Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
zarządzanie aktywami NIS 2

Zarządzanie aktywami w NIS 2

21.05.2026

zarządzanie aktywami NIS 2

Nie zabezpieczysz tego, czego nie znasz

W poprzednich wpisach z serii NIS 2 przeszliśmy przez kontrolę dostępu: politykę uprawnień, konta uprzywilejowane, systemy administracyjne, identyfikację, uwierzytelnianie i MFA.

To był obszar odpowiedzi na pytanie: kto ma dostęp i na jakich zasadach?

Teraz przechodzimy krok dalej.

Bo nawet najlepsza kontrola dostępu nie ma sensu, jeżeli organizacja nie wie dokładnie, do czego ten dostęp jest nadawany.

Wytyczne ENISA w rozdziale dotyczącym zarządzania aktywami pokazują bardzo jasno: zarządzanie bezpieczeństwem zaczyna się od wiedzy o tym, co organizacja posiada, przetwarza, wykorzystuje, chroni i przekazuje dalej.

Nie da się skutecznie chronić systemów, informacji, urządzeń, usług, nośników i danych, jeżeli nie są one zidentyfikowane, sklasyfikowane i przypisane do konkretnych zasad postępowania.

Zarządzanie aktywami w NIS 2 nie jest więc ewidencją sprzętu dla księgowości.
To jeden z fundamentów zarządzania ryzykiem.

Aktywo to nie tylko laptop

W praktyce wiele organizacji nadal myśli o aktywach bardzo wąsko. Aktywo kojarzy się ze sprzętem: komputerem, telefonem, serwerem, drukarką, routerem.

ENISA patrzy na to znacznie szerzej.

Aktywami są nie tylko urządzenia, ale także informacje, systemy, usługi, oprogramowanie, dane, nośniki, elementy infrastruktury, lokalizacje, a nawet zasoby wspierające działanie organizacji.

To ważne, bo NIS 2 nie pyta wyłącznie o to, czy organizacja ma listę komputerów. Pyta raczej, czy organizacja rozumie, które zasoby są istotne dla bezpieczeństwa sieci i systemów informacyjnych oraz jaki poziom ochrony powinien być do nich przypisany.

Innymi słowy: nie chodzi o samo posiadanie spisu aktywów. Chodzi o to, czy ten spis pomaga podejmować decyzje o bezpieczeństwie.

Klasyfikacja aktywów: od informacji do poziomu ochrony

Pierwszym elementem zarządzania aktywami jest klasyfikacja.

ENISA wskazuje, że organizacja powinna ustanowić poziomy klasyfikacji dla wszystkich aktywów objętych zakresem sieci i systemów informacyjnych. Dotyczy to również informacji.

Klasyfikacja ma odpowiadać na pytanie: jakiego poziomu ochrony wymaga dane aktywo?

Nie wszystkie informacje i systemy są tak samo ważne. Nie wszystkie wymagają tego samego poziomu poufności, integralności, autentyczności czy dostępności.

Dlatego klasyfikacja powinna być oparta na takich elementach jak:

  • wrażliwość informacji,
  • krytyczność aktywa,
  • wartość biznesowa,
  • poziom ryzyka,
  • wymagania dotyczące dostępności,
  • wymagania prawne i organizacyjne.

To oznacza, że klasyfikacja nie jest etykietą dla porządku. Jest decyzją o tym, jak aktywo ma być chronione.

Publiczne, wewnętrzne, poufne: proste nazwy, poważne konsekwencje

ENISA jako przykład wskazuje możliwość stosowania klasyfikacji informacji w podziale na poziomy takie jak: publiczne, wewnętrzne i poufne.

Najważniejsze nie są jednak same nazwy. Najważniejsze jest to, aby za każdą nazwą szły konkretne zasady ochrony.

Informacja publiczna może być swobodnie udostępniana. Informacja wewnętrzna powinna pozostawać w organizacji. Informacja poufna powinna być dostępna tylko dla tych osób, których obowiązki rzeczywiście tego wymagają.

Jeżeli organizacja klasyfikuje dane jako poufne, ale nie zmienia sposobu ich przechowywania, przekazywania, udostępniania i usuwania, to klasyfikacja jest tylko formalnością.

A w NIS 2 formalność bez działania nie buduje bezpieczeństwa.

Klasyfikacja musi łączyć się z dostępem, ciągłością działania i ryzykiem

Bardzo ważne jest to, że ENISA nie traktuje klasyfikacji aktywów jako osobnego dokumentu oderwanego od reszty systemu.

Klasyfikacja musi łączyć się z innymi procesami.

Po pierwsze, z kontrolą dostępu. Jeżeli dane aktywo ma wyższy poziom klasyfikacji, dostęp do niego powinien być odpowiednio ograniczony i zgodny z polityką dostępu.

