NIS2-Asset-Management: Was erwartet das BSI?
Inventar, Klassifizierung, Tools: Was verlangt das BSI bei NIS2-Asset-Management von KMU? Praktische Umsetzungs-Hinweise — Stand 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-06-15
NIS2-Asset-Management: Was erwartet das BSI?
Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.
Warum Asset-Management der unterschätzte Eckpfeiler ist
Asset-Management taucht in Art. 21 NIS2 nicht als eigene Maßnahme auf — es ist implizite Voraussetzung für mindestens fünf der elf Mindestmaßnahmen:
- Risikomanagement (lit. a) — ohne Inventar keine Risiken bewertbar
- Vorfalls-Bewältigung (lit. b) — ohne Inventar keine Eindämmung priorisierbar
- Sicherheit der Lieferkette (lit. d) — ohne Lieferanten-Inventar keine Drittparteien-Sicherheit
- Verfahren zur Verschlüsselung (lit. h) — ohne Inventar keine Daten-Klassifikation
- Personalsicherheit (lit. i) — ohne Account-Inventar keine Zugangskontrolle
In der Aufsichtspraxis (EU-Vorreiter-Staaten) zeigt sich: ein lückenhaftes Asset-Management ist der häufigste Grund, warum Selbsteinschätzungen revidiert werden müssen. „Wir wussten nicht, dass dieser Server überhaupt existiert" ist der Klassiker bei Audits.
Asset-Management ist eine Reise, kein Projekt
Vollständiges Asset-Management ist in praktisch keiner Organisation erreichbar — IT-Systeme verändern sich täglich. Was zählt: ein laufender Prozess mit definierten Owner, der die wichtigsten Assets aktuell hält. 80% Vollständigkeit bei den Kronjuwelen schlägt 95% bei einer Momentaufnahme, die nach 3 Monaten veraltet ist.
Was das BSI methodisch erwartet
Die BSI-Methodik aus dem IT-Grundschutz und ISO 27001 konvergiert auf einen vierstufigen Prozess:
Stufe 1: Strukturanalyse
- Identifikation aller relevanten Assets (Hardware, Software, Daten, Räume, Mitarbeitende)
- Erfassung der Verknüpfungen und Abhängigkeiten
- Gruppierung in Anwendungsverbünde
Stufe 2: Schutzbedarfsfeststellung
- Klassifikation pro Asset nach den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit
- Skalierung: normal / hoch / sehr hoch
- Begründung pro Klassifikation dokumentieren
Stufe 3: Modellierung
- Zuordnung von Schutzmaßnahmen-Bausteinen je nach Asset-Typ und Schutzbedarf
- Anwendung des IT-Grundschutz-Kompendiums oder ISO-27002-Controls
Stufe 4: Soll-Ist-Vergleich
- Welche Maßnahmen sind umgesetzt?
- Welche fehlen?
- Wie ist der Umsetzungs-Plan?
Diese Methodik ist in den BSI IT-Grundschutz-Dokumenten detailliert beschrieben. Für NIS2-Compliance reicht eine vereinfachte Variante — die volle Grundschutz-Methodik ist eher relevant für eine spätere ISO-27001-Zertifizierung.
