NIS2 in der Praxis – Teil 12: Asset Management – Ohne Inventar kein Schutz

Meta-Description (Vorschlag): NIS2 verlangt ein systematisches Asset Management: Klassifizierung, Behandlung von Anlagen und Werten, Wechseldatenträger-Konzept, Inventar und Offboarding-Regeln. Dieser Beitrag zeigt, wie Sie Annex 12 der NIS2UmsVO praktisch umsetzen und mit Risikomanagement, Zugriffskontrolle und HR-Prozessen verzahnen.

1. Warum Asset Management unter NIS2 eine Schlüsselrolle spielt

Viele NIS2-Projekte starten bei „Maßnahmen“ – Firewalls, Backup, Monitoring, Schulungen. Aber: Ohne Überblick über Anlagen und Werte bleibt jedes Sicherheitskonzept Stückwerk.

Genau deshalb widmet die NIS2-Umsetzungsverordnung (NIS2UmsVO) dem Thema ein eigenes Kapitel im Annex:

12. ANLAGEN- UND WERTEMANAGEMENT mit den Unterpunkten:

• 12.1 Anlagen- und Werteklassifizierung
• 12.2 Behandlung von Anlagen und Werten
• 12.3 Konzept für Wechseldatenträger
• 12.4 Anlagen- und Werteinventar
• 12.5 Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses

Auf nis2-umsetzung.com sind diese Anforderungen bereits einzeln aufbereitet – mit Originaltext, vereinfachter Erklärung und Auditfragen:

👉 Kategorie: 12. ANLAGEN- UND WERTEMANAGEMENT

Der Annex der NIS2UmsVO selbst wird auf eurer Seite als „Goldstandard“ für Cybersicherheitsanforderungen erläutert: Er konkretisiert Art. 21 NIS2 und §30 BSIG und macht aus „allgemeinen Pflichten“ sehr konkrete Maßnahmenblöcke.

2. 12.1 Anlagen- und Werteklassifizierung – Schutzbedarf sichtbar machen

Unter 12.1 Anlagen- und Werteklassifizierung verlangt die NIS2UmsVO, dass Einrichtungen:

• ein System zur Klassifizierung all ihrer Anlagen und Werte entwickeln,
• und diesen Schutzstufen zuordnen – basierend auf Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit.

Eure Seite fasst es prägnant zusammen:

„Erfüllen Sie die NIS2-Anforderungen: Entwickeln Sie ein System zur Klassifizierung von Anlagen nach Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit, mit regelmäßigen Überprüfungen.“

Praktisch bedeutet das:

• Identifikation der relevanten Assets (Systeme, Anwendungen, Daten, Infrastruktur, Dienste),
• Zuordnung zu Schutzstufen (z. B. „normal“, „hoch“, „sehr hoch“),
• Kriterienkatalog (Was ist kritisch in Bezug auf Verfügbarkeit? Was in Bezug auf Vertraulichkeit?),
• regelmäßige Überprüfung und Aktualisierung.

Ohne diese Klassifizierung ist ein risikobasiertes Vorgehen – also das Herzstück von NIS2 – kaum möglich.

👉 Detailseite 12.1: Anlagen- und Werteklassifizierung

3. 12.4 Anlagen- und Werteinventar – die praktische Grundlage

Die Klassifizierung ist die „Theorie“, das Inventar ist die „Praxis“.

Unter 12.4 Anlagen- und Werteinventar verlangt die NIS2UmsVO u. a.:

• ein vollständiges, genaues, aktuelles und kohärentes Inventar der Anlagen und Werte,
• Dokumentation von Änderungen im Inventar,
• ein Detaillierungsgrad, der zu den Bedürfnissen der Organisation passt.

Euer Artikel fasst das so zusammen:

„Ein gut gepflegtes Anlagen- und Werteinventar bildet die Grundlage für effektives Risikomanagement und Sicherheit.“

Typische Angaben im Inventar (abhängig von Organisation und Größe):

• eindeutige Bezeichnung / ID,
• Asset-Typ (System, Anwendung, Gerät, Datenbestand, Dienst),
• Eigentümer:in / Verantwortliche Rolle,
• Standort (physisch / logisch),
• Klassifizierung (gemäß 12.1),
• Abhängigkeiten (z. B. welche Prozesse/Dienste dieses Asset nutzen),
• Betriebsstatus (produktiv, Test, außer Betrieb).

👉 Detailseite 12.4: Anlagen- und Werteinventar

4. 12.2 Behandlung von Anlagen und Werten – Regeln für Nutzung, Transport & Entsorgung

Klassifizierte und inventarisierte Assets brauchen Regeln für den Umgang. Genau das greift 12.2 Behandlung von Anlagen und Werten auf.

Euer Artikel bringt es auf den Punkt:

„Mit klaren Richtlinien für Verwendung, Speicherung, Transport und Entsorgung sowie regelmäßigen Überprüfungen erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und gewährleisten den Schutz sensibler Ressourcen.“

Praktische Bausteine:

• Richtlinien für Nutzung (z. B. welche Daten dürfen auf mobilen Geräten liegen, was ist privat/beruflich),
• Vorgaben für Speicherung (z. B. verschlüsselte Laufwerke, geschützte Fileshares, Cloud-Richtlinien),
• Regeln zum Transport (verschlüsselte Datenträger, sicherer Versand, keine ungeschützten USB-Sticks),
• Entsorgungskonzepte (sichere Datenlöschung, Vernichtung von Datenträgern, dokumentierte Entsorgung).

