Managementul activelor NIS 2 conform Articolului 21(2)(i)
Managementul activelor este fundamentul de sub fiecare altă măsură NIS 2. Dacă nu știți ce aveți, nu îl puteți proteja, clasifica, copia de rezervă sau ști cine îl poate accesa. Articolul 21(2)(i) este locul unde stă obligația, CIR (UE) 2024/2690 §12 detaliază cele cinci părți, iar §30(2)(9) BSIG pune aceeași regulă în legea germană.
Pe scurt
Managementul activelor stă la punctul (i) din lista celor zece obligații de securitate cibernetică din Articolul 21(2). Textul îl pune laolaltă cu securitatea personalului și controlul accesului. Motivul este simplu: toate trei răspund aceleiași întrebări, cine poate atinge ce. Managementul activelor este jumătatea care spune ce este de fapt acel 'ce'.
CIR (UE) 2024/2690 §12 completează detaliul. Împarte managementul activelor în cinci părți. Clasificați-vă activele după confidențialitate, integritate, autenticitate și disponibilitate. Gestionați-le în siguranță pe tot ciclul de viață. Controlați mediile amovibile. Țineți un inventar complet și actual. Asigurați-vă că activele se întorc când oamenii pleacă. Acesta este pragul minim.
Germania pune aceeași regulă în legea națională prin §30(2)(9) BSIG. Formularea urmează directiva. BSI indică apoi spre IT-Grundschutz pentru mecanica practică, inclusiv regula care vă permite să grupați împreună active identice astfel încât inventarul să rămână gestionabil.
Articolul 21(2)(i) Directiva NIS 2 (2022/2555)
Securitatea resurselor umane, politici de control al accesului și managementul activelor.
Acesta este punctul (i) din lista celor zece măsuri de securitate cibernetică pe care fiecare entitate esențială și importantă trebuie să le pună în practică. Directiva grupează trei obligații împreună: securitatea personalului, controlul accesului și managementul activelor. CIR §12 este partea care operaționalizează jumătatea de active.
CIR (UE) 2024/2690, Anexa §12
Managementul activelor și al valorii (Articolul 21(2)(i) din Directiva (UE) 2022/2555).
Pentru că acesta este un regulament (nu o directivă), este drept UE direct obligatoriu. Nu este nevoie de transpunere națională. Se aplică furnizorilor de DNS, registrelor TLD, furnizorilor de cloud, centrelor de date, furnizorilor de servicii gestionate și celorlalte sectoare listate în Anexa sa. §12 are cinci subsecțiuni care acoperă clasificarea, gestionarea pe ciclul de viață, mediile amovibile, inventarul în sine și ce se întâmplă când se încheie angajarea.
§30(2)(9) BSIG (Germania)
Securitatea resurselor umane, concepte de control al accesului și managementul activelor.
Germania copiază textul UE. BSI indică apoi spre IT-Grundschutz pentru detaliul practic: CON.6 acoperă ștergerea și distrugerea sigură (CIR §12.2 și §12.5), iar BSI 200-2 §8.1 explică cum să grupați active identice în inventar (CIR §12.4).
Clasificați după CIA plus valoarea de afaceri
Fiecare activ primește un nivel de clasificare bazat pe confidențialitatea, integritatea, autenticitatea și disponibilitatea de care au nevoie datele de pe el. CIR corelează acele patru cu sensibilitatea, criticitatea, riscul și valoarea de afaceri. Partea de disponibilitate a evaluării se leagă înapoi de țintele de recuperare pe care le stabiliți conform §4.1 pentru continuitatea activității. Astfel, același inventar conduce atât controlul accesului, cât și BCP-ul.
Gestionați activele în siguranță pe tot ciclul de viață
Aveți nevoie de un concept scris pentru fiecare etapă prin care trece un activ: achiziție, utilizare, stocare, transport și eliminare. Utilizare sigură, stocare sigură, transport sigur și ștergere sau distrugere ireversibilă la sfârșitul vieții. §12.3 extinde asta la mediile amovibile (stick-uri USB, hard disk-uri externe), iar §12.5 o extinde la momentul în care un angajat pleacă.
Țineți un inventar complet, exact, actual
Inventarul trebuie să fie complet, exact, actualizat și consecvent, cu suficientă granularitate pentru nevoile dvs. Două lucruri intră în el: (a) o listă a proceselor și serviciilor dvs. de afaceri cu descrieri și (b) o listă a rețelelor și sistemelor informatice și a altor active care susțin acele procese și servicii. Aceasta este structura de date din care citește fiecare altă secțiune CIR.
Inventarul este precondiția pentru tot restul
CIR §12.4 nu este doar o secțiune printre zece. Este structura de date de care depinde fiecare altă secțiune. Managementul riscului (§2) citește din el. Țintele de recuperare a continuității activității (§4) citesc din el. Regulile de control al accesului (§13) citesc din el. Clasificarea MFA (§9) citește din el. Dacă §12.4 lipsește sau este greșit, fiecare modul din aval lipsește sau este greșit. Construiți-l mai întâi.
