Asset Inventory — register aktív (NIS2 čl. 21(2)(i))

# Asset Inventory — register informačných aktív

**Evidencia aktív podľa NIS2 čl. 21 ods. 2 písm. i (bezpečnosť ľudských zdrojov, zásady kontroly prístupu a riadenie aktív).**

_Majiteľ: {{ASSET_INVENTORY_OWNER}}_
_Verzia: {{VERSION}}_
_Posledná aktualizácia: {{LAST_UPDATED}}_
_Frekvencia revízie: min. kvartálne + pri akejkoľvek zmene aktíva_

---

## 1. Účel

Register aktív je podkladom pre:
- **Risk management** (NIS2 čl. 21(2)(a)) — bez zoznamu aktív nemožno hodnotiť riziká
- **Incident response** (NIS2 čl. 21(2)(b)) — rýchla identifikácia dotknutých aktív pri incidente
- **Business continuity** (NIS2 čl. 21(2)(c)) — RTO/RPO per aktívum
- **Access control** (NIS2 čl. 21(2)(i))
- **GDPR ROPA** — aktíva sú súčasťou záznamov o spracovateľských činnostiach

## 2. Klasifikácia aktív

### 2.1 Kategórie

| Kód | Kategória | Príklad |
|-----|-----------|---------|
| **INF** | Infraštruktúra | Servery, switche, firewally, VPN gatewaye |
| **APP** | Aplikácie | Interné systémy, web apps, mobilné apps, CLI tools |
| **CLD** | Cloud / SaaS | Supabase, AWS, GCP, M365, Slack, Notion |
| **DAT** | Dáta | Databázy, file storage, backupy, zdrojový kód repos |
| **EDP** | Endpoint | Laptopy, mobily, tablety zamestnancov |
| **NET** | Sieťové zariadenia | Routre, WiFi APs, IDS/IPS |
| **PEO** | Ľudské aktíva | Zamestnanci s kritickou znalosťou |
| **PHY** | Fyzické | Kancelárie, serverovne, DC |
| **PRC** | Procesy | Kritické biznis procesy |

### 2.2 Úroveň kritickosti

| Level | Názov | Kritérium | Prístup |
|-------|-------|-----------|---------|
| **C1** | Verejné | Môžu byť publicly prístupné | Žiadne obmedzenie |
| **C2** | Interné | Pre zamestnancov | SSO |
| **C3** | Dôverné | Obchodné tajomstvo, finančné dáta | SSO + RBAC + logging |
| **C4** | Prísne dôverné | PII, zdravotné, platobné karty, credentials | SSO + MFA + RBAC + need-to-know + audit |

### 2.3 Data classification (per aktívum obsahujúce dáta)

- **D0 — Public:** marketing materiály, zverejnené reporty
- **D1 — Internal:** vnútorné procesy, interné dokumenty
- **D2 — Confidential:** obchodné plány, finančné údaje
- **D3 — Restricted:** PII, zdravotné, platobné, credentials, OSS klúče
- **D4 — Special category:** GDPR čl. 9 (biometria, zdravie, etnikum)

---

## 3. Inventár — tabuľka

_Každé aktívum má jeden riadok. Pre viac ako 50 položiek odporúčame spravovať v CSV/SaaS CMDB a export do tejto tabuľky kvartálne._

| Asset ID | Názov | Kategória | Owner | Umiestnenie | Kritickosť | Data class. | Dependence | Last review |
|----------|-------|-----------|-------|-------------|-----------|-------------|------------|-------------|
| A-001 | {{A001_NAME}} | {{A001_CAT}} | {{A001_OWNER}} | {{A001_LOC}} | {{A001_CRIT}} | {{A001_DC}} | {{A001_DEP}} | {{A001_REVIEW}} |
| A-002 | {{A002_NAME}} | {{A002_CAT}} | {{A002_OWNER}} | {{A002_LOC}} | {{A002_CRIT}} | {{A002_DC}} | {{A002_DEP}} | {{A002_REVIEW}} |
| A-003 | {{A003_NAME}} | {{A003_CAT}} | {{A003_OWNER}} | {{A003_LOC}} | {{A003_CRIT}} | {{A003_DC}} | {{A003_DEP}} | {{A003_REVIEW}} |

