Wie Sie das NIS 2 Asset-Inventar aufbauen
Artikel 21(2)(j) NIS 2 und CIR §12 definieren die fünf Pflichtfelder. BSI 200-2 §8.1 erlaubt die Gruppenbildung. Die meisten Mittelständler landen bei 10 bis 15 Einträgen, nicht bei 200.
Die Kurzfassung
NIS 2 nennt das Management von Anlagen in Artikel 21(2)(j) als eine der zehn Mindestmaßnahmen im Risikomanagement. Die Durchführungsverordnung (EU) 2024/2690 macht daraus in §12 eine konkrete Pflicht: ein Register der Anlagen, von denen das Unternehmen abhängt, jeweils mit eindeutiger Kennung, Beschreibung, verantwortlicher Person, Schutzbedarf und Standort.
Die Zahl, die viele abschreckt (200 Server, 600 Notebooks, 40 SaaS-Dienste), schrumpft, sobald man BSI-Standard 200-2 §8.1 neben CIR §12 liest. Gleichartige Objekte mit vergleichbarem Schutzbedarf werden zu einem Eintrag zusammengefasst. Aus 600 Notebooks wird eine Zeile mit einem Mengenfeld, nicht 600 Zeilen.
Ein Mittelständler mit 50 Beschäftigten landet typischerweise bei 10 bis 15 gruppierten Einträgen über IT, OT, SaaS, Netzwerktechnik und Standorte hinweg. Dieses Register ist die Grundlage, auf die Risikoanalyse, Lieferantenregister, Zugriffskonzept und Notfallplan später zugreifen. Einmal erstellen, einmal pro Jahr prüfen, bei wesentlichen Änderungen aktualisieren.
Artikel 21(2)(j) NIS-2-Richtlinie (EU) 2022/2555
[Risikomanagementmaßnahmen umfassen mindestens] Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen einschließlich des Umgangs mit Schwachstellen und deren Offenlegung sowie Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.
Artikel 21(2)(j) nennt Asset-Management als eine der zehn Mindestmaßnahmen, die jede besonders wichtige und wichtige Einrichtung ergreifen muss. Was das Register konkret enthält, sagt die Richtlinie nicht. Diese Ebene liegt eine Stufe tiefer in der Durchführungsverordnung.
Durchführungsverordnung (EU) 2024/2690, Anhang §12 (Management von Anlagen)
§12.4: Das Anlageninventar enthält für jede Anlage mindestens eine eindeutige Kennung, eine Beschreibung, die für die Anlage verantwortliche Person, das erforderliche Schutzniveau und den Standort der Anlage. §12.5: Das Inventar wird in geplanten Abständen und mindestens einmal jährlich sowie bei wesentlichen Änderungen überprüft.
Die CIR 2024/2690 wirkt unmittelbar gegenüber den in den Anhängen I und II der NIS 2 genannten Einrichtungstypen. §12.4 ist die einzige Stelle im EU-Recht, die die Pflichtfelder konkret auflistet. §12.5 setzt den Prüfrhythmus. Alles darüber hinaus ist eine Entscheidung, keine Pflicht.
§30 BSIG (Deutschland) und BSI-Standard 200-2 §8.1 (Strukturanalyse, Gruppenbildung)
§30 BSIG: Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. BSI 200-2 §8.1: Gleichartige Objekte können zu Gruppen zusammengefasst werden, wenn sie ähnliche Eigenschaften und einen vergleichbaren Schutzbedarf aufweisen.
§30 BSIG übernimmt Artikel 21 ins deutsche Recht. BSI-Standard 200-2 §8.1 erklärt anschließend, wie die Strukturanalyse in der Praxis abläuft: gleichartige Objekte mit vergleichbaren Eigenschaften und vergleichbarem Schutzbedarf werden zu einem Eintrag zusammengefasst. Genau diese Regel macht aus 600 Notebooks eine Registerzeile.
Mit den Prozessen anfangen, nicht mit dem Netzwerkscan
Notieren Sie die acht bis zwölf Geschäftsprozesse, von denen Ihr Unternehmen abhängt (Auftragseingang, Rechnungsstellung, Lohnabrechnung, Kundenservice, Produktionslinie, Fernwärmesteuerung, Tourenplanung). Pro Prozess die Abhängigkeiten benennen. Das ist die Strukturanalyse aus BSI 200-2. Die Prozesslandkarte entscheidet, welche Anlagen relevant sind und welchen Schutzbedarf sie haben. Ein blanker Netzwerkscan liefert Rauschen, kein Register.