Asset-Kategorien für die Praxis
| Kategorie | Beispiele | Typisch erfasste Attribute |
|---|---|---|
| Server (physisch + virtuell) | Domain-Controller, App-Server, DB-Server | Hostname, IP, OS, Owner, Standort |
| Endgeräte | Laptops, Workstations, Smartphones | Asset-Tag, MA-Zuordnung, OS-Version, MDM-Status |
| Netzwerk-Komponenten | Switches, Router, Firewalls, AP | Modell, Firmware, IP, Standort |
| Cloud-Services | M365, Salesforce, AWS-Konten | Tenant-ID, Owner, SLA, Datenklassifikation |
| Applikationen | ERP, CRM, Custom-Apps | Version, Lizenz, Owner, Schutzbedarf |
| Datenbestände | Personaldaten, Finanzdaten, IP | Speicherort, Klassifikation, Rechtsgrundlage |
| Lieferanten/Drittparteien | Hosting, Cloud, IT-Dienstleister | Name, Vertrag, Risiko-Klasse |
| Räume | Serverräume, Büros mit Wertgegenständen | Standort, Zutrittskontrolle, Schutzklasse |
| Mitarbeitende | nicht im engeren Sinne Asset, aber wichtig | Rolle, Berechtigung, Vertraulichkeitsstufe |
Mindest-Datenfelder pro Asset
Für jedes Asset sollten mindestens diese Felder gepflegt sein:
- Eindeutige ID (kein „Drucker im 2. Stock", sondern z.B. DRU-2OG-003)
- Bezeichnung und Modell
- Owner — verantwortliche Person/Rolle (nicht nur „IT-Abteilung")
- Standort (Raum, Rack, Cloud-Region)
- Status (in Betrieb / Spare / außer Dienst)
- Schutzbedarf für die drei Schutzziele
- Verknüpfungen zu anderen Assets (Abhängigkeiten)
- Lifecycle-Daten — Beschaffung, Garantie-Ende, geplantes EoL
- Compliance-Tags — z.B. „NIS2-relevant", „DSGVO-personenbezogene Daten"
Bei Software zusätzlich: Version, Lizenz-Status, Patch-Stand.
Schatten-IT übersehen
„Wir haben unsere Server im Inventar" — und vergessen die Schatten-IT: SaaS-Lösungen, die ohne IT-Abteilung von einzelnen Abteilungen beschafft wurden. Marketing nutzt MailChimp, Vertrieb hat eigene CRM-Lite-Tools, Forschung speichert in Dropbox. Diese Tools verarbeiten oft personenbezogene oder geschäftskritische Daten — sind aber nicht im Inventar und damit auch nicht in der Risikoanalyse. Eine Befragung der Fachbereiche fördert regelmäßig 20-50% mehr Tools zutage als die IT erwartet.
Tooling: Vom Excel bis zur CMDB
Asset-Management lässt sich auf verschiedenen Reifegraden umsetzen:
Reifegrad 1 — Excel/Google Sheets:
- Eine zentrale Tabelle pro Asset-Kategorie
- Spalten gemäß Mindest-Datenfelder
- Manuelle Pflege durch Asset-Owner
- Geeignet für KMU mit unter 200 Assets in einer Kategorie
Reifegrad 2 — Strukturierte DB:
- z.B. Notion, Airtable oder SharePoint-Listen
- Relationale Verknüpfungen, Views, einfache Workflows
- Geeignet für KMU mit 200-2000 Assets
Reifegrad 3 — CMDB / IT-Service-Management:
- ServiceNow, Jira Service Management, OTOBO, i-doit
- Automatisierte Erkennung (Discovery-Tools), Integration mit Monitoring
- Geeignet für >2000 Assets oder ISO-27001-Zertifizierungsambitionen
Reifegrad 4 — Integriertes ISMS-Tool:
- verinice, otris, HiScout, Anbieter mit BSI-Grundschutz-Integration
- Direkter Mapping zu Schutzbedarfsfeststellung und Maßnahmen-Bausteinen
- Geeignet für regulierte Branchen mit hohem Audit-Druck
Wichtig: das Tooling ist Mittel, nicht Zweck. Eine schlecht gepflegte CMDB ist schlechter als eine konsequent geführte Excel-Tabelle. Die BSI-Aufsicht prüft nicht das Tool, sondern die Datenqualität.
Praxis: Asset-Management in 6 Wochen aufbauen
in einer Woche
Erste Iteration der Asset-DB ist in einer Woche machbar: (1) Excel-Vorlage mit den 9 Pflicht-Feldern erstellen (1h), (2) IT-Abteilung füllt Server + Netzwerk + Cloud (2 Tage), (3) Befragung der Fachbereiche nach SaaS-Tools und eigener IT (1 Tag, 5-10 Interviews à 30 Min), (4) Konsolidieren und Schutzbedarf für die Top-20-Assets festlegen (1 Tag), (5) Asset-Owner-Liste an Geschäftsleitung kommunizieren (2h). Damit ist die Basis für die NIS2-Selbsteinschätzung gelegt — Iterationen folgen.