Po drugie, z ciągłością działania. Wymagania dotyczące dostępności aktywów powinny być zgodne z celami dostarczania usług i odzyskiwania określonymi w planach BCP i DRP.

Po trzecie, z oceną ryzyka. To ryzyko, wrażliwość i krytyczność aktywa powinny wpływać na poziom ochrony.

W praktyce oznacza to, że klasyfikacja aktywów jest jednym z miejsc, gdzie spotykają się różne obszary NIS 2: dostęp, ryzyko, ciągłość działania, ochrona informacji i odpowiedzialność właścicieli aktywów.

Właściciel aktywa powinien wiedzieć, co chroni

Jednym z praktycznych wniosków z wytycznych jest to, że klasyfikacja aktywów nie powinna być anonimowa.

ENISA wskazuje, że właściciele aktywów powinni być odpowiedzialni za ich klasyfikację. To bardzo ważne, bo tylko osoba lub jednostka odpowiedzialna za dane aktywo może właściwie ocenić jego znaczenie biznesowe, wrażliwość i krytyczność.

Administrator techniczny może wiedzieć, gdzie system działa.
Właściciel biznesowy powinien wiedzieć, jakie znaczenie ma dla organizacji.

Bez tego klasyfikacja często staje się sztuczna, bo nie odzwierciedla realnego wykorzystania aktywa.

Klasyfikacja nie jest nadawana raz na zawsze

Aktywa zmieniają się w czasie.

System, który dziś jest pomocniczy, za kilka miesięcy może stać się krytyczny. Dane, które kiedyś miały ograniczone znaczenie, mogą zyskać wysoką wartość biznesową. Zmieniają się regulacje, procesy, usługi i zależności.

Dlatego ENISA wymaga okresowych przeglądów klasyfikacji.

Klasyfikacja powinna być weryfikowana co najmniej raz w roku oraz wtedy, gdy zmienia się wartość, wrażliwość lub krytyczność aktywa.

To szczególnie ważne w organizacjach, które szybko wdrażają nowe systemy, zmieniają model pracy, korzystają z usług chmurowych albo współpracują z wieloma dostawcami.

Brak przeglądu klasyfikacji oznacza, że organizacja może chronić aktywa według starego obrazu rzeczywistości.

A stary obraz rzeczywistości bardzo szybko przestaje być bezpieczny.

Obsługa aktywów: co wolno zrobić z informacją, sprzętem i nośnikiem?

Sama klasyfikacja nie wystarcza.

Jeżeli organizacja wie, że dane aktywo jest ważne, musi jeszcze określić, jak należy z nim postępować.

ENISA wymaga ustanowienia polityki właściwego postępowania z aktywami. Taka polityka powinna być zgodna z polityką bezpieczeństwa sieci i systemów informacyjnych oraz komunikowana wszystkim osobom, które z aktywów korzystają lub je obsługują.

Dotyczy to nie tylko pracowników, ale także dostawców, usługodawców i innych stron trzecich, jeżeli mają kontakt z aktywami organizacji.

W praktyce polityka obsługi aktywów powinna obejmować cały cykl życia aktywa:

  • pozyskanie,
  • używanie,
  • przechowywanie,
  • transport,
  • przekazanie,
  • usunięcie,
  • zniszczenie.

To podejście jest bardzo praktyczne. Aktywo nie jest bezpieczne tylko wtedy, gdy znajduje się w systemie. Ryzyko pojawia się również wtedy, gdy jest przenoszone, przechowywane poza organizacją, oddawane do serwisu, migrowane do chmury albo usuwane.

Bezpieczne używanie, przechowywanie, transport i usuwanie

Wytyczne ENISA wskazują, że polityka obsługi aktywów powinna określać zasady bezpiecznego użycia, przechowywania, transportu oraz nieodwracalnego usuwania i niszczenia aktywów.

To oznacza, że organizacja powinna wiedzieć:

  • gdzie aktywo może być przechowywane,
  • kto może je przenosić,
  • kiedy można je wynieść poza siedzibę,
  • jak zabezpieczyć je w transporcie,
  • jak usunąć dane w sposób nieodwracalny,
  • kiedy konieczne jest fizyczne zniszczenie nośnika.

W tym miejscu bardzo dobrze widać, że zarządzanie aktywami łączy cyberbezpieczeństwo z fizycznym bezpieczeństwem organizacji.

Informacja może być zaszyfrowana, ale jeżeli nośnik z danymi jest wynoszony bez kontroli, ryzyko nadal istnieje.

Mobile, BYOD i dane poza organizacją

ENISA wyraźnie zwraca uwagę na urządzenia mobilne, takie jak smartfony i tablety, oraz na strategię zarządzania nimi. W wytycznych pojawia się również odniesienie do BYOD, czyli używania prywatnych urządzeń do celów służbowych.