👉 Detailseite 12.2: Behandlung von Anlagen und Werten

5. 12.3 Konzept für Wechseldatenträger – USB-Sticks & Co. im Griff behalten

Wechseldatenträger (USB-Sticks, externe Festplatten, SD-Karten, mobile Medien) sind ein klassischer Angriffs- und Datenabflusskanal.

Unter 12.3 Konzept für Wechseldatenträger fordert NIS2 daher ein eigenes Managementkonzept. Eure Seite fasst das prägnant zusammen:

„Erfüllen Sie die NIS2-Anforderungen: Entwickeln Sie ein Konzept zur sicheren Nutzung von Wechseldatenträgern, mit technischer Sperrung, Schadcode-Scans und optionaler Verschlüsselung.“

Praktische Elemente:

• technische Sperrung bzw. Einschränkung von USB-Ports, wo möglich,
• verpflichtende Malware-Scans, bevor Medien an produktive Systeme angeschlossen werden,
• Vorgaben zur Verschlüsselung sensibler Daten auf Wechseldatenträgern,
• klare Regeln, ob und wie private Datenträger genutzt werden dürfen (idealerweise gar nicht),
• Integration in Schulungen und Cyberhygiene (Teil 8 der Reihe).

👉 Detailseite 12.3: Konzept für Wechseldatenträger

6. 12.5 Abgabe, Rückgabe oder Löschung – wenn Mitarbeitende das Unternehmen verlassen

Unter 12.5 Abgabe, Rückgabe oder Löschung von Anlagen und Werten bei Beendigung des Beschäftigungsverhältnisses verlangt die NIS2UmsVO:

• Verfahren, um sicherzustellen, dass Anlagen und Werte in Verwahrung des Personals
• bei Beendigung des Beschäftigungsverhältnisses abgegeben, zurückgegeben oder gelöscht werden,
• sowie Dokumentation dieser Vorgänge.

Damit schließt Kapitel 12 direkt an die Themen aus Kapitel 10 – Sicherheit des Personals an (On-/Offboarding, Disziplinarverfahren).

Praktisch bedeutet das:

• Offboarding-Checklisten, die Assets & Berechtigungen abdecken,
• Abgleich mit dem Anlagen- und Werteinventar (12.4),
• dokumentierte Rückgabe von Geräten, Token, Schlüsseln, Unterlagen,
• sichere Datenlöschung, wo keine Rückgabe möglich ist (z. B. private Geräte bei BYOD-Verbot).

👉 Detailseite 12.5: Abgabe, Rückgabe oder Löschung …

7. Verzahnung mit anderen NIS2-Bausteinen

Asset Management ist kein isolierter Bereich, sondern vernetzt sich mit fast allen anderen Kapiteln:

• Risikomanagement (Kapitel 2): Klassifizierung (12.1) und Inventar (12.4) liefern die Basis, auf der Risiken bewertet werden.
• Cyberhygiene & Schulungen (Kapitel 8): Mitarbeitende müssen wissen, wie mit Geräten, Datenträgern und sensiblen Informationen umzugehen ist (12.2, 12.3).
• Sicherheit des Personals (Kapitel 10): Offboarding, Verantwortlichkeiten und Disziplinarmaßnahmen greifen direkt auf 12.5 zurück.
• Zugriffskontrolle (Kapitel 11): Ohne Klarheit über Assets ist kein sinnvolles Rollen- und Berechtigungskonzept möglich.

8. Praxisfahrplan: In 5 Schritten zum NIS2-fähigen Asset Management

1. Scope & Zielbild definieren: Welche Netze, Systeme und Dienste fallen in den NIS2-Anwendungsbereich? Welche Asset-Typen sollen geführt werden?
2. Klassifizierungssystem entwickeln (12.1): Schutzstufen und Kriterien definieren (CIA + Authentizität) und Verantwortungen festlegen.
3. Inventar aufbauen bzw. konsolidieren (12.4): vorhandene Listen zusammenführen, Lücken schließen, Prozesse zur Aktualisierung etablieren.
4. Umgangsregeln & Wechseldatenträger-Konzept definieren (12.2 & 12.3): Nutzung/Speicherung/Transport/Entsorgung regeln und technisch flankieren.
5. Offboarding & HR-Prozesse anpassen (12.5): Checklisten, dokumentierte Rückgabe/Löschung, regelmäßige Überprüfung der Praxis.

Zur Strukturierung hilft eure NIS2-Checkliste, die alle 13 Kapitel der NIS2UmsVO als Umsetzungsliste abbildet:

👉 NIS2-Checkliste

9. Weiterführende Inhalte auf nis2-umsetzung.com

• 👉 12. ANLAGEN- UND WERTEMANAGEMENT – Übersicht
• 👉 12.1 Anlagen- und Werteklassifizierung
• 👉 12.2 Behandlung von Anlagen und Werten
• 👉 12.3 Konzept für Wechseldatenträger
• 👉 12.4 Anlagen- und Werteinventar
• 👉 12.5 Abgabe, Rückgabe oder Löschung …
• 👉 Annex der NIS2UmsVO – Überblick & Goldstandard

10. Frage an SIE

Haben Sie heute ein vollständiges, aktuelles und gelebtes Anlagen- und Werteinventar, das Sie ruhigen Gewissens einer Aufsicht oder einem Prüfer vorlegen würden – oder müssten Sie erst einmal „zusammensuchen“, welche Assets in Ihrem NIS2-Bereich überhaupt existieren?