Tra le misure organizzative introdotte dalla direttiva NIS2, un ruolo di primo piano è rivestito dall’Asset Management, ovvero la gestione degli asset IT, e dal CMDB (Configuration Management DataBase), cioè un database di configurazioni che tiene traccia delle relazioni e delle dipendenze tra i Configuration Items o i componenti dell’infrastruttura informativa, garantendone l’aggiornamento continuo, la tracciabilità e la verificabilità.
Conoscere e governare i propri asset informatici è il punto di partenza di qualsiasi strategia di sicurezza: non si può proteggere ciò che non si conosce. Per i Responsabili IT, CISO e CIO, assicurare un inventario completo e aggiornato di hardware, software, servizi e relative configurazioni non è più solo una buona pratica, ma un obbligo normativo ai fini della conformità NIS2 e dei requisiti di sicurezza.
In questo articolo approfondiamo le differenze tra IT Asset Management e CMDB, il loro ruolo complementare e come insieme costituiscono un pilastro fondamentale per la sicurezza e compliance.
IT Asset Management vs CMDB: definizioni e differenze
- IT Asset Management (ITAM)
È la disciplina che si occupa di tracciare e gestire il ciclo di vita di tutti gli asset IT dell’organizzazione. Ciò include dispositivi hardware (server, PC, dispositivi di rete, IoT), applicazioni e software license, servizi cloud utilizzati, database, etc.
L’ITAM ha una visione orientata soprattutto agli aspetti inventariali, finanziari e contrattuali: ad esempio tiene conto di quanti dispositivi sono in uso, chi è il responsabile di ciascuno, quando scadono le licenze, i contratti, le scadenze, le garanzie, i costi e via dicendo..
Un efficace sistema di asset management consente di evitare sprechi (asset non utilizzati), garantire rinnovi puntualie soprattutto di sapere esattamente “cosa c’è in casa” in ogni momento.
- Configuration Management Database (CMDB)
È uno strumento, tipicamente parte di una piattaforma ITSM, che raccoglie informazioni sulle Configurazioni degli elementi IT, definiti come CI (Configuration Items). A differenza dell’ITAM, il CMDB si focalizza sulle caratteristiche tecniche e sulle relazioni tra gli elementi. Per ogni CI (che può essere un server, un’applicazione, un servizio di rete, ecc.) il CMDB registra attributi come versione del software, patch installate, configurazioni di rete, posizione, nonché i collegamenti con altri CI (es. un server ospita una certa applicazione, che a sua volta dipende da un database su un altro server, ecc.). Il CMDB quindi mappa l’ecosistema IT evidenziando le dipendenze, le interrelazioni, le convergenze e le connessioni. Tutto ciò è cruciale per capire gli impatti di un guasto o di un cambiamento su altri elementi correlati.
ITAM e CMDB sono due facce della stessa medaglia: il primo fornisce una lista completa degli asset e del loro stato amministrativo-finanziario, il secondo aggiunge la dimensione tecnico-relazionale indispensabile per la gestione operativa e la sicurezza. Non a caso, le best practice raccomandano di integrarli strettamente.
All’interno della nostra piattaforma HDA ITSM, ad esempio, il modulo di Asset Management lavora in sinergia col CMDB: ogni volta che un nuovo asset viene aggiunto, vengono acquisite sia le informazioni amministrative sia quelle tecniche di configurazione, aggiornando così automaticamente il database dei Configuration Items. Ciò evita discrepanze tra inventario e realtà operativa.
NIS2: inventario completo e aggiornato degli asset
La direttiva NIS2, recepita in Italia dal D.Lgs. 138/2024, richiede formalmente alle organizzazioni di predisporre e mantenere aggiornati inventari e configurazioni di riferimento di tutti gli asset critici. Entro aprile 2026, le società NIS2 dovranno poter esibire (anche in caso di ispezioni ACN) una nutrita serie di documenti, tra cui:
- Elenchi: ad esempio l’elenco del personale con ruoli nella sicurezza informatica; l’elenco delle configurazioni di riferimento per sistemi/servizi critici (per i soggetti essenziali); l’elenco dei sistemi accessibili da remoto. Questi documenti servono a definire chi e cosa è coinvolto nella gestione della cybersecurity.
- Inventari: l’inventario degli apparati fisici (tutte le apparecchiature hardware); l’inventario di servizi, sistemi e applicazioni software utilizzati; l’elenco dei flussi di rete critici (solo per soggetti essenziali); l’inventario dei servizi erogati dai fornitori esterni e l’elenco dei fornitori ICT rilevanti. Questo corrisponde in pratica al cuore dell’Asset Management: bisogna censire tutte le risorse, interne ed esterne, che fanno parte del sistema informativo aziendale.
- Piani e politiche collegati: ad esempio il piano di gestione del rischio IT, il piano di gestione delle vulnerabilità(patch management), i piani di continuità operativa e disaster recovery, e anche la politica di sicurezza delle informazioni e la politica di gestione degli incidenti. Sono documenti strategici che richiedono la conoscenza approfondita degli asset per essere redatti.
- Registri e documentazione operativa: la normativa chiede di mantenere registri delle attività, ad esempio un registro delle manutenzioni effettuate sugli asset e un registro dell’esito dei riesami periodici delle politiche di sicurezza. Anche questi aspetti si collegano all’Asset Management: sapere quali componenti sono stati aggiornati, riparati o sostituiti è essenziale per dimostrare la due diligence.
Come si vede, l’ampiezza dell’inventario non si limita ai soli server e PC noti al reparto IT, ma include tutto: servizi in cloud, applicazioni SaaS, componenti di rete, persino fornitori e terze parti. Ciò significa che particolare attenzione va posta al fenomeno del shadow IT, ovvero quelle risorse tecnologiche acquisite o utilizzate dai reparti aziendali senza passare dall’IT centrale (ad esempio un team marketing che attiva autonomamente un servizio cloud per invio newsletter, senza comunicarlo all’IT). Il rischio è di avere asset “occulti” non governati che possono costituire falle di sicurezza. Per conformarsi a NIS2, le imprese devono mettere sotto controllo anche questo aspetto, ad esempio attraverso periodici processi di asset discovery in rete e sensibilizzando i vari dipartimenti a dichiarare gli strumenti IT che adottano.
Fortunatamente, esistono strumenti che aiutano ad automatizzare la scoperta e il monitoraggio degli asset. Soluzioni ITSM come HDA ITSM offrono funzionalità di scan della rete e integrazione con sistemi di inventory: in questo modo si può avere una mappatura dinamica degli asset che si aggiorna in real time quando nuovi dispositivi o applicazioni compaiono sul network. Inoltre, un CMDB ben popolato consente di evidenziare rapidamente eventuali anomalie, ad esempio individuando asset attivi non registrati (potenziale shadow IT) o configurazioni difformi dallo standard approvato.
CMDB e sicurezza: impatti su risk management e incident response
Un CMDB software accurato non è solo utile ai fini documentali, ma ha un valore operativo enorme nella gestione quotidiana della sicurezza. Alcuni benefici chiave:
- Analisi degli impatti
In caso di vulnerabilità critica su un certo software, grazie al CMDB si può in pochi minuti estrarre la lista di tutti i sistemi ad esso collegati, valutando così l’entità del problema e le priorità di patch. Analogamente, se un server va offline o subisce un attacco, il CMDB aiuta a capire quali servizi dipendono da