Anlagen pro Prozess erfassen, gruppiert
Pro Prozess die Anlagen aufnehmen: Anwendungen, Datenbanken, Server, Endgeräte, Netzwerktechnik, Cloud- und SaaS-Dienste, OT- und ICS-Komponenten, Standorte. BSI 200-2 §8.1 anwenden: 45 baugleiche Bürolaptops sind ein Eintrag mit Mengenfeld, nicht 45 Zeilen. Drei identische SPS an derselben Linie sind ein Eintrag. SaaS gehört dazu, auch wenn es nicht im eigenen Netz läuft. Ergebnis bei 50 Beschäftigten: 10 bis 15 gruppierte Einträge, keine 200.
Pro Eintrag die fünf Felder aus CIR §12.4 ausfüllen
Für jeden Eintrag die fünf Pflichtfelder aus CIR §12.4 setzen: eindeutige Kennung (kurze ID wie ERP-01), Beschreibung (was es ist und welchem Prozess es dient), verantwortliche Person (Name, nicht Abteilung), Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit, abgeleitet aus dem Prozess), Standort (Rechenzentrum, Cloud-Region, Liegenschaft oder der Dienstleister, der hostet). Fünf Felder. Mehr verlangt das EU-Recht nicht.
Gleichartige Anlagen gruppieren, nicht jedes Gerät einzeln
BSI-Standard 200-2 §8.1 erlaubt die Gruppenbildung ausdrücklich. Nutzen Sie sie. 600 Notebooks im selben MDM-Profil mit demselben Schutzbedarf sind ein Eintrag. Drei baugleiche Pumpen-SPS in der Abwasseranlage sind ein Eintrag. Ein Pool baugleicher VDI-Arbeitsplätze ist ein Eintrag. Der Adressat des Registers (BSI, Prüfer, Versicherer) will sehen, dass Sie Ihre Abhängigkeiten verstehen, keine Auflistung von Asset-Tags.
Abhängigkeiten inventarisieren, nicht nur Gegenstände im Bestand
CIR §12.4 verlangt eine verantwortliche Person und einen Schutzbedarf. Beides ergibt nur Sinn, wenn man weiß, welchem Prozess die Anlage dient. Ein Server ohne benannten Prozess bekommt weder eine sinnvolle Verantwortliche noch einen begründbaren Schutzbedarf, das Pflichtfeld bleibt leer. Also zuerst Prozesse abbilden, dann Anlagen. Dasselbe gilt für SaaS: ein Werkzeug, das nicht Ihnen gehört, aber das Ihre Rechnungsstellung trägt, ist im Inventar enthalten, gehostet beim genannten Dienstleister im Feld Standort.
BSI: Strukturanalyse plus Gruppenbildung ist die Standardmethode
Die IT-Grundschutz-Methodik in BSI-Standard 200-2 §8.1 nennt Strukturanalyse als ersten konkreten Schritt und Gruppenbildung als Skalierungswerkzeug. Der BSI-Bausteinkatalog (ORP.1, OPS.1, CON.3) liest das Register gegen die fünf Felder aus CIR §12.4. Ein gruppiertes Register mit benannten Prozessabhängigkeiten, klarer Verantwortlicher pro Eintrag und dokumentiertem Schutzbedarf ist das, was ein BSI-Prüfer in einer §30-BSIG-Prüfung erwartet.
ENISA Technical Implementation Guidance: Abschnitt 12 zum Management von Anlagen
Die ENISA Technical Implementation Guidance zur CIR 2024/2690 widmet Abschnitt 12 dem Management von Anlagen. Sie wiederholt die fünf Pflichtfelder, verweist auf den Prüfrhythmus aus §12.5 und benennt ISO/IEC 27001:2022 Anhang A.5.9 sowie ISO/IEC 27002 §5.9 als anerkannte Umsetzungsreferenzen. Die ENISA-Mapping-Tabelle (CC BY 4.0, v1.2, August 2025) übersetzt CIR §12 nach ISO 27001 A.5.9, NIST CSF 2.0 ID.AM und ETSI EN 319 401.
NL, AT und FR: ISO/IEC 27001:2022 Anhang A.5.9 trägt dieselben Felder
Das niederländische Cyberbeveiligingswet, das österreichische NISG und die französische Umsetzung lesen die CIR 2024/2690 §12 unmittelbar. Die nationale Auslegungshilfe verweist jeweils auf ISO/IEC 27001:2022 Anhang A.5.9 (Inventory of information and other associated assets) als anerkannte Nachweisform. Wer ein Register hat, das CIR §12.4 erfüllt, erfüllt sie alle. Die Felder zählen, nicht das Format.
Wir listen jedes Gerät einzeln, dann ist das Register vollständig.
Nein. BSI 200-2 §8.1 erlaubt die Gruppenbildung ausdrücklich. Ein Register mit 600 Notebook-Zeilen ist nicht lesbar und enthält keine Information, die ein 25-Zeilen-Register nicht auch trägt. Das BSI bewertet, ob die Einträge belastbar sind, nicht wie viele Zeilen Sie produzieren.
SaaS ist unsichtbar, weil es nicht in unserem Netz läuft, also lassen wir es weg.