To ważny obszar, bo współczesne aktywa coraz częściej nie znajdują się wyłącznie „w biurze”.

Dane mogą być:

  • na telefonach,
  • na laptopach,
  • w usługach chmurowych,
  • na prywatnych urządzeniach,
  • w danych tymczasowych przemieszczających się między systemami,
  • w urządzeniach lub pojazdach, które lokalnie przechowują dane i przekazują je dalej.

Organizacja musi więc określić, jak takie aktywa są chronione, kto może z nich korzystać i co dzieje się z informacją, gdy urządzenie przestaje być używane.

Nośniki wymienne: małe urządzenie, duże ryzyko

Osobny fragment wytycznych ENISA dotyczy nośników wymiennych.

I bardzo słusznie, bo nośniki wymienne są jednym z tych elementów, które często wymykają się codziennej kontroli. Pendrive, dysk zewnętrzny, karta pamięci czy inne urządzenie przenośne mogą być wygodne, ale mogą też stanowić realny kanał wycieku danych albo wprowadzenia złośliwego oprogramowania.

ENISA wymaga ustanowienia polityki zarządzania nośnikami wymiennymi i komunikowania jej pracownikom oraz stronom trzecim, które z takich nośników korzystają.

Polityka powinna przewidywać, że podłączanie nośników jest technicznie zabronione, chyba że istnieje organizacyjny powód ich użycia.

To bardzo mocne i praktyczne założenie: nośnik wymienny nie jest dozwolony „domyślnie”. Musi istnieć uzasadnienie.

Autorun, skanowanie, szyfrowanie i kontrola

Wytyczne wskazują kilka konkretnych mechanizmów ochrony nośników wymiennych.

Po pierwsze, należy wyłączyć automatyczne uruchamianie z takich nośników. Chodzi o ograniczenie ryzyka automatycznego wykonania złośliwego oprogramowania.

Po drugie, nośniki powinny być skanowane pod kątem złośliwego kodu przed użyciem lub w czasie rzeczywistym, jeżeli ich użycie jest dopuszczone.

Po trzecie, dane wrażliwe przechowywane na nośnikach powinny być chronione kryptograficznie.

Po czwarte, należy kontrolować przechowywanie i transport nośników, szczególnie wtedy, gdy zawierają informacje o wyższej klasyfikacji.

To są rozwiązania techniczne, ale ich sens jest organizacyjny: nośnik wymienny ma być wyjątkiem pod kontrolą, a nie codzienną praktyką bez nadzoru.

Inwentaryzacja aktywów: nie lista, tylko obraz organizacji

Jednym z centralnych wymogów tego rozdziału jest obowiązek prowadzenia kompletnej, dokładnej, aktualnej i spójnej inwentaryzacji aktywów.

To brzmi jak coś oczywistego. W praktyce bywa jednym z najtrudniejszych obszarów.

Dlaczego?

Bo organizacje często mają wiele równoległych źródeł prawdy: osobny rejestr sprzętu, osobny rejestr licencji, osobne narzędzia IT, osobne informacje u dostawców, osobne arkusze w działach biznesowych.

ENISA oczekuje czegoś więcej niż rozproszonych list.

Inwentaryzacja powinna obejmować aktywa istotne dla operacji i usług organizacji, w tym:

  • sprzęt,
  • oprogramowanie,
  • dane,
  • usługi,
  • systemy,
  • aktywa wspierające,
  • relacje między aktywami.

Co ważne, zmiany w inwentaryzacji powinny być rejestrowane w sposób umożliwiający ich prześledzenie.

Jeżeli nie wiadomo, kiedy aktywo się pojawiło, kto je zmienił, kiedy zostało wycofane albo jaka jest jego aktualna klasyfikacja, to inwentaryzacja nie wspiera bezpieczeństwa. Jest tylko tabelą.

Co powinno znaleźć się w inwentaryzacji?

ENISA wskazuje, że szczegółowość inwentaryzacji powinna być adekwatna do potrzeb organizacji. Nie chodzi o nadmierną biurokrację, ale o taki poziom informacji, który pozwala zarządzać ryzykiem.

W praktyce warto, aby inwentaryzacja zawierała m.in.:

  • unikalny identyfikator aktywa,
  • typ aktywa,
  • właściciela aktywa,
  • jednostkę odpowiedzialną,
  • lokalizację,
  • opis,
  • datę ostatniej aktualizacji lub poprawki,
  • klasyfikację aktywa,
  • rodzaj przetwarzanych informacji,
  • termin końca życia, jeżeli ma zastosowanie,
  • powiązania z innymi aktywami,
  • wymagania dotyczące logowania.