### 3.1 Detail per aktívum (vyplniť pre každé C3/C4 aktívum)

#### A-{{ASSET_ID}} — {{ASSET_NAME}}

**Základné údaje**
- Kategória: {{CATEGORY}}
- Sub-kategória: {{SUBCATEGORY}}
- Vendor / výrobca: {{VENDOR}}
- Verzia / model: {{VERSION}}
- Serial number / license key: {{SERIAL}}
- Nákupný dátum: {{PURCHASE_DATE}}
- Koniec support / warranty: {{END_OF_SUPPORT}}

**Umiestnenie a prístup**
- Fyzické umiestnenie: {{PHYSICAL_LOCATION}}
- Logické umiestnenie (network segment): {{NETWORK_SEGMENT}}
- URL / IP: {{URL_IP}}
- Authentication: {{AUTH_METHOD}} (SSO / local / cert)
- Autorizácia: {{AUTHORIZATION}} (RBAC / ABAC / manual)
- MFA: {{MFA_STATUS}} (required / optional / not supported)

**Business kontext**
- Kritickosť: {{CRITICALITY_LEVEL}} (C1-C4)
- Podporuje biznis proces: {{SUPPORTED_PROCESSES}}
- RTO (Recovery Time Objective): {{RTO}}
- RPO (Recovery Point Objective): {{RPO}}
- Počet používateľov: {{USER_COUNT}}
- Dostupnosť (SLA): {{AVAILABILITY_SLA}}

**Bezpečnostné kontroly**
- Šifrovanie v rest: {{ENCRYPTION_REST}} (áno, algoritmus)
- Šifrovanie v tranzite: {{ENCRYPTION_TRANSIT}} (TLS verzia)
- Logging: {{LOGGING}} (kam sa exportuje, retencia)
- Monitoring: {{MONITORING}} (SIEM, alerting)
- Backup: {{BACKUP}} (frekvencia, umiestnenie, test obnovy)
- Patching: {{PATCHING}} (frekvencia, zodpovedná osoba)
- Endpoint protection: {{EDR_STATUS}} (ak EDP)

**Dáta**
- Obsahuje osobné údaje: {{PII_STATUS}} (áno / nie / agregované)
- Data classification: {{DATA_CLASSIFICATION}} (D0-D4)
- Právny základ spracovania (ak PII): {{LEGAL_BASIS}}
- Retenčná doba dát: {{DATA_RETENTION}}
- Väzba na ROPA záznam: {{ROPA_REF}}

**Závislosti**
- Depend on (upstream): {{UPSTREAM_ASSETS}}
- Depend on us (downstream): {{DOWNSTREAM_ASSETS}}
- External dependencies (SaaS / SLA): {{EXTERNAL_DEPS}}

**Lifecycle**
- Status: {{LIFECYCLE_STATUS}} (In procurement / Active / Deprecated / End-of-life)
- Plán výmeny / upgrade: {{REPLACEMENT_PLAN}}
- Plán dekomisie: {{DECOMMISSION_PLAN}}
- Data sanitization pri decomissioning: {{SANITIZATION_METHOD}}

**Ownership**
- **Business Owner:** {{BUSINESS_OWNER}} (schvaľuje zmeny, risk acceptance)
- **Technical Owner:** {{TECHNICAL_OWNER}} (operácie, údržba)
- **Data Steward:** {{DATA_STEWARD}} (pre aktíva obsahujúce dáta)

---

## 4. Discovery mechanizmus

### 4.1 Automatické zistenie
- Network scan: {{NETWORK_SCAN_TOOL}} (napr. Nmap, Rumble, Axonius)
- Cloud inventory: {{CLOUD_INVENTORY_TOOL}} (napr. Wiz, Steampipe, AWS Config)
- Endpoint MDM: {{MDM_TOOL}} (napr. Intune, Jamf)
- SaaS discovery: {{SAAS_DISCOVERY}} (napr. Zluri, Torii, BetterCloud)
- Code repositories: GitHub/GitLab org inventory