Detaillierter 6-Wochen-Plan:
| Woche | Aktivität |
|---|---|
| 1 | Vorlage erstellen, IT-Inventar Server + Netzwerk + Cloud erfassen |
| 2 | Fachbereichs-Befragung (Schatten-IT), Endgeräte-Inventar aus MDM/Intune |
| 3 | Datenbestand-Klassifikation: welche Daten gibt es, wo liegen sie? |
| 4 | Schutzbedarf für Top-50-Assets festlegen, Begründungen dokumentieren |
| 5 | Verknüpfungen und Abhängigkeiten skizzieren — was hängt an was? |
| 6 | Lessons-Learned, Pflege-Prozess definieren, Owner final benennen |
Ab Woche 7 läuft das Asset-Management im Betrieb — quartalsweise Reviews, jährliche Vollständigkeits-Audits.
FAQ
Müssen wir wirklich jeden Drucker im Inventar haben?
Drucker mit Netzwerkanschluss ja — sie sind potentielle Einfallstore (offene Webserver, schwache Default-Passwörter). Standalone-USB-Drucker ohne Netzwerkanschluss können in Gruppen erfasst werden. Die Faustregel: alles, was eine IP-Adresse hat oder Daten verarbeitet, gehört ins Inventar.
Wie genau muss der Schutzbedarf begründet werden?
Pro Asset ein bis drei Sätze pro Schutzziel reichen. Beispiel: „Vertraulichkeit: hoch (enthält Personaldaten aller Mitarbeitenden). Integrität: hoch (Verfälschung würde Lohnabrechnung beeinflussen). Verfügbarkeit: normal (Ausfall bis 8h tragbar). Begründung im Rahmen der jährlichen Schutzbedarfsfeststellung 2026-03-15." Das ist BSI-Standard-Niveau, kein wissenschaftliches Gutachten.
Wie oft muss das Inventar überprüft werden?
BSI-Standard und ISO 27001 empfehlen mindestens jährliche Reviews, bei sich schnell ändernden Umgebungen halbjährlich. Für die NIS2-Selbsteinschätzung ist die letzte Aktualisierung relevant — ein Inventar, das älter als 12 Monate ist, wird in Audits regelmäßig beanstandet.
Sollten wir Discovery-Tools nutzen?
Discovery-Tools (z.B. Lansweeper, ManageEngine, Auvik) automatisieren die Erfassung von Netzwerk-Assets. Sie sind sinnvoll ab ca. 200 Endgeräten oder bei häufigen Veränderungen. Für kleine Mittelständler unter 100 Geräten überwiegt der Aufwand für Tool-Einführung den Nutzen — manuelle Pflege mit jährlicher Vollständigkeits-Prüfung reicht.
Wie hängt Asset-Management mit dem Verzeichnis der Verarbeitungstätigkeiten (DSGVO) zusammen?
Die beiden Verzeichnisse haben Überschneidungen, sind aber unterschiedlich. Das DSGVO-VVT fokussiert auf personenbezogene Datenverarbeitung. Das Asset-Inventar fokussiert auf IT-Systeme und Daten generell. Idealerweise ist das VVT eine Sicht auf das Asset-Inventar — die Datenklassifikations-Felder im Asset werden mit dem VVT abgeglichen. Doppel-Pflege vermeiden.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 15. Juni 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
93 Annex-A-Controls in ISO 27001:2022 — der kompakte Überblick
ISO 27001:2022 reduziert Annex A auf 93 Controls in 4 Themen-Gruppen. Was anders ist als 2013, welche Reihenfolge KMU sinnvoll umsetzen. Stand: 2026-05-16.
Welche Fristen gelten bei NIS2-Incident-Meldungen?
Art. 23 NIS2 schreibt drei Meldestufen vor: Frühwarnung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden, Abschlussbericht binnen einem Monat. Was an wen geht.
Compliance-Bußgelder 2026 — der kompakte Atlas
Welche Bußgelder drohen bei Compliance-Verstößen 2026? Der Atlas zu DSGVO, NIS2, DORA, AI Act, HinSchG für DACH-KMU. Stand: 2026-05-16.