NIS 2 Anlagenmanagement nach Artikel 21(2)(i)
Anlagenmanagement ist das Fundament unter jeder anderen NIS 2-Maßnahme. Was Sie nicht kennen, können Sie nicht schützen, klassifizieren, sichern oder mit Zugriffsregeln belegen. Artikel 21(2)(i) verankert die Pflicht, CIR (EU) 2024/2690 §12 beschreibt die fünf Teile, und §30(2)(9) BSIG übernimmt die Regel ins deutsche Recht.
Die Kurzfassung
Anlagenmanagement steht an Stelle (i) der zehn Cybersicherheitspflichten aus Artikel 21(2). Der Text bündelt es mit Personalsicherheit und Zugriffskontrolle. Der Grund ist einfach: alle drei beantworten dieselbe Frage, wer was anfassen darf. Anlagenmanagement ist die Hälfte, die sagt, was 'was' überhaupt ist.
CIR (EU) 2024/2690 §12 liefert den Rest. Fünf Teile. Anlagen nach Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit klassifizieren. Sicherer Umgang über den gesamten Lebenszyklus. Wechseldatenträger im Griff. Vollständiges, aktuelles Inventar. Rückgabe oder Löschung bei Beendigung des Beschäftigungsverhältnisses. Das ist der Mindeststandard.
Deutschland übernimmt die Regel in §30(2)(9) BSIG. Der Wortlaut folgt der Richtlinie. Das BSI verweist für die Praxis auf den IT-Grundschutz, einschließlich der Regel, identische Anlagen zu Gruppen zusammenzufassen, damit das Inventar handhabbar bleibt.
Artikel 21(2)(i) NIS 2-Richtlinie (2022/2555)
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.
Punkt (i) aus der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Die Richtlinie bündelt drei Pflichten: Personalsicherheit, Zugriffskontrolle und Anlagenmanagement. CIR §12 operationalisiert den Anlagenteil.
CIR (EU) 2024/2690, Anhang §12
Anlagen- und Wertemanagement (Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555).
Als Verordnung (nicht Richtlinie) direkt verbindliches EU-Recht. Keine nationale Umsetzung nötig. Gilt für DNS-Anbieter, TLD-Registries, Cloud- und Rechenzentrumsanbieter, Managed Service Provider und die anderen im Anhang genannten Sektoren. §12 hat fünf Unterabschnitte: Klassifizierung, Behandlung im Lebenszyklus, Wechseldatenträger, das Inventar selbst, und das Ende des Beschäftigungsverhältnisses.
§30(2)(9) BSIG (Deutschland)
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.
Deutschland übernimmt den EU-Text wörtlich. Das BSI verweist für die Praxis auf den IT-Grundschutz: CON.6 deckt Löschen und Vernichten ab (CIR §12.2 und §12.5), BSI 200-2 §8.1 erklärt die Gruppierung identischer Anlagen im Inventar (CIR §12.4).
Klassifizieren nach VIVA plus Geschäftswert
Jede Anlage bekommt eine Einstufung nach Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten, die sie verarbeitet. CIR ordnet diese vier den Dimensionen Sensitivität, Kritikalität, Risiko und Geschäftswert zu. Der Verfügbarkeitsteil verknüpft sich mit den Wiederanlaufzielen aus §4.1 (Business Continuity). Dasselbe Inventar steuert damit Zugriffskontrolle und BCP.
Sicher umgehen über den vollen Lebenszyklus
Ein schriftliches Konzept für jede Phase, die eine Anlage durchläuft: Beschaffung, Nutzung, Lagerung, Transport, Entsorgung. Sichere Nutzung, sichere Lagerung, sicherer Transport, unwiderrufliche Löschung oder Vernichtung am Lebensende. §12.3 erweitert das auf Wechseldatenträger (USB-Sticks, externe Festplatten), §12.5 auf den Austritt eines Beschäftigten.
Vollständiges, aktuelles, konsistentes Inventar
Das Inventar muss vollständig, korrekt, aktuell und konsistent sein, mit der für Sie nötigen Granularität. Zwei Dinge gehören rein: (a) eine Liste Ihrer Geschäftsprozesse und Dienste mit Beschreibungen, und (b) eine Liste der Netz- und Informationssysteme und sonstigen Anlagen, die diese Prozesse und Dienste tragen. Diese Datenstruktur lesen alle anderen CIR-Abschnitte mit.
Das Inventar ist die Voraussetzung für alles andere
CIR §12.4 ist nicht nur einer von zehn Abschnitten. Es ist die Datenstruktur, von der jeder andere Abschnitt abhängt. Risikomanagement (§2) liest daraus. Wiederanlaufziele (§4) lesen daraus. Zugriffsregeln (§13) lesen daraus. MFA-Einstufung (§9) liest daraus. Fehlt oder hinkt §12.4, hinken alle nachgelagerten Module. Bauen Sie es zuerst.
Grundschutz erlaubt Gruppierung identischer Anlagen
BSI 200-2 §8.1 erlaubt das ausdrücklich: 45 Büro-Laptops mit gleichem Image und gleicher Rolle zählen als ein Eintrag mit Stückzahl 45. Ein Mittelständler mit 50 Mitarbeitenden landet bei zehn bis fünfzehn gruppierten Einträgen, nicht zehntausend Einzelzeilen. Vollständig heißt nicht zeilenweise pro Gerät.
BSI / IT-Grundschutz CON.6 + BSI 200-2 §8.1
Das BSI verweist auf den IT-Grundschutz. CON.6 'Löschen und Vernichten' deckt sichere Löschung und Vernichtung ab (passt zu CIR §12.2 Entsorgung und §12.5 Beendigung der Beschäftigung). BSI 200-2 §8.1 enthält die Gruppierungsregel: identische Anlagen bündeln zu einem Inventareintrag mit Stückzahl. Beide werden in der §30 BSIG-Umsetzungsleitlinie referenziert.
ENISA Technical Implementation Guidance
Die ENISA TIG schlüsselt CIR §12 in konkrete Nachweise auf: Inventarexports, Klassifizierungsschemata, Wechseldatenträger-Richtlinien, Offboarding-Checklisten. Sie mappt §12 außerdem auf ISO/IEC 27001:2022 Controls A.5.9 (Inventar), A.5.10 (zulässige Nutzung), A.5.11 (Rückgabe), A.5.12 (Klassifizierung) und A.7.10 (Speichermedien). Wer ISO 27001 schon hat, hat den Großteil von CIR §12 bereits abgedeckt.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat hat sein eigenes Umsetzungsgesetz (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Pflicht zum Anlagenmanagement ist überall identisch, weil die Richtlinie einen EU-weiten Standard setzt. Unterschiede: bei welcher nationalen Behörde man registriert und wie das Inventar in der Praxis geprüft wird.
Wir haben eine Confluence-Seite, auf der unsere Systeme stehen.
Nah dran, aber CIR §12.4 will mehr als eine Systemliste. Das Inventar muss vollständig, korrekt, aktuell und konsistent sein, und zwei Dinge abdecken: Geschäftsprozesse und Dienste mit Beschreibungen, plus die Systeme und Anlagen, die diese Prozesse tragen. Eine flache Server-Liste ist die halbe Arbeit. Die Prozess-zu-System-Zuordnung ist die andere Hälfte, und genau die prüft der Auditor zuerst.
Wir schreddern alte Laptops, also haben wir das Offboarding im Griff.
Gut für die Hardware, aber §12.5 will mehr. Verlangt wird ein dokumentiertes Verfahren, das Rückgabe, Übergabe oder Löschung der Anlagen am Ende des Beschäftigungsverhältnisses sicherstellt, und falls das nicht möglich ist, dass die Person keinen Zugriff mehr auf Netz- und Informationssysteme hat. Was ist mit Cloud-Konten, SaaS-Logins, MFA-Token, Mobilgeräten und VPN-Profilen des Austretenden? Der Schredder erwischt die nicht.
Wir klassifizieren Daten, nicht Anlagen. Die Anlage ist nur der Behälter.
CIR §12.1 klassifiziert ausdrücklich die Anlage nach den VIVA-Anforderungen der Daten, die sie verarbeitet. Die Einstufung lebt auf der Anlage, weil die Anlage der Ort ist, an dem Zugriffsrechte, Backup-Regeln und Wiederanlaufziele wirken. Klassifizieren Sie beides: die Daten sagen warum, die Anlage ist der Ort, an dem Sie handeln.
CIR §12.4 ist das Fundament der gesamten NIS 2-Umsetzung. Einmal sauber gebaut, mit Grundschutz-Gruppierung. Danach lesen alle anderen Module daraus, statt dieselben Fragen erneut zu stellen. Risikoregister, BCP-Wiederanlaufziele, Zugriffsregeln, MFA-Einstufung, Lieferantenscope. Alle zeigen zurück auf das Inventar.
Unsere Faustregel im deutschen Mittelstand: ein Unternehmen mit 50 bis 250 Mitarbeitenden landet bei zehn bis fünfzehn gruppierten Anlageneinträgen und etwa derselben Zahl auf der Lieferantenseite. Dazu die Prozesslandkarte (acht bis zwölf Geschäftsprozesse bei den meisten Betreibern), und das Inventar ist fertig. Eine fokussierte Woche mit dem IT-Lead und den Prozessverantwortlichen, kein Sechs-Monats-Projekt.
Unser Anlagenmodul ist das §12.4-Inventar und die §12.1-Klassifizierung in einem. Anlagen werden mit Stückzahl und Gruppierung erfasst, so wie es der Grundschutz erlaubt. Jede Anlage trägt VIVA-Einstufung, Eigentümer, Standort und die zugeordneten Lieferanten. Derselbe Datensatz steuert Risikobehandlung, Wiederanlaufziele und Zugriffsscope, ohne dass Sie etwas erneut eintippen.
§12.2 Lebenszyklus-Behandlung, §12.3 Wechseldatenträger und §12.5 Offboarding leben als schriftliche Richtlinien, die mit dem Inventar verknüpft sind. Tritt jemand aus, generiert die Plattform die Offboarding-Checkliste gegen die zugewiesenen Anlagen. Keine Excel-Liste. Kein separater HR-Ticketpfad.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30(2)(9) in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI IT-Grundschutz CON.6 'Löschen und Vernichten' — bsi.bund.de/Grundschutz
- BSI 200-2 §8.1 (Gruppierungsregel für Anlagen) — bsi.bund.de/200-2
- ENISA Technical Implementation Guidance zu CIR (EU) 2024/2690 (Stand Mai 2026)