Verlangt NIS2 explizit ein Asset-Inventar?

NIS2 nennt kein Inventar als Selbstzweck, setzt es aber implizit voraus: Risikoanalyse, Patch- und Schwachstellenmanagement sowie Vorfallbehandlung sind ohne vollständige Asset-Kenntnis nicht belegbar. Ein aktuelles Inventar ist damit die faktische Grundlage der Konformität.

Was muss ein NIS2-taugliches Asset-Inventar enthalten?

Mindestens: Hardware und Software je System, Betriebssystem- und Patch-Stand, Verantwortliche, Netzwerkzuordnung und Kritikalität. Entscheidend ist, dass die Daten automatisch erhoben und kontinuierlich aktuell gehalten werden, statt in einer gepflegten Tabelle zu veralten.

Warum reicht eine manuelle Inventarliste nicht?

Manuelle Listen sind zum Zeitpunkt der Prüfung meist veraltet und erfassen keine Shadow IT. NIS2 fordert Nachweisbarkeit über die Zeit — das gelingt nur mit kontinuierlicher, automatisierter Erfassung direkt aus der Infrastruktur.

Wie deckt OneLog die Asset-Anforderungen ab?

OneLog erhebt Assets automatisch über den RMM-Agenten und über Netzwerk-Discovery, hält das Inventar laufend aktuell und verknüpft es direkt mit Patch- und Risiko-Status. Der Betrieb erfolgt EU-souverän in der STACKIT Sovereign Cloud.

NIS2

NIS2 Asset-Management: Man kann nur schützen, was man kennt

Jede NIS2-Pflicht — Risikobehandlung, Patch-Management, Vorfallreaktion — setzt voraus, dass Sie Ihre Assets vollständig kennen. Ein lückenloses, aktuelles Inventar ist deshalb keine Fleißaufgabe, sondern die Grundlage der Nachweisbarkeit.

Das Inventar ist der Anfang, nicht das Beiwerk

NIS2 wird oft über einzelne Maßnahmen diskutiert — Patches, Backups, Meldewege. Übersehen wird dabei die gemeinsame Voraussetzung: Jede dieser Maßnahmen bezieht sich auf konkrete Systeme. Wer seine Assets nicht vollständig kennt, kann weder Risiken bewerten noch Schwachstellen schließen noch im Ernstfall den betroffenen Umfang bestimmen.

Der Grundsatz lautet schlicht: Man kann nur schützen, was man kennt. Ein blinder Fleck im Inventar ist ein blinder Fleck in der gesamten Sicherheitsarchitektur.

Was NIS2 vom Asset-Management erwartet

NIS2 (Art. 21) verlangt risikobasierte technische und organisatorische Maßnahmen — und Nachweisbarkeit. Daraus ergeben sich für das Asset-Management konkrete Anforderungen:

Vollständigkeit. Alle relevanten Systeme erfasst, inklusive selten genutzter oder dezentraler Geräte.
Aktualität. Das Inventar bildet den Ist-Zustand ab, nicht den Stand der letzten Inventur.
Tiefe. Nicht nur „Gerät existiert“, sondern OS-Stand, installierte Software, Patch-Level, Verantwortliche und Kritikalität.
Verknüpfung. Asset-Daten müssen mit Risiko- und Patch-Status zusammenlaufen, sonst bleibt die Compliance Stückwerk.

Eine gepflegte Tabelle erfüllt keine dieser Anforderungen dauerhaft. Sie veraltet zwischen zwei Pflegeterminen und erfasst nichts, was niemand aktiv einträgt.

Der blinde Fleck: Shadow IT

Das größte Risiko im Inventar sind die Systeme, von denen niemand weiß: privat angeschlossene Geräte, vergessene Testserver, eigenmächtig installierte Software, ungemanagte Cloud-Dienste. Genau diese Shadow IT taucht in keiner manuellen Liste auf — und wird im Schadensfall zum Einfallstor.

Ein NIS2-taugliches Asset-Management muss deshalb aktiv nach Unbekanntem suchen, nicht nur Bekanntes verwalten. Mehr dazu unter Shadow-IT-Erkennung.

Wie OneLog das Inventar tragfähig macht

OneLog behandelt das Asset-Inventar als lebende Datenbasis, nicht als Dokument:

Automatische Erfassung über den RMM-Agenten und ergänzende Netzwerk-Discovery — neue und veränderte Systeme werden erkannt, ohne dass jemand sie eintragen muss.
Kontinuierliche Aktualität. Hardware, Software und Patch-Stand werden laufend abgeglichen, sodass das Inventar den realen Zustand widerspiegelt.
Direkte NIS2-Verknüpfung. Asset-Daten sind mit Patch- und Risiko-Status gekoppelt, was die Nachweise für Patch-Management und Risikobehandlung erst belastbar macht.
Souveräner Betrieb. Erhebung und Speicherung erfolgen EU-souverän in der STACKIT Sovereign Cloud, ohne US-Cloud-Exposure — die Inventardaten Ihrer gesamten Flotte bleiben unter EU-Jurisdiktion.

Faire Einordnung

Ein automatisiertes Inventar ersetzt nicht die organisatorische Verantwortung — Kritikalität und Zuständigkeiten muss weiterhin Ihr Team festlegen. OneLog liefert die belastbare, aktuelle Datengrundlage dafür und nimmt die Fleißarbeit der Erhebung ab. Das ist der Unterschied zwischen einem Inventar, das bei der nächsten Prüfung trägt, und einer Tabelle, die im Moment des Audits bereits überholt ist.

Häufige Fragen

Verlangt NIS2 explizit ein Asset-Inventar?: NIS2 nennt kein Inventar als Selbstzweck, setzt es aber implizit voraus: Risikoanalyse, Patch- und Schwachstellenmanagement sowie Vorfallbehandlung sind ohne vollständige Asset-Kenntnis nicht belegbar. Ein aktuelles Inventar ist damit die faktische Grundlage der Konformität.
Was muss ein NIS2-taugliches Asset-Inventar enthalten?: Mindestens: Hardware und Software je System, Betriebssystem- und Patch-Stand, Verantwortliche, Netzwerkzuordnung und Kritikalität. Entscheidend ist, dass die Daten automatisch erhoben und kontinuierlich aktuell gehalten werden, statt in einer gepflegten Tabelle zu veralten.
Warum reicht eine manuelle Inventarliste nicht?: Manuelle Listen sind zum Zeitpunkt der Prüfung meist veraltet und erfassen keine Shadow IT. NIS2 fordert Nachweisbarkeit über die Zeit — das gelingt nur mit kontinuierlicher, automatisierter Erfassung direkt aus der Infrastruktur.
Wie deckt OneLog die Asset-Anforderungen ab?: OneLog erhebt Assets automatisch über den RMM-Agenten und über Netzwerk-Discovery, hält das Inventar laufend aktuell und verknüpft es direkt mit Patch- und Risiko-Status. Der Betrieb erfolgt EU-souverän in der STACKIT Sovereign Cloud.

Weiterlesen

OneLog in Ihrer Umgebung sehen

Souveränes, NIS2-konformes RMM mit autonomer Remediation — EU-gehostet, kein US-Cloud-Exposure.

OneLog testen Mit dem Gründer sprechen