### 4.2 Ručné zistenie
- Onboarding checklist — každý nový SaaS / HW prechádza cez
- Kvartálna audit kontrola (vs. automated discovery)
- Exit interview — zoznam spravovaných aktív

### 4.3 Reconciliation
- **Frekvencia:** mesačne (automated vs. manual)
- **Zodpovedný:** {{RECONCILIATION_OWNER}}
- **Evidované discrepancies:** {{DISCREPANCY_LOG_LOCATION}}

---

## 5. Kľúčové metriky (KPI)

| Metrika | Cieľ | Aktuálne |
|---------|------|----------|
| **Celkový počet aktív v inventári** | — | {{TOTAL_ASSETS}} |
| **% aktív s priradeným Ownerom** | 100 % | {{OWNERSHIP_PCT}} |
| **% C3/C4 aktív s kompletným detailom** | 100 % | {{C3C4_COMPLETE_PCT}} |
| **% aktív s aktuálnym patchom (critical CVE < 72h)** | > 95 % | {{PATCH_COMPLIANCE_PCT}} |
| **% aktív pokrytých EDR/monitoring** | 100 % pre C3/C4 | {{EDR_COVERAGE_PCT}} |
| **Priemerný vek review záznamu** | < 90 dní | {{AVG_REVIEW_AGE_DAYS}} |
| **Shadow IT detekované v poslednom kvartáli** | — | {{SHADOW_IT_COUNT}} |

---

## 6. Lifecycle processes

### 6.1 Onboarding aktíva
1. Žiadosť cez {{ONBOARDING_PROCESS}} (ticket / pull request)
2. Business justifikácia + security review
3. Priradenie Asset ID
4. Konfigurácia minimálnych kontrol (logging, MFA, encryption)
5. Doplnenie do inventára
6. Onboarding školenie pre používateľov

### 6.2 Zmenový proces
- Každá zmena kritického aktíva cez change management
- CAB approval pre C3/C4
- Update inventára + risk register po zmene

### 6.3 Decommissioning
1. Rozhodnutie o vyradení
2. Impact analysis (downstream dependencies)
3. Migration / archivácia dát
4. Secure data sanitization (NIST SP 800-88)
5. Fyzická likvidácia / return dodávateľovi
6. Update inventára — status End-of-life
7. Certifikát o vymazaní dát (ak D3/D4)

---

## 7. Väzby na ostatné NIS2 dokumenty

- **Risk Register** — každé C3/C4 aktívum musí byť mapované na aspoň 1 riziko
- **Incident Response Plan** — IR tímy používajú inventár na identifikáciu dotknutých aktív
- **Business Continuity Plan** — RTO/RPO per aktívum
- **Supplier Security Policy** — externé aktíva musia mať schválené DPA / SLA
- **ROPA (GDPR)** — aktíva s PII sú prepojené na záznamy spracovateľských činností
- **Access Control Policy** — autentifikácia / autorizácia mapovaná na inventár

---

## Príloha A — Export formát (CSV)

```csv
asset_id,name,category,subcategory,owner_business,owner_technical,location,criticality,data_classification,pii,rto,rpo,last_review,status
A-001,Supabase Production DB,CLD,DBaaS,CTO,CTO,EU Frankfurt,C4,D3,yes,4h,15min,2026-04-21,active
A-002,GitHub Enterprise org,CLD,Source code,CTO,DevOps Lead,US,C3,D2,no,24h,4h,2026-04-21,active
```

---

_Šablóna podľa NIS2 čl. 21 ods. 2 písm. i, ISO/IEC 27001 Annex A (A.5.9-A.5.11) a ENISA guidelines. Bez asset inventára nemožno reálne vykonávať risk management ani incident response. Pre začiatočníkov odporúčame minimum: všetky C3/C4 aktíva, TOP 10 závislostí, owners._