SaaS, componente OT și ICS, locații fizice. Aplicați BSI 200-2 §8.1: 45 de laptopuri de birou identice sunt o singură intrare cu un câmp de cantitate, nu 45 de rânduri. Trei PLC-uri identice pe aceeași linie sunt o singură intrare. Serviciile SaaS contează chiar dacă nu sunt în rețeaua dvs. Rezultatul este de 10 până la 15 intrări grupate pentru o companie cu 50 de angajați, nu 200.
Completați cele cinci câmpuri din §12.4 CIR per intrare
Pentru fiecare intrare, completați cele cinci câmpuri obligatorii din §12.4 CIR: identificator unic (un ID scurt de activ precum ERP-01), descriere (ce este și ce proces deservește), proprietar (o persoană numită, nu un departament), nivel de protecție (Schutzbedarf în confidențialitate, integritate și disponibilitate, derivat din procesul pe care îl deservește), locație (centru de date, regiune cloud, locație fizică sau furnizorul care îl găzduiește). Cinci câmpuri. Dreptul UE nu impune mai mult.
Grupați activele identice, nu enumerați fiecare dispozitiv
BSI Standard 200-2 §8.1 spune că obiectele identice cu nevoie de protecție comparabilă sunt grupate. Folosiți aceasta. 600 de laptopuri în același profil MDM cu același Schutzbedarf sunt o singură intrare de registru. Trei PLC-uri identice de pompe de ape uzate sunt o singură intrare. Un grup de stații de lucru VDI identice este o singură intrare. Cititorul registrului dvs. (BSI, un auditor, asigurătorul dvs.) vrea să vadă că vă înțelegeți dependențele, nu că puteți să listați etichete de active.
Inventariați dependențele, nu doar lucrurile pe care le dețineți
§12.4 CIR cere proprietarul activului și nivelul de protecție. Ambele au sens doar dacă știți ce proces deservește activul. Un server fără un proces numit în spate nu primește proprietar și nici nivel de protecție justificabil, și ratați câmpul. Așadar, mapați mai întâi procesele și apoi activele. Aceeași regulă acoperă SaaS: un instrument pe care nu îl dețineți, dar de care depinde facturarea dvs., intră în domeniul de aplicare, găzduit de furnizorul numit în câmpul de locație.
BSI: Strukturanalyse plus Gruppenbildung este metoda canonică
Metodologia IT-Grundschutz a BSI din Standard 200-2 §8.1 numește Strukturanalyse ca primul pas concret și Gruppenbildung ca mecanism de scalare. Catalogul propriu de audit al BSI (ORP.1, OPS.1, CON.3) citește registrul în raport cu câmpurile din §12.4 CIR. Un registru grupat cu dependențe de proces numite, un proprietar clar per intrare și un nivel de protecție documentat este ceea ce se așteaptă un auditor BSI să vadă într-un audit §30 BSIG.
Ghidul tehnic de implementare ENISA: gestionarea activelor secțiunea 12
Ghidul tehnic de implementare al ENISA pentru CIR 2024/2690 dedică secțiunea 12 gestionării activelor. Reia cele cinci câmpuri obligatorii, face trimitere la ritmul de revizuire din §12.5 și indică ISO/IEC 27001:2022 Anexa A.5.9 și ISO/IEC 27002 §5.9 ca referințe de implementare recunoscute. Tabelul de mapare al ENISA (CC BY 4.0, v1.2, august 2025) corelează §12 CIR cu ISO 27001 A.5.9, NIST CSF 2.0 ID.AM și ETSI EN 319 401.
NL, AT și FR: ISO/IEC 27001:2022 Anexa A.5.9 poartă aceleași câmpuri
Cyberbeveiligingswet din Țările de Jos, NISG din Austria și transpunerea franceză citesc toate direct §12 CIR 2024/2690. Ghidurile naționale din fiecare stat membru indică ISO/IEC 27001:2022 Anexa A.5.9 (inventarul informațiilor și al altor active asociate) ca un mod recunoscut de a dovedi obligația. O entitate cu un singur registru care satisface §12.4 CIR le satisface pe toate. Câmpurile, nu formatul, sunt ceea ce contează pentru lege.
Vom lista fiecare dispozitiv individual ca registrul să fie complet.
Nu. BSI 200-2 §8.1 autorizează în mod explicit gruparea. Un registru cu 600 de rânduri de laptopuri ratează testul de lizibilitate și nu adaugă nicio informație pe care un registru grupat de 25 de rânduri nu o poartă deja. BSI evaluează după faptul că intrările sunt justificabile, nu după câte rânduri puteți produce.
