Was ist ein Asset unter NIS 2?
Ein Asset unter NIS 2 ist alles, was Informationen verarbeitet, speichert oder überträgt, von denen Ihr Betrieb abhängt. Die Richtlinie nennt das Wort 'Asset' kein einziges Mal, aber sieben der zehn Maßnahmen in Art. 21(2) ergeben erst Sinn, wenn die Liste steht.
Warum das Inventar zuerst kommt
Die meisten NIS 2 Umsetzungen bleiben an derselben Stelle stecken: jemand fängt mit Risikomanagement an, ohne zu wissen, was bewertet werden soll. Das Asset-Inventar ist die Voraussetzung. Ohne ist die Risikoanalyse Raten, die Lieferantenliste unvollständig, die Vorfallsantwort ohne Scope und das Audit ohne Bezugspunkt.
Die Richtlinie selbst nutzt das Wort 'Asset' in Art. 21 nicht. Sie spricht von 'Netz- und Informationssystemen', deren Sicherheit und der Risikolage der Organisation. CIR 2024/2690 Art. 2(4) und IT-Grundschutz BSI 200-2 §8.1 füllen die operative Bedeutung auf: ein Asset ist alles, was Informationen verarbeitet, speichert oder überträgt, von denen Ihr Betrieb abhängt.
Für einen 60-Personen-Mittelständler ist das Inventar keine 200-Zeilen-Excel-Tabelle. Es ist eine einseitige Liste mit ungefähr 10 bis 15 gruppierten Einträgen, was Grundschutz ausdrücklich erlaubt. Der Sinn ist, sie zu haben, aktuell zu halten und jede andere NIS 2 Entscheidung daran zu hängen.
Art. 21(2)(a) und 21(2)(b) NIS 2
Die in Absatz 1 genannten Maßnahmen beruhen auf einem gefahrenübergreifenden Ansatz, der darauf abzielt, die Netz- und Informationssysteme und die physische Umgebung dieser Systeme vor Sicherheitsvorfällen zu schützen, und umfassen mindestens Folgendes: (a) Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; (b) Bewältigung von Sicherheitsvorfällen.
Risikoanalyse und Vorfallsbewältigung stehen vorn, beide brauchen aber ein Objekt zur Analyse und zur Bewältigung: das Inventar dessen, was Sie tatsächlich haben. Die Richtlinie behandelt es als Voraussetzung, nicht als eigene Maßnahme.
CIR 2024/2690, Art. 2 und Anhang II §2.1
Die betreffenden Einrichtungen entwickeln, dokumentieren und setzen Konzepte zur Risikoanalyse und Sicherheit von Informationssystemen um, insbesondere durch Erstellung und Pflege eines Verzeichnisses ihrer Assets einschließlich Software, Hardware und Informationen.
Die Durchführungsverordnung macht die Inventarpflicht für die von ihr erfassten Einrichtungstypen (digitale Anbieter) ausdrücklich. Für alle anderen NIS 2 Sektoren steckt die Pflicht implizit in Art. 21(2)(a); Grundschutz macht sie auf dieselbe Weise operationalisierbar.
BSI IT-Grundschutz BSI 200-2, §8.1
Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie in der Schutzbedarfsfeststellung gleich behandelt werden können.
Gruppierung gleichartiger Objekte ist ausdrücklich erlaubt. Ein 60-Personen-Mittelständler braucht nicht 45 Notebook-Zeilen; er braucht eine Zeile 'Notebooks der Beschäftigten, 45 Stück', wenn sie demselben Schutzprofil unterliegen. Genau das macht das Inventar handhabbar.
Geschäftsanwendungen
ERP, CRM, Buchhaltung, HR, Projektmanagement, sektorspezifische Software (Laborsystem in Pharma, Abrechnungsplattform beim Versorger, MES in der Fertigung). Eine Zeile je Anwendung, auch wenn als SaaS gehostet.
Datenbestände
Produktivdatenbanken, Dateiablagen, Dokumentenmanagement, Backups, Archive. Nach Schutzbedarf gruppieren, nicht nach physischem Standort.
Netz- und Rechenzentrumsinfrastruktur
Server (eigen oder gehostet), Firewalls, Switches, Router, VPN-Konzentratoren, Identity-Provider, Hypervisoren, Cloud-Konten. Eine Zeile je Cluster identischer Funktion.
Endgeräte
Notebooks, Desktops, Mobilgeräte, Tablets der Beschäftigten. Nach Rolle und Betriebssystemfamilie gruppieren. Separat hinzu: privilegierte Admin-Arbeitsplätze, Kioske, Kassenterminals.
OT und physische Systeme
SCADA, SPS, Gebäudeleittechnik, Zutrittskontrolle, Videoüberwachung, sektorspezifische industrielle Steuerung. Oft übersehen; bei Versorgern, Fertigung, Kliniken die größte Einzelkategorie.
Lieferantenleistungen
Ausgelagerte IT, gehosteter E-Mail-Dienst, Managed-Firewall, Gehaltsabrechnung, Cloud-Office, Identity-as-a-Service. Lieferantenname und Art der Abhängigkeit nach Art. 21(2)(d) NIS 2 notieren.
Gleicher Schutzbedarf
45 Notebooks der Beschäftigten nur dann gruppieren, wenn alle dieselbe Schutzbedarfseinstufung in Vertraulichkeit, Integrität und Verfügbarkeit haben. Wenn 5 davon Gehaltsdaten tragen, sind diese 5 eine eigene Gruppe.
Gleiche operative Rolle
Produktivdatenbankserver und Entwickler-Sandbox können nicht eine Gruppe sein, auch auf identischer Hardware. Rolle, Exposition, Steuerung unterschiedlich.
Anzahl explizit ausweisen
Die Stückzahl gehört rein. '45 Notebooks der Beschäftigten' sagt einem Prüfer den Umfang. '1 Notebook-Cluster' ist nutzlos. Die Zahl ist die Brücke vom Inventar zur Risikoanalyse.
Schritt 1 — Mit erbrachten Diensten starten (15 Min)
Was tut Ihre Einrichtung tatsächlich für Kunden? Listen Sie 3 bis 8 Kerndienste. Beim Stadtwerk: Stromverteilung, Wasserverteilung, Kundenabrechnung. Jedes Asset muss auf einen Dienst zurückgeführt werden, sonst ist es Overhead.
Schritt 2 — Anwendungen und Daten den Diensten zuordnen (25 Min)
Je Dienst die Anwendungen und Daten benennen. SAP für die Abrechnung, die Zählerausleseplattform für die Verteilung, das Dokumentenarchiv für die Rechtsabteilung. Eine Zeile je Anwendung.
Schritt 3 — Infrastruktur darunterlegen (25 Min)
Server, Netz, Endgeräte, Identity, Cloud-Konten. Konsequent nach BSI 200-2 §8.1 gruppieren. Eine 60-Personen-Einrichtung überschreitet selten 10 gruppierte Infrastrukturzeilen.
Schritt 4 — Lieferantenleistungen ergänzen (25 Min)
Jede ausgelagerte Leistung, die die Assets oben berührt, ist selbst ein Asset plus eine Lieferantenabhängigkeit. SaaS-E-Mail eine Zeile; der MSP, der Ihre Firewall verwaltet, eine Zeile. Das speist die Lieferketten-Pflichten aus Art. 21(2)(d).
OT und Gebäudetechnik fehlen
Fertigungsstraßen, Zutrittsanlagen, Videoüberwachung, Klima. Leicht zu übergehen, weil sie nicht beim IT-Tisch liegen. Unter NIS 2 sind sie Assets, sobald sie Informationen zu Ihrem Dienst verarbeiten.
Datenflüsse nicht kartiert
Die Anwendungen zu listen reicht nicht. Notieren Sie, welche Daten von wo nach wo fließen. Eine Lohnabrechnungsdatei, die vom HR-System per SFTP zur Bank wandert, ist selbst ein Fluss, der geschützt gehört.
Schatten-IT nicht erfasst
Fachbereiche betreiben oft eigene SaaS-Abos (Formularbau, Umfragen, Dateifreigabe). Fragen, nicht annehmen. Schatten-IT wird unter Art. 21(2)(d) zur Lieferantenabhängigkeit, egal wer sie bezahlt hat.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 21(2), www.eur-lex.europa.eu
- Durchführungsverordnung (EU) 2024/2690 (CIR), Art. 2 und Anhang II §2.1, www.eur-lex.europa.eu
- BSI IT-Grundschutz Standard BSI 200-2, §8.1 (Strukturanalyse), www.bsi.bund.de
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (nationale Umsetzung von Art. 21)
Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, CIR 2024/2690, BSIG, BSI IT-Grundschutz). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.