Die Umsetzung des NIS-2-Gesetz erfordert, dass eine umfassende Risikoanalyse durchgeführt wird. Damit gehen das systematische Erfassen, Verwalten und Absichern aller physischen und digitalen Vermögenswerte (Assets) einher, die in einem Unternehmen zum Einsatz kommen. Es ist daher von großer Bedeutung alle Assets der Informationstechnologien sowie der operationalen Technologien zu kennen, strukturiert zu erfassen und zu inventarisieren. Darüber hinaus trägt die Asset-Inventarisierung dazu bei, Assets regelmäßig zu aktualisieren und instand zu halten, um ihren technischen Zustand auf dem aktuellen Stand zu halten. Gehen Sie dabei die gesamte Hard- und Software durch, beachten Sie dabei auch die Anwendungen, die für den Betrieb Ihrer besonderen Anlagen oder physischen Infrastrukturen im Einsatz sind. Gehen Sie auch der Frage nach, welche Informationen, Daten, Systeme und Prozesse besonders kritisch für Ihr Unternehmen sind und daher in besonderer Weise geschützt werden sollten. Besonders schützenswerte Assets bedürfen einer besonderen Bezeichnung. Ihre Handhabung unterscheidet sich ebenfalls von Daten, Informationen, Systemen und Prozessen, die weniger kritisch sind. Nachdem Sie eine strukturierte Übersicht und einen Überblick über alle Ihre Assets erlangt haben, sollten diese auch mit besonderer Sorgfalt verwaltet werden. Zur Verwaltung von Assets gehören neben ihrer Kategorisierung gemäß Kritikalität auch das Erteilen und Dokumentieren von Nutzungsrichtlinien und Verantwortlichkeiten zur Handhabung der Assets. Dies geschieht zum Beispiel im Onboarding Prozess oder als Teil von Schulungen. Beachten Sie, dass beim Ausscheiden eines Mitarbeitenden aus dem Unternehmen ein Offboarding-Prozess inklusive der Rückgabe aller Assets erfolgen muss. Damit geht auch die Löschung aller Konten und Zugänge einher. Das Asset Management bildet die Grundlage für weitere technische und organisatorische Maßnahmen, die Compliance und Cybersicherheitsgrundlagen bilden wie z.B. Patchmanagement, Risikobewertung, Zugriffsmanagement sowie Notfallpläne. Nur wenn, Sie über Kenntnis der unternehmens-internen Assets verfügen, können diese effektiv geschützt werden.