SaaS este invizibil deoarece nu este în rețeaua noastră, deci îl omitem.
Greșit. §12.4 CIR vorbește despre activele de care depinde entitatea, cu un câmp de locație conceput exact pentru acest caz. Un serviciu SaaS de care depinde facturarea dvs. intră ca o singură intrare, locația este furnizorul și regiunea (de exemplu Salesforce, eu-west), iar furnizorul intră în registrul de furnizori conform §5 CIR în paralel.
Putem construi registrul din scanarea rețelei și adăuga proprietarii mai târziu.
Puteți, dar câmpul proprietar va rămâne gol, iar nivelul de protecție va fi o presupunere. Ambele sunt obligatorii conform §12.4 CIR. Fără pasul cu procesele din BSI 200-2 §8.1, o intrare nu are un proprietar justificabil, deoarece niciun proces de afaceri nu indică spre ea. Registrul ratează apoi auditul, chiar dacă are 600 de rânduri în el.
O companie de construcții de mașini cu 60 de angajați din Sauerland a mapat unsprezece procese de afaceri (preluarea comenzilor, proiectarea, achizițiile, linia de producție A, linia de producție B, calitatea, expedierea, facturarea, salarizarea, asistența pentru clienți, service-ul de la distanță după vânzare). Parcurgerea activelor a produs douăsprezece intrări grupate: ERP (una), CAD și PLM (una), MES în hala de producție (una), servere de fișiere și imprimare (una, trei cutii identice), flota de 50 de laptopuri sub un singur profil MDM (una), două familii grupate de controlere CNC (două), echipamentul central de rețea (una), Microsoft 365 (una), SaaS-ul de asistență pentru clienți (una), echipamentul VPN de după vânzare (una) și locația fizică din Plettenberg (una). Douăsprezece intrări care acoperă IT și OT, cu proprietari numiți, niveluri de protecție clare și o locație cunoscută.
Registrul a durat două zile de atelier pentru a fi redactat și o săptămână de urmărire pentru a confirma proprietarii și nivelurile de protecție. Revizuirea anuală este de o jumătate de zi. Aceleași douăsprezece intrări sunt coloana vertebrală a registrului de risc, a registrului de furnizori, a politicii de acces, a planului BCM și a manualului de răspuns la incidente. Proiectul de CMDB de calitate de audit de 30.000 EUR pe care l-a cotat inițial integratorul s-a dovedit inutil; §12.4 CIR cere doar cinci câmpuri per intrare, iar BSI 200-2 §8.1 vă permite să grupați.
Platforma implementează direct §12.4 CIR: fiecare intrare de activ poartă cele cinci câmpuri obligatorii (identificator, descriere, proprietar, nivel de protecție, locație) plus un câmp de cantitate pentru intrările grupate conform BSI 200-2 §8.1. Parcurgeți procesele pe care le-ați mapat deja în modulul de risc și atașați activele de care depinde fiecare proces. Registrul rămâne în zeci de intrări, nu în sute.
Revizuirea anuală conform §12.5 CIR este o sarcină programată cu un proprietar numit și o semnătură de pistă de audit. Evenimentele de modificare semnificativă (SaaS nou, linie OT nouă, schimbare de furnizor) declanșează un mesaj de actualizare în loc să aștepte douăsprezece luni. Același registru alimentează legătura cu furnizorul conform §5 CIR, politica de acces conform §11 CIR și planul de incidente, astfel încât cele cinci câmpuri pe care le completați o dată alimentează restul registrului de obligații.
- Directiva (UE) 2022/2555 (NIS 2), articolul 21(2)(j): măsurile minime de management al riscului includ securitatea resurselor umane, politicile de control al accesului și gestionarea activelor.
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 din 17 octombrie 2024, Anexă §12 (gestionarea activelor): §12.4 listează cele cinci câmpuri obligatorii ale inventarului (identificator unic, descriere, proprietar, nivel de protecție, locație); §12.5 stabilește ritmul de revizuire (la intervale planificate și cel puțin anual, precum și la modificări semnificative).
- BSIG (Germania), §30 (Risikomanagementmaßnahmen), care transpune articolul 21 NIS 2.
- BSI Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): obiectele identice cu proprietăți și nevoi de protecție comparabile sunt grupate într-o singură intrare de registru.
- ISO/IEC 27001:2022 Anexa A.5.9 (Inventarul informațiilor și al altor active asociate), la care face trimitere Ghidul tehnic de implementare al ENISA pentru §12 CIR 2024/2690 ca formă de implementare recunoscută.