To właśnie te informacje pozwalają odpowiedzieć na pytania, które realnie pojawiają się przy incydencie, audycie albo zmianie systemu:

  • gdzie jest aktywo,
  • kto za nie odpowiada,
  • jakie dane przetwarza,
  • czy jest aktualne,
  • czy jest krytyczne,
  • od czego zależy,
  • co się stanie, jeśli przestanie działać.

Aktualność inwentaryzacji jest ważniejsza niż jej format

Inwentaryzacja może być prowadzona w dedykowanym narzędziu, w systemie zarządzania aktywami, z wykorzystaniem automatycznego wykrywania, ale może też opierać się na procedurach ręcznych, jeżeli są skuteczne.

Najważniejsze jest to, aby była aktualna, kompletna i możliwa do zweryfikowania.

ENISA zaleca regularne przeglądy oraz dokumentowanie historii zmian. Wskazuje również na możliwość stosowania narzędzi automatycznego wykrywania i monitorowania aktywów, zarówno lokalnych, jak i chmurowych.

To szczególnie istotne, bo w środowiskach nowoczesnych aktywa pojawiają się i znikają szybko. Maszyny wirtualne, usługi chmurowe, kontenery, środowiska testowe, integracje i usługi zewnętrzne mogą powstać znacznie szybciej, niż zostaną formalnie ujęte w dokumentacji.

A aktywo, którego nie ma w inwentaryzacji, bardzo łatwo staje się aktywem poza kontrolą.

Odejście pracownika: aktywa nie mogą odejść razem z nim

Ostatni element rozdziału dotyczy zwrotu, zdeponowania lub usunięcia aktywów po zakończeniu zatrudnienia albo współpracy.

To bardzo praktyczny i często zaniedbywany obszar.

Organizacja powinna mieć procedury, które zapewniają, że aktywa znajdujące się pod opieką pracownika lub współpracownika zostaną:

  • zwrócone,
  • zdeponowane,
  • albo nieodwracalnie usunięte.

Dotyczy to m.in. komputerów, telefonów, tabletów, przenośnych nośników, specjalistycznego sprzętu, kart dostępu, kluczy, tokenów, smart cardów oraz fizycznych kopii informacji.

Ważne jest, aby proces był powiązany z inwentaryzacją. Organizacja musi wiedzieć, jakie aktywa zostały przypisane do danej osoby, żeby móc skutecznie je odzyskać lub zabezpieczyć.

A jeśli zwrot nie jest możliwy?

ENISA przewiduje również sytuacje, w których zwrot, zdeponowanie albo usunięcie aktywa nie jest możliwe.

Wtedy organizacja powinna zapewnić, że takie aktywo nie będzie mogło uzyskać dostępu do sieci i systemów informacyjnych.

W praktyce może to oznaczać m.in.:

  • cofnięcie lub wyłączenie powiązanych danych uwierzytelniających,
  • odizolowanie aktywa,
  • ograniczenie komunikacji przez reguły dostępu,
  • blokadę ruchu sieciowego,
  • fizyczne lub logiczne wyłączenie interfejsów,
  • monitorowanie prób dostępu.

To bardzo ważne, bo ryzyko nie kończy się w dniu odejścia pracownika. Kończy się dopiero wtedy, gdy organizacja ma pewność, że dostęp i aktywa zostały rozliczone.

Zarządzanie aktywami jako fundament zgodności z NIS 2

Cały ten obszar można sprowadzić do jednego prostego zdania:

nie da się zarządzać ryzykiem, jeżeli nie wiadomo, czego to ryzyko dotyczy.

Zarządzanie aktywami w NIS 2 to nie administracyjna lista rzeczy. To mechanizm, który łączy:

  • klasyfikację informacji,
  • kontrolę dostępu,
  • ciągłość działania,
  • bezpieczeństwo nośników,
  • ochronę danych,
  • procesy HR,
  • zarządzanie dostawcami,
  • reagowanie na incydenty.

Jeżeli organizacja nie zna swoich aktywów, nie wie, jak są sklasyfikowane, kto za nie odpowiada, gdzie się znajdują i jak są obsługiwane, to nie ma realnej kontroli nad bezpieczeństwem.

Może mieć narzędzia.
Może mieć polityki.
Może mieć szkolenia.

Ale bez wiedzy o aktywach nie wie, co naprawdę chroni.

Co dalej w serii NIS 2?

W kolejnym wpisie przejdziemy do ostatniego obszaru wytycznych ENISA: bezpieczeństwa fizycznego i środowiskowego.

Czyli do pytania, które bywa brutalnie praktyczne:

co z cyberbezpieczeństwem, jeśli zabraknie zasilania, ktoś wejdzie tam, gdzie nie powinien, albo infrastruktura fizyczna przestanie działać?

Bo NIS 2 nie kończy się na systemach.
Kończy się dopiero tam, gdzie kończy się odporność organizacji.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści