NIS2-gereed CMDB: het minimale asset-datamodel voor cyberweerbaarheid (EU)

Geschatte leestijd: 15 minuten

Belangrijkste punten

• Een op NIS2 afgestemde CMDB is een centraal controlepunt voor EU-cyberweerbaarheid, geen ‘nice-to-have’ inventaris.
• De verwachtingen van NIS2 rondom assetmanagement, incidentrapportage en risico’s in de toeleveringsketen vertalen zich naar zeer concrete vereisten voor het CMDB-datamodel en de processen.
• Robuuste ITAM die uw CMDB voedt, is essentieel om volledige asset-zichtbaarheid, eigenaarschap en traceerbaarheid van leveranciers te bereiken.
• Nationale richtlijnen van ANSSI en het CCB België versterken de noodzaak voor gestructureerde, actuele en op beveiliging gerichte asset-data.
• Een pragmatische roadmap — die het ontwerp van het datamodel, discovery, ITAM-integratie en governance omvat — stelt u in staat om in de praktijk een op NIS2 afgestemde CMDB op te bouwen.

Hoe NIS2 asset- en configuratiemanagement hervormt

NIS2 breidt de reikwijdte aanzienlijk uit. Het is van toepassing op essentiële entiteiten zoals grote organisaties in de sectoren energie, transport, bankwezen, digitale infrastructuur, gezondheidszorg, drinkwater, afvalwater en openbaar bestuur, doorgaans met ten minste 250 werknemers of een omzet van € 50 mln. Het omvat ook belangrijke entiteiten zoals middelgrote bedrijven in postdiensten, afvalbeheer, digitale aanbieders, voedselproductie en diverse productiesectoren, meestal met ten minste 50 werknemers of een omzet van € 10 mln, zoals samengevat in de officiële NIS2-richtlijn (EUR-Lex). Daarnaast bevestigen richtsnoeren van andere commentatoren dit uitgebreide bereik en de verplichtingen rond risicobeheer en rapportage in deze sectoren, zoals geschetst door waarnemers uit de sector.

Onder NIS2 moeten zowel essentiële als belangrijke entiteiten “passende en evenredige” maatregelen voor cyberrisicobeheer implementeren, significante incidenten binnen strikte termijnen rapporteren, bedrijfscontinuïteit en crisisbeheer waarborgen, en risico’s in de toeleveringsketen beheren. Om in de praktijk aan deze plichten te voldoen, heeft u gestructureerd asset- en configuratiemanagement nodig. U moet in staat zijn om duidelijk en snel antwoord te geven op:

• Welke IT-, OT-, cloud- en SaaS-assets elke essentiële of belangrijke dienst ondersteunen.
• Hoe die assets onderling verbonden zijn, om de impact en verspreiding te begrijpen.
• Welke wijzigingen er zijn aangebracht, door wie, en onder welke goedkeuringen.
• Waar externe leveranciers zich bevinden in elke kritieke dienstenketen.

Deze verwachtingen sturen de NIS2 CMDB-vereisten rechtstreeks aan. Een traditionele inventaris op basis van “best effort” is niet langer voldoende. In plaats daarvan heeft u een CMDB-datamodel nodig dat het volgende kan:

• Elk relevant configuratie-item (CI) registreren in zowel IT als OT.
• CI’s koppelen aan diensten, criticaliteitsniveaus en de regelgevende context.
• Cybersecurity voor asset-zichtbaarheid ondersteunen door het aanvalsoppervlak en afhankelijkheden bloot te leggen.
• Betrouwbaar, controleerbaar bewijs leveren voor regelgevers en toezichthoudende autoriteiten.

Zonder een onderhouden CMDB is het lastig om kwetsbaarheden aan diensten te koppelen, de impact van incidenten te begrijpen of afhankelijkheden in de toeleveringsketen te visualiseren. Met een NIS2-bewuste CMDB kunt u direct zien welke essentiële diensten afhankelijk zijn van een blootgesteld component, welke leveranciers erbij betrokken zijn en hoe de zakelijke impact eruitziet voor uw toezichthouder.

Wat vereist NIS2 voor assetmanagement?

NIS2 verwacht van organisaties dat zij:

• Een volledige inventaris bijhouden van assets die essentiële en belangrijke diensten ondersteunen.
• Assets classificeren op basis van zakelijke criticaliteit en dienst.
• Technische en zakelijke afhankelijkheden tussen diensten en componenten in kaart brengen.
• Wijzigingen en configuraties in de loop van de tijd bijhouden.
• Afhankelijkheden van derden en de toeleveringsketen monitoren die gekoppeld zijn aan elke dienst.

NIS2 CMDB-vereisten in praktische termen definiëren

In de praktijk zijn NIS2 CMDB-vereisten de minimale capaciteiten die uw CMDB moet bieden, zodat u kunt aantonen dat u voldoet aan de verplichtingen van de richtlijn op het gebied van asset-, configuratie- en risicobeheer. De wet gebruikt zelden het woord “CMDB”, maar de nadruk op gestructureerde inventarissen, traceerbaarheid en documentatie wijst op zeer specifieke CMDB-functies, zoals diverse sectoranalyses van de operationele impact van NIS2 benadrukken.

Een op NIS2 afgestemde CMDB moet ten minste vijf capaciteitsgebieden aanpakken.

1) Dekking

Uw CMDB moet configuratie-items registreren die betrekking hebben op:

• IT-assets: servers, virtuele machines, containers, applicaties, databases, netwerkapparatuur, endpoints.
• OT-assets: SCADA-componenten, PLC’s, sensoren en industriële controllers waar deze essentiële of belangrijke diensten ondersteunen.
• Cloud en SaaS: IaaS-, PaaS- en SaaS-diensten, in kaart gebracht per cloudaccount, abonnement en regio.
• Identiteiten en rollen: gebruikersaccounts, geprivilegieerde en service-accounts, en groepen.
• Gegevensopslag: databases, data lakes, bestandsshares en platforms die persoonlijke, vertrouwelijke of kritieke operationele gegevens bevatten.

Gedeeltelijke dekking, zoals het alleen documenteren van on-premise servers, is niet voldoende voor NIS2. U moet zichtbaarheid aantonen over uw volledige digitale en fysieke aanvalsoppervlak.

2) Classificatie

Elk CI heeft attributen nodig die de NIS2-verplichtingen ondersteunen:

• Criticaliteitsniveau (bijv. hoog/gemiddeld/laag op basis van zakelijke impact).
• Koppeling met zakelijke diensten, waarbij wordt geïdentificeerd welke essentiële of belangrijke dienst elk CI ondersteunt.
• Juridische entiteit en jurisdictie voor die dienst.
• Sectorclassificatie (energie, transport, bankwezen, gezondheidszorg, enz.).

Deze classificatie vormt de basis voor risicogebaseerde prioritering en de juiste routering van incidentrapporten naar de relevante nationale autoriteit zodra de richtlijn is omgezet.

3) Beveiligingsattributen

Om cybersecurity voor asset-zichtbaarheid te ondersteunen, moet de CMDB beveiligingsrelevante gegevens bevatten, bijvoorbeeld:

• Asset-eigenaar en service-eigenaar.
• Gevoeligheid van gegevens (openbaar, intern, vertrouwelijk, geheim; aanwezigheid van persoonsgegevens).
• Blootstelling (internetgericht, intern, OT-netwerk, partnernetwerk).
• Eenvoudige indicatoren voor het aanvalsoppervlak, zoals externe endpoints of open beheerpoorten.
• Koppelingen naar bekende kwetsbaarheden via integratie met tools voor kwetsbaarheidsbeheer.

Deze attributen helpen risicoteams en CISO’s om zich te concentreren op de assets die er echt toe doen voor NIS2-rapportage en mitigatie.

4) Wijzigings- en configuratiegeschiedenis

NIS2 legt de nadruk op proactief risicobeheer en incidentonderzoek. Daarom moet uw CMDB het volgende bijhouden:

• Geversioneerde configuratiedetails waar relevant (OS-versie, applicatieversie, belangrijke instellingen).
• Een geschiedenis van wijzigingen aan elk CI: wanneer het is aangemaakt, gewijzigd of buiten gebruik gesteld.
• Koppelingen naar wijzigingstickets, goedkeuringen en geïmplementeerde beveiligingscontroles voor kritieke wijzigingen.

Dit niveau van traceerbaarheid ondersteunt zowel interne onderzoeken als bewijsvoering voor toezichthoudende autoriteiten na incidenten.

5) Automatisering en continue updates

Handmatig CMDB-onderhoud alleen is niet opgewassen tegen moderne, hybride omgevingen. Voor NIS2 moet uw CMDB worden gevoed door:

• Geautomatiseerde discovery-tools voor netwerken, endpoints en cloudbronnen.
• Integraties met platforms zoals Microsoft Azure voor cloudinventarisatie.
• Reconciliatieregels om gegevens uit meerdere bronnen samen te voegen, duplicaten te voorkomen en records actueel te houden.

Regelgevers, waaronder nationale autoriteiten zoals ANSSI in Frankrijk en het CCB in België, verwachten dat u niet alleen aantoont dat u een CMDB heeft, maar ook dat deze accuraat en actueel is. Hoewel er wellicht geen openbaar “ANSSI CMDB”- of “CCB België CMDB”-sjabloon bestaat, wijzen hun op NIS2 afgestemde richtlijnen duidelijk in de richting van gestructureerd assetmanagement ondersteund door automatisering.

Wat moet een CMDB bevatten om te voldoen aan NIS2?

Om aan te sluiten bij de NIS2 CMDB-vereisten, moet uw CMDB het volgende bevatten:

• Volledige dekking van IT-, OT-, cloud- en SaaS-assets.
• Op diensten gebaseerde classificatie en zakelijke criticaliteit.
• Beveiligingsattributen zoals eigenaar, gegevensgevoeligheid en blootstelling.
• Afhankelijkheidskaarten tussen diensten en assets.
• Wijzigings- en configuratiegeschiedenis voor kritieke componenten.
• Geautomatiseerde discovery- en reconciliatiemechanismen.
• Koppelingen naar incident-, wijzigings- en risicorecord.

ITAM voor NIS2: hoe assetmanagement uw CMDB versterkt

IT-assetmanagement (ITAM) richt zich op de financiële, contractuele en levenscyclusaspecten van IT-assets, van aankoop tot buitengebruikstelling. CMDB daarentegen richt zich op configuratie, afhankelijkheden en operationele context. Om aan de NIS2 CMDB-vereisten te voldoen, moeten beide disciplines samenwerken binnen één enkel governancemodel.

ITAM voor NIS2 betekent het gebruik van de levenscyclus- en leveranciersinformatie van ITAM om uw CMDB te verrijken, zodat u kunt voldoen aan de verwachtingen van de richtlijn rond risicobeheer, toezicht op de toeleveringsketen en verantwoording. ITAM biedt doorgaans:

• Levenscyclusgegevens: aankoopdata, garantie- en ondersteuningsdekking, end-of-life tijdlijnen.
• Licentie- en contractgegevens: welke leverancier welke dienst levert, welke SLA’s van toepassing zijn, waar gegevens worden verwerkt.
• Financiële en organisatorische details: kostenplaatsen, budgethouders, asset- en service-eigenaren.

Wanneer deze informatie de CMDB binnenstroomt, verbetert de cybersecurity voor asset-zichtbaarheid aanzienlijk. Discovery laat zien wat er draait, terwijl ITAM bevestigt wat er zou moeten draaien en onder welk contract.

ITAM verbetert ook het risicobeheer van de toeleveringsketen en leveranciers. Een enkele leveranciersvermelding in ITAM kan worden gekoppeld aan vele CI’s in de CMDB, waardoor zichtbaar wordt waar een cloudprovider, MSP of softwareleverancier de basis vormt voor meerdere essentiële diensten. Hierdoor kunt u concentratierisico’s identificeren, prioriteit geven aan due diligence en voldoen aan de NIS2-verwachtingen over risico’s van derden.

Governance en verantwoording profiteren hier ook van. Eigenaren die in ITAM zijn gedefinieerd, kunnen worden weergegeven in CMDB-weergaven, zodat elk kritiek CI en elke zakelijke dienst een duidelijk toegewezen verantwoordelijke persoon heeft. Tijdens incidenten versnelt dit de besluitvorming en verbetert het de communicatie met regelgevers.

Technisch gezien volgt de integratie tussen ITAM en CMDB meestal een van de volgende twee patronen:

• CMDB als consument: CMDB importeert asset-identificatoren, eigenaren en leveranciersreferenties uit ITAM, terwijl configuratie- en relatiedetails behouden blijven.
• Bi-directionele synchronisatie: ITAM haalt status en locatie op uit de CMDB; CMDB haalt financiële en leveranciersgegevens op uit ITAM. Gedeelde sleutels, zoals asset-tags, zorgen voor afstemming.

In beide gevallen is het essentieel om te definiëren welk systeem de “source of truth” is voor elk attribuut, en om updates te controleren via duidelijke governance.

Hoe helpt ITAM bij NIS2-naleving?

ITAM helpt bij NIS2-compliance door levenscyclus-, leveranciers- en financiële gegevens te leveren die, eenmaal geïntegreerd in de CMDB, zorgen voor volledige asset-zichtbaarheid, sterker toezicht op de toeleveringsketen en duidelijk eigenaarschap. Samen stellen deze capaciteiten u in staat om te bewijzen dat essentiële en belangrijke diensten worden ondersteund door beheerde, verantwoordelijke assets onder passende contracten.

Het ontwerpen van een NIS2-ready CMDB-datamodel

Een CMDB-datamodel definieert de klassen van configuratie-items die u volgt, de attributen die u daarover opslaat en de relaties die ze met elkaar verbinden. Voor NIS2 moet dit model evolueren van generieke IT-service-weergaven naar een rijkere, regelgevingsbewuste structuur.

Traditioneel richtten veel CMDB’s zich op het koppelen van applicaties aan servers en netwerkapparatuur. Onder NIS2 moet u echter expliciet het volgende modelleren:

• Essentiële en belangrijke diensten zoals gedefinieerd in de nationale omzetting.
• Regelgevende context zoals sector, jurisdictie en toezichthoudende autoriteit.
• Beveiligingsstatus en afhankelijkheden van leveranciers voor elk kritiek component.

Best-practice kaders uit de sector, zoals ITIL, moedigen duidelijke definities van diensten en CI’s aan. NIS2 voegt daar vereisten aan toe voor specifieke attributen en relaties die gekoppeld zijn aan cyberrisico’s en compliance.

Kern CI-klassen

Een NIS2-ready CMDB-datamodel zal doorgaans ten minste het volgende bevatten:

• Zakelijke diensten (inclusief essentiële en belangrijke diensten).
• Applicaties (bedrijfssystemen, kernplatforms, SaaS).
• Infrastructuur (servers, VM’s, containers, middleware).
• Netwerkcomponenten (routers, firewalls, switches, load balancers).
• Gegevensopslag (databases, warehouses, bestandsarchieven).
• Identiteiten en groepen (gebruikersaccounts, geprivilegieerde accounts, IAM-groepen).
• Locaties (datacenters, OT-locaties, kantoren, cloudregio’s).
• Derden en leveranciers (leveranciers, MSP’s, cloudproviders).

Belangrijke relaties kunnen zijn:

• Zakelijke dienst → ondersteund door → applicaties.
• Applicatie → gehost op → infrastructuur.
• Infrastructuur → verbonden via → netwerkapparatuur.
• Applicatie/gegevensopslag → gebruikt door → identiteiten en groepen.
• Zakelijke dienst/applicatie → is afhankelijk van → leverancier.

NIS2-specifieke attributen

Voeg voor zakelijke dienst-CI’s attributen toe zoals:

• NIS2-classificatie: essentieel / belangrijk / overig.
• Sector: energie, transport, gezondheidszorg, bankwezen, enz.
• Toezichthoudende autoriteit of regelgever.
• Jurisdictie of land.
• Criticaliteitsbeoordeling (bijv. impact bij onbeschikbaarheid).
• Herstelparameters (RTO, RPO).

Voor technische CI’s (applicaties, infrastructuur, netwerk, gegevensopslag):

• Gekoppelde NIS2-geclassificeerde diensten.
• Criticaliteitsbeoordeling afgestemd op de impact op de dienst.
• Beveiligingsstatus: patchniveau, datum laatste patch, aantal en ernst van bekende kwetsbaarheden, belangrijke aanwezige beveiligingscontroles (EDR, encryptie, MFA, logging).
• Gegevensattributen voor gegevensopslag: gegevensclassificatie en categorieën van betrokkenen (klanten, werknemers, leveranciers).
• Afhankelijkheid van leverancier: naam leverancier, contractreferentie, SLA-niveau.

Voor identiteiten:

• Rol (beheerder, standaardgebruiker, service-account).
• Privilegieniveau.
• Gekoppelde diensten en assets.

Normalisatie en governance

Om dit model bruikbaar te houden, moet u het volgende afdwingen:

• Normalisatie: consistente naamgeving van software, platforms en leveranciers.
• Naamgevingsstandaarden: voorspelbare CI-naamgevingspatronen per type, omgeving en regio.
• Governance: een CMDB-eigenaar, data stewards voor elke CI-klasse en gecontroleerde wijzigingsprocessen voor het aanpassen van het datamodel.

Door deze ontwerpkeuzes terug te koppelen naar de NIS2 CMDB-vereisten, krijgt u een CMDB die de EU-cyberweerbaarheid direct ondersteunt: snelle impactanalyse van incidenten, duidelijke rapportageroutes naar regelgevers en zichtbaarheid van grensoverschrijdende afhankelijkheden van leveranciers.

Hoe moet een NIS2-gereed CMDB-datamodel eruitzien?

Een NIS2-ready CMDB-datamodel bevat CI-klassen voor zakelijke diensten, applicaties, infrastructuur, netwerkapparatuur, gegevensopslag, identiteiten, locaties en leveranciers. Elk CI bevat NIS2-relevante attributen zoals classificatie (essentieel/belangrijk), sector, regelgever, criticaliteit, hersteldoelen, beveiligingsstatus en leveranciersreferenties, en ze zijn allemaal verbonden door duidelijke relaties tussen dienst en asset.

Asset-zichtbaarheid bereiken voor cybersecurity onder NIS2

Cybersecurity voor asset-zichtbaarheid betekent het hebben van een volledig, accuraat en actueel overzicht van alle assets die uw aanvalsoppervlak vormen en hoe deze zich verhouden tot kritieke diensten. Onder NIS2 is deze zichtbaarheid essentieel voor het in kaart brengen van blootstelling, het snel bepalen van de reikwijdte van incidenten en kwetsbaarheden, en het voldoen aan veeleisende rapportagetermijnen.

Om dit te bereiken, moet de CMDB gegevens opnemen uit meerdere discovery- en inventarisatiebronnen. Typische inputs zijn:

• Netwerk-discoverytools die op IP gebaseerde apparaten identificeren.
• Endpoint-agents die details over OS, software en configuratie verzamelen.
• Cloudprovider-API’s voor platforms zoals Azure, AWS en GCP.
• SaaS-beheerportalen, die gebruikte applicaties en bijbehorende identiteiten onthullen.
• EDR/XDR-platforms die inventaris en beveiligingstelemetrie combineren.
• Identiteitsplatforms (AD, Azure AD, andere IAM-systemen).
• ITAM-repositories die aangeschafte en gelicentieerde assets vermelden.

Elke bron ziet de omgeving vanuit een andere hoek. Daarom moet de CMDB-reconciliatielogica overlappende gegevens samenvoegen tot één CI per asset. Attributen van meer gezaghebbende bronnen (bijvoorbeeld cloud-API’s voor cloud-resource-ID’s) moeten voorrang krijgen op andere.

Hybride omgevingen maken dit beeld complexer. On-premise systemen, public cloud workloads en private cloud- of edge-implementaties moeten allemaal in één logische inventaris verschijnen. OT- en IoT-apparaten voegen extra complexiteit toe omdat ze vaak op afzonderlijke netwerken staan, door verschillende teams worden beheerd en mogelijk gespecialiseerde scantools vereisen. Toch verwacht NIS2 dat ze worden vastgelegd en beheerd waar ze essentiële diensten ondersteunen.

Shadow IT is een andere uitdaging. Niet-goedgekeurde SaaS-tools of ongeautoriseerde hardware kunnen verschijnen in onkostendeclaraties, authenticatielogboeken of uitgaand netwerkverkeer. Er moeten processen zijn om:

• Deze assets te detecteren.
• Ze te registreren in ITAM en CMDB.
• Te beslissen of ze worden geregulariseerd of buiten gebruik gesteld.

Ten slotte is continue reconciliatie essentieel. Discovery-scans en API-synchronisaties moeten worden uitgevoerd volgens een schema dat past bij de omgeving: wellicht dagelijks of zelfs vaker voor kritieke netwerken en cloudaccounts. Reconciliatieregels moeten:

• Records matchen op hostnaam, IP, serienummer, asset-tag of cloud-resource-ID.
• Attributen samenvoegen met respect voor de autoriteit van elke bron.
• Onbekende of onbeheerde assets markeren voor beoordeling.

Het resultaat is een levende CMDB die uw werkelijke aanvalsoppervlak weerspiegelt en direct kan worden gebruikt ter ondersteuning van NIS2 CMDB-vereisten, prioritering van kwetsbaarheden en incidentrapportage.

Hoe realiseert u zichtbaarheid van assets voor NIS2?

Om cybersecurity voor asset-zichtbaarheid onder NIS2 te bereiken:

• Integreer geautomatiseerde discovery-tools en cloud-API’s met uw CMDB.
• Reconcilieer gegevens uit ITAM, beveiligingsplatforms en identiteitssystemen.
• Neem OT/IoT en shadow IT op in de asset-inventaris.
• Werk records continu bij en markeer onbekende of niet-conforme assets.
• Koppel elke asset aan de essentiële of belangrijke diensten die deze ondersteunt.

Het CyFun-framework gebruiken met een op NIS2 afgestemde CMDB

Het CyFun-framework wordt aangehaald als een op de EU gericht of sectorspecifiek kader voor cyberweerbaarheid, gestructureerd rond de bekende cybersecurity-levenscyclus: kennen, beschermen, detecteren, reageren en herstellen. Hoewel gedetailleerde publieke specificaties beperkt zijn, sluit de oriëntatie ervan duidelijk aan bij de NIS2 CMDB-vereisten voor gestructureerde assetkennis en operationele veerkracht.

In deze context kunt u CyFun behandelen als een overlay die u helpt NIS2-controles te operationaliseren. Een sterke CMDB staat centraal in die inspanning, omdat deze de gegevens levert waarvan de CyFun-functies afhankelijk zijn.

• Kennen: De CMDB biedt een geconsolideerde kaart van diensten, systemen en gegevens, waarmee wordt voldaan aan de vereiste om “uw omgeving te kennen”.
• Beschermen: Beveiligingsattributen en criticaliteitsbeoordelingen in de CMDB sturen aan waar sterkere controles en monitoring moeten worden toegepast.
• Detecteren: Door de CMDB te integreren met SIEM- en XDR-tools kunnen beveiligingswaarschuwingen worden gekoppeld aan specifieke diensten en zakelijke impacts.
• Reageren: CI-relaties helpen teams bij het plannen van inperking, het begrijpen van afhankelijkheden en het vermijden van nevenschade.
• Herstellen: CMDB-records van RTO/RPO, configuraties en afhankelijkheden ondersteunen een gestructureerd, conform herstel.

U kunt CMDB-velden en rapporten afstemmen op CyFun-controlegebieden. Bijvoorbeeld:

• CyFun “Kennen”: een CMDB-rapport met alle essentiële en belangrijke diensten, hun ondersteunende CI’s en bijbehorende leveranciers.
• CyFun “Beschermen”: attributen op CI’s die aangeven welke beveiligingscontroles (EDR, back-ups, encryptie) aanwezig zijn.
• CyFun “Detecteren”: in kaart gebrachte koppelingen tussen monitoringtools en CI’s, zodat waarschuwingen kunnen worden verrijkt met de criticaliteit van de dienst.
• CyFun “Reageren”: incident-playbooks die CMDB-afhankelijkheden opvragen wanneer een asset is gecompromitteerd.
• CyFun “Herstellen”: verwijzen naar CMDB-hersteldoelen en configuratie-baselines bij het opnieuw opbouwen van systemen.

Door deze koppeling worden NIS2 CMDB-vereisten de basis voor het implementeren van CyFun op een meetbare, controleerbare manier.

Wat is het CyFun-framework en hoe verhoudt het zich tot NIS2?

Het CyFun-framework is een op de EU gerichte benadering van cyberweerbaarheid die activiteiten structureert rond het kennen, beschermen, detecteren, reageren op en herstellen van incidenten. Een op NIS2 afgestemde CMDB levert de asset-, service- en afhankelijkheidsgegevens die CyFun nodig heeft om elk van deze functies effectief uit te voeren.

Van ANSSI CMDB-verwachtingen naar CCB België-compliance

Hoewel NIS2 een EU-brede richtlijn is, zet elke lidstaat deze om in nationale wetgeving en richtlijnen. Twee invloedrijke voorbeelden op het gebied van CMDB en assetmanagement zijn ANSSI in Frankrijk en het Centrum voor Cybersecurity België (CCB).

ANSSI, het Franse nationale agentschap voor cybersecurity, promoot robuuste asset-cartografie, risicogebaseerde classificatie en traceerbaarheid van wijzigingen. De richtlijnen benadrukken dat organisaties het volgende moeten bijhouden:

• Een actuele kaart van informatiesystemen (“urbanisatie”), inclusief applicaties, infrastructuur, netwerken en significante gegevensstromen.
• Een duidelijke identificatie van kritieke systemen en hun afhankelijkheden.
• Gecontroleerde, gedocumenteerde en controleerbare wijzigingen aan kritieke assets.

Een goed gestructureerde CMDB die aansluit bij deze principes en voldoet aan de NIS2 CMDB-vereisten, wordt in feite een “ANSSI CMDB”, waardoor organisaties via dezelfde assetmanagementpraktijken aan zowel EU-brede als nationale verplichtingen kunnen voldoen.

CCB België fungeert als de nationale bevoegde autoriteit voor cybersecurity en leidt de omzetting van NIS2 in het land. De verwachtingen, zoals weerspiegeld in de bredere opvolging van nationale implementaties in de EU door de ECS NIS2 transposition tracker, omvatten:

• Gedetailleerde inventarissen van systemen en infrastructuren die essentiële diensten ondersteunen die onder de Belgische wetgeving zijn aangewezen.
• Capaciteit om te voldoen aan strikte termijnen voor incidentmeldingen, wat nauwkeurige asset- en afhankelijkheidsgegevens vereist.
• De mogelijkheid van aanvullende, België-specifieke verplichtingen rond kritieke infrastructuur en gegevensverwerking.

Het ontwerpen van uw CMDB om te voldoen aan de NIS2 CMDB-vereisten positioneert u daarom goed voor zowel verwachtingen in de stijl van ANSSI CMDB als voor CCB België-compliance. De gemeenschappelijke thema’s zijn:

• Gecentraliseerde, goed beheerde CMDB- en ITAM-repositories.
• Rijke classificatie en afhankelijkheidskaarten.
• Betrouwbare traceerbaarheid en bewijsvoering.

Hoe beïnvloeden ANSSI en CCB België de NIS2 CMDB-vereisten?

ANSSI en CCB België implementeren NIS2 op nationaal niveau en leggen de nadruk op gestructureerde asset-cartografie, risicogebaseerde classificatie en robuuste incidentrapportage. De primaire manier om aan deze verwachtingen te voldoen, is het onderhouden van een goed beheerde CMDB en een geïntegreerde ITAM-praktijk die nauwkeurige, controleerbare asset- en configuratiegegevens leveren.

Implementatie-roadmap: bouwen aan een op NIS2 afgestemde CMDB

Het in de praktijk brengen van de NIS2 CMDB-vereisten vereist een gestructureerde implementatie-roadmap. De volgende stappen bieden een pragmatisch pad van de huidige CMDB naar een omgeving die volledig is afgestemd op NIS2.

Stap 1: Beoordeel de huidige status

Begin met een eerlijke beoordeling van uw huidige positie:

• CMDB-dekking: welke CI-typen zijn gemodelleerd, welke diensten zijn in kaart gebracht en waar liggen de hiaten.
• Datakwaliteit: volledigheid, nauwkeurigheid en tijdigheid van CI-records.
• ITAM-volwassenheid: welke assets en contracten worden gevolgd, hoe betrouwbaar de gegevens zijn en hoe (of of) deze gekoppeld zijn aan de CMDB.
• Discovery-tooling: welke discovery-tools voor netwerk, endpoint, cloud en SaaS u gebruikt, en hoe de resultaten worden gebruikt.

Vergelijk uw bevindingen met de NIS2 CMDB-vereisten en eventuele toepasselijke nationale richtlijnen zoals ANSSI-principes of CCB België-verwachtingen, en noteer hiaten en prioriteiten.

Stap 2: Herontwerp of verbeter het CMDB-datamodel

Gebruik de eerdere blauwdruk:

• Voeg NIS2-specifieke attributen toe voor de classificatie essentieel/belangrijk, sector, regelgever, criticaliteit, RTO/RPO en beveiligingsstatus.
• Stem het CMDB-schema af op ITAM, zorg voor gedeelde identificatoren en referenties naar leveranciers en contracten.
• Koppel CyFun-frameworkgebieden (kennen, beschermen, detecteren, reageren, herstellen) aan CMDB-attributen en rapporten.

Documenteer het bijgewerkte datamodel, publiceer het intern en stel procedures voor wijzigingsbeheer vast, zodat het stabiel blijft en wordt onderhouden.

Stap 3: Verbeter asset-discovery en reconciliatie

Versterk vervolgens de discovery:

• Implementeer of optimaliseer netwerk- en endpoint-discovery, cloud-API-integraties en SaaS-inventarisatie.
• Definieer reconciliatieregels die de prioriteit van attributen en de resolutie van duplicaten specificeren.
• Configureer monitoring en waarschuwingen voor nieuwe, onbekende of onbeheerde assets die uit discovery naar voren komen.

Het resultaat is een uitgebreidere cybersecurity voor asset-zichtbaarheid en een betrouwbaardere CMDB-baseline.

Stap 4: Integreer ITAM voor NIS2

Met een solide CMDB-structuur en discovery op orde, koppelt u ITAM:

• Beslis welk systeem gezaghebbend is voor eigendom, inkoop, garantie, licentie en leveranciersgegevens (meestal ITAM), en welk voor configuratie en relaties (CMDB).
• Bouw integratietaken die gegevens regelmatig synchroniseren, vaak ’s nachts.
• Definieer een RACI zodat duidelijk is wie eigenaar is van de nauwkeurigheid van ITAM-gegevens, wie eigenaar is van de CMDB-datakwaliteit en wie de gecombineerde informatie gebruikt.

U heeft nu één samenhangend overzicht van de financiële, contractuele, operationele en beveiligingscontext van elke asset.

Stap 5: Bed de CMDB in in beveiligings- en risicoworkflows

Om de CMDB relevant te maken voor NIS2, moet u deze inbedden in belangrijke workflows:

• Incidentmanagement: gebruik de CMDB om getroffen diensten, eigenaren en afhankelijkheden voor elk incident te identificeren.
• Kwetsbaarheidsbeheer: stuur herstelprioriteiten aan op basis van de criticaliteit van de dienst, NIS2-classificatie en betrokkenheid van leveranciers.
• Wijzigingsbeheer: zorg ervoor dat elke wijziging aan kritieke CI’s gekoppeld is aan CMDB-vermeldingen en formele goedkeuringspaden volgt.
• Rapportage: definieer vooraf sjablonen voor NIS2-incidentrapporten die gegevens ophalen uit de CMDB (getroffen assets, diensten, locaties, leveranciers).

Integratie met gevestigde ITSM-tools die sterke CMDB- en workflowcapaciteiten ondersteunen, zoals ServiceNow of Atlassian’s ITSM-platform, kan deze stap versnellen.

Stap 6: Doorlopende governance en auditbereidheid

Stel ten slotte continue governance vast:

• Definieer KPI’s zoals CI-volledigheid, actualiteit van gegevens en het percentage incidenten dat correct is gekoppeld aan diensten/CI’s.
• Voer regelmatig interne audits uit om CI-records te controleren en de nauwkeurigheid te verifiëren.
• Volg wijzigingen in NIS2-richtlijnen en nationale omzettingsregels, en werk uw datamodel en processen dienovereenkomstig bij.
• Gebruik lessen uit incidenten en audits om discovery, classificatie en workflows te verfijnen.

Deze governance-loop verandert de CMDB in een levend controlekader in plaats van een statische documentatie-oefening.

Hoe implementeer ik een op NIS2 afgestemde CMDB?

Om een op NIS2 afgestemde CMDB te implementeren:

• Beoordeel de huidige CMDB-, ITAM- en discovery-capaciteiten ten opzichte van NIS2.
• Herontwerp uw CMDB-datamodel met NIS2-specifieke attributen en relaties.
• Versterk geautomatiseerde discovery en reconciliatie over IT, OT, cloud en SaaS.
• Integreer ITAM voor eigendoms-, leveranciers- en levenscyclusgegevens.
• Bed de CMDB in in beveiligings-, risico- en rapportageworkflows.
• Stel governance, KPI’s en regelmatige interne audits vast.

Hoe een op NIS2 afgestemde CMDB de EU-cyberweerbaarheid versterkt

Het bouwen van een CMDB die voldoet aan de NIS2 CMDB-vereisten levert voordelen op die veel verder gaan dan compliance-papierwerk. Op EU-niveau streven regelgevers en toezichthoudende autoriteiten ernaar de cyberweerbaarheid in alle sectoren en over de grenzen heen te verbeteren. Een volwassen CMDB, ondersteund door sterke ITAM, ondersteunt deze doelen op verschillende manieren.

Ten eerste verbetert het het situationeel bewustzijn. Met een bijna real-time overzicht van assets, afhankelijkheden en criticaliteit kunt u systemische risico’s, zoals een sterke afhankelijkheid van een enkele cloudregio of leverancier, beter voorzien. Deze duidelijkheid helpt u bij het plannen van mitigaties voordat incidenten zich voordoen.

Ten tweede vermindert het systemische risico’s en risico’s in de toeleveringsketen. Zichtbaarheid van welke leveranciers welke essentiële of belangrijke diensten ondersteunen, maakt het gemakkelijker om concentratierisico’s te ontdekken en reacties op incidenten op leveranciersniveau te coördineren. Informatie kan gemakkelijker worden gedeeld en begrepen tussen exploitanten en regelgevers.

Ten derde creëert het een robuuste bewijsbasis. Een CMDB- en ITAM-repository die is ontworpen met NIS2 en kaders zoals ITIL best practices in het achterhoofd, geeft besturen, auditors en regelgevers de gegevens die nodig zijn om de risicostatus, de impact van incidenten en de voortgang van herstel te begrijpen. Beslissingen worden meer datagedreven en minder afhankelijk van ad-hoc spreadsheets of informele kennis.

Ten slotte verbetert een dergelijke CMDB de operationele prestaties. Zodra u duidelijke koppelingen tussen diensten en assets heeft, kunnen wijzigings- en incidentmanagement gerichter worden uitgevoerd, waardoor uitval wordt verminderd en herstel wordt versneld. Compliance met NIS2 wordt dan een natuurlijk bijproduct van goede praktijken in plaats van een afzonderlijk, belastend project.

Hoe draagt een CMDB bij aan de EU-cyberweerbaarheid?

Een goed beheerde CMDB draagt bij aan de EU-cyberweerbaarheid door organisaties en regelgevers een actueel en nauwkeurig beeld te geven van assets, afhankelijkheden en risico’s. Dit gedeelde begrip is essentieel om incidenten te voorkomen, hun impact te beperken wanneer ze zich voordoen en reacties over sectoren en grenzen heen te coördineren.

Conclusie: NIS2 CMDB-vereisten omzetten in een weerbaarheidsvoordeel

NIS2 CMDB-vereisten dwingen organisaties om opnieuw na te denken over hoe zij asset- en configuratiegegevens beheren. Een NIS2-ready CMDB combineert een op maat gemaakt CMDB-datamodel, geïntegreerde ITAM voor NIS2 en sterke cybersecurity voor asset-zichtbaarheid via geautomatiseerde discovery en reconciliatie. Het bedt NIS2-specifieke attributen zoals de classificaties essentieel/belangrijk, sector- en regelgeversdetails, criticaliteit, hersteldoelen en beveiligingsstatus in in de dagelijkse werkzaamheden.

Wanneer deze CMDB is afgestemd op kaders zoals het CyFun-framework en is gebaseerd op nationale richtlijnen zoals de ANSSI CMDB-verwachtingen en CCB België-compliance, wordt deze meer dan een register. Het wordt een strategisch controlepunt dat de EU-cyberweerbaarheid ondersteunt, de responstijden bij incidenten verkort en het succespercentage van wijzigingen verbetert.

Om van theorie naar realiteit over te gaan, moeten organisaties beginnen met een gerichte beoordeling van de CMDB/ITAM-volwassenheid ten opzichte van de NIS2 CMDB-vereisten, en vervolgens een realistische roadmap ontwerpen en uitvoeren die het herontwerp van het datamodel, discovery, ITAM-integratie, inbedding in workflows en governance omvat. Voor organisaties die NIS2 CMDB-vereisten willen vertalen naar concrete tooling, is een praktische optie het implementeren van configuratiemanagement in HaloITSM, waarbij gebruik wordt gemaakt van de CMDB & configuratiemanagement-mogelijkheden samen met geïntegreerd IT-assetmanagement in HaloITSM en bredere IT-servicemanagement-fundamenten. Als u deskundige ondersteuning wenst om dat traject te versnellen, van strategie tot praktische implementatie, overweeg dan om samen te werken met gespecialiseerde ITSM- en ITAM-consultants zoals SMC Consulting, die u kunnen helpen bij het bouwen van een op NIS2 afgestemde CMDB in 30 dagen volgens bewezen CMDB best practices en automatiseringsrichtlijnen.

Over de auteur

Veelgestelde vragen