Falsch. CIR §12.4 spricht von Anlagen, von denen die Einrichtung abhängt, und sieht das Feld Standort genau für diesen Fall vor. Ein SaaS-Dienst, von dem Ihre Rechnungsstellung abhängt, ist ein Eintrag, Standort ist der Dienstleister samt Region (etwa Salesforce, eu-west), und der Dienstleister steht parallel im Lieferantenregister nach CIR §5.
Wir bauen das Register aus dem Netzwerkscan und tragen die Verantwortlichen später nach.
Können Sie machen, dann bleibt das Feld Verantwortliche leer und der Schutzbedarf wird geraten. Beides ist nach CIR §12.4 Pflicht. Ohne den Prozessschritt aus BSI 200-2 §8.1 hat ein Eintrag keine begründbare Verantwortliche, weil kein Prozess auf ihn zeigt. Das Register fällt in der Prüfung durch, auch mit 600 Zeilen.
Ein Maschinenbauunternehmen im Sauerland mit 60 Beschäftigten hat elf Geschäftsprozesse abgebildet (Auftragseingang, Konstruktion, Einkauf, Produktionslinie A, Produktionslinie B, Qualität, Versand, Rechnungsstellung, Lohnabrechnung, Kundenservice, Fernwartung im After-Sales). Der Asset-Durchgang ergab zwölf gruppierte Einträge: ERP (eins), CAD und PLM (eins), MES in der Fertigung (eins), Datei- und Druckserver (eins, drei baugleiche Maschinen), die 50-Notebook-Flotte unter einem MDM-Profil (eins), zwei gruppierte CNC-Steuerungsfamilien (zwei), zentrale Netzwerktechnik (eins), Microsoft 365 (eins), Kundenservice-SaaS (eins), After-Sales-VPN-Appliance (eins), Standort Plettenberg (eins). Zwölf Einträge über IT und OT, jeweils mit Verantwortlicher, klarem Schutzbedarf und bekanntem Standort.
Das Register war in zwei Workshoptagen entworfen, eine Woche Nacharbeit für die Bestätigung von Verantwortlichen und Schutzbedarfen. Die jährliche Prüfung dauert einen halben Tag. Dieselben zwölf Einträge bilden das Rückgrat von Risikoregister, Lieferantenregister, Zugriffskonzept, BCM und Notfallhandbuch. Das 30.000 Euro teure CMDB-Projekt, das der Systemintegrator ursprünglich angeboten hatte, war nicht nötig. CIR §12.4 verlangt fünf Felder pro Eintrag, und BSI 200-2 §8.1 erlaubt die Gruppierung.
Die Plattform setzt CIR §12.4 direkt um: jeder Eintrag trägt die fünf Pflichtfelder (Kennung, Beschreibung, Verantwortliche, Schutzbedarf, Standort) plus ein Mengenfeld für gruppierte Einträge nach BSI 200-2 §8.1. Sie laufen die Prozesse durch, die im Risikomodul ohnehin abgebildet sind, und hängen die abhängigen Anlagen daran. Das Register bleibt zweistellig, nicht dreistellig.
Die jährliche Prüfung nach CIR §12.5 ist ein geplanter Vorgang mit benannter Verantwortlicher und Signatur im Audit-Trail. Bei wesentlichen Änderungen (neues SaaS, neue OT-Linie, Dienstleisterwechsel) öffnet sich ein Aktualisierungsschritt, statt zwölf Monate zu warten. Dasselbe Register speist die Verknüpfung zum Lieferantenregister nach CIR §5, das Zugriffskonzept nach CIR §11 und den Notfallplan, so dass die fünf Felder, die Sie einmal füllen, den Rest des Pflichtenregisters tragen.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(j): Mindestmaßnahmen im Risikomanagement umfassen Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen.
- Durchführungsverordnung (EU) 2024/2690 vom 17. Oktober 2024, Anhang §12 (Management von Anlagen): §12.4 listet die fünf Pflichtfelder (eindeutige Kennung, Beschreibung, Verantwortliche, Schutzbedarf, Standort); §12.5 setzt den Prüfrhythmus (geplante Abstände, mindestens jährlich, bei wesentlichen Änderungen).
- BSIG (Deutschland), §30 (Risikomanagementmaßnahmen), Umsetzung von Artikel 21 NIS 2.
- BSI-Standard 200-2 (IT-Grundschutz-Methodik), §8.1 (Strukturanalyse, Komplexitätsreduktion durch Gruppenbildung): gleichartige Objekte mit vergleichbaren Eigenschaften und vergleichbarem Schutzbedarf werden zu einem Eintrag zusammengefasst.
- ISO/IEC 27001:2022 Anhang A.5.9 (Inventory of information and other associated assets), in der ENISA Technical Implementation Guidance zur CIR 2024/2690 §12 als anerkannte Umsetzungsform genannt.