Grundschutz vă permite să grupați active identice
BSI 200-2 §8.1 permite explicit gruparea: 45 de laptopuri de birou cu aceeași imagine și același rol contează ca o intrare cu o cantitate de 45. O companie Mittelstand cu 50 de persoane ajunge cu zece până la cincisprezece intrări grupate, nu cu zece mii de rânduri individuale. Inventarul trebuie să fie complet, dar completitudinea nu înseamnă o poziție de linie per dispozitiv.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
BSI indică spre IT-Grundschutz pentru mecanica practică. CON.6 'Löschen und Vernichten' acoperă ștergerea și distrugerea sigură (corespunde cu eliminarea din CIR §12.2 și încheierea angajării din §12.5). BSI 200-2 §8.1 este locul unde stă regula de grupare: active identice grupate într-o singură intrare de inventar cu o cantitate. Ambele sunt referențiate de îndrumarea de implementare §30 BSIG.
Ghidul tehnic de implementare ENISA
TIG-ul ENISA descompune CIR §12 în dovezi concrete: exporturi de inventar, scheme de clasificare, politici privind mediile amovibile, liste de verificare la încheierea angajării. De asemenea, corelează §12 cu controalele ISO/IEC 27001:2022 A.5.9 (inventar), A.5.10 (utilizare acceptabilă), A.5.11 (returnarea activelor), A.5.12 (clasificare) și A.7.10 (medii de stocare). Dacă rulați deja ISO 27001, acele controale vă dau cea mai mare parte din CIR §12 direct.
Legi naționale de transpunere
Fiecare stat membru are propria lege de transpunere (Țările de Jos: Cyberbeveiligingswet, Austria: NISG, Belgia: NIS2-Wet). Obligația de management al activelor este aceeași pentru toate pentru că directiva stabilește un singur standard la nivelul UE. Ce diferă: cu ce agenție națională vă înregistrați și cum auditează inventarul în practică.
Avem o pagină Confluence care listează sistemele noastre.
Aproape, dar CIR §12.4 vrea mai mult decât o listă de sisteme. Cere ca inventarul să fie complet, exact, actualizat și consecvent și să acopere două lucruri: procesele și serviciile dvs. de afaceri cu descrieri și sistemele și activele care le susțin. O listă plată de servere este jumătate din treabă. Cartografierea proces-la-sistem este cealaltă jumătate și este jumătatea pe care auditorii o verifică prima.
Tocăm laptopurile vechi, deci suntem acoperiți la offboarding.
Bine pentru hardware, dar §12.5 acoperă mai mult decât atât. Cere o procedură documentată care asigură returnarea, predarea sau ștergerea activelor când se încheie angajarea și, dacă asta nu este posibil, că persoana nu mai poate accesa rețelele și sistemele informatice. Ce facem cu conturile cloud ale plecatului, autentificările SaaS, token-urile MFA, dispozitivele mobile și profilurile VPN? Tocătorul nu le prinde pe acelea.
Clasificăm datele, nu activele. Activul este doar containerul.
CIR §12.1 clasifică explicit activul după cerințele CIA ale datelor pe care le gestionează. Clasificarea stă pe activ pentru că activul este cel care poartă controalele de acces, politicile de copiere de rezervă și țintele de recuperare. Clasificați ambele: datele vă spun de ce, activul este locul în care acționați asupra lor.
CIR §12.4 este artefactul fundamental al întregii implementări NIS 2. Îl construiți o dată, corect, cu gruparea Grundschutz. După aceea, fiecare alt modul citește din el în loc să pună aceleași întrebări din nou. Registru de riscuri, ținte de recuperare BCP, reguli de control al accesului, clasificare MFA, domeniu de aplicare al furnizorilor. Toate indică înapoi spre inventar.
Regula noastră generală în Mittelstand-ul german: o companie cu 50 până la 250 de persoane ajunge cu zece până la cincisprezece intrări grupate pe latura de active și aproximativ aceeași pe latura de furnizori. Adăugați harta proceselor (opt până la douăsprezece procese de afaceri pentru majoritatea operatorilor) și inventarul este gata. Durează o săptămână concentrată cu liderul IT și proprietarii de procese, nu un proiect de șase luni.
Modulul nostru de Active este inventarul §12.4 și clasificarea §12.1 într-un singur loc. Adăugați active cu cantitate și grupare în modul în care permite Grundschutz. Fiecare activ poartă clasificarea sa CIA, proprietarul, locația și furnizorii care îl ating. Aceeași înregistrare conduce tratarea riscului, țintele de recuperare BCP și domeniul de aplicare al controlului accesului fără să retastați nimic.
Gestionarea pe ciclul de viață §12.2, mediile amovibile §12.3 și offboarding-ul §12.5 trăiesc toate ca politici scrise care se leagă de inventar. Când cineva pleacă, platforma generează lista de verificare de offboarding în raport cu activele atribuite lui. Fără foaie de calcul. Fără o pistă separată de tichete HR.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 21(2)(i). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR), Anexa §12. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Legea BSI (BSIG), §30(2)(9) astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten'. bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (regula de grupare a activelor). bsi.bund.de/200-2
- Ghidul tehnic de implementare ENISA pentru CIR (UE) 2024/2690 (la data de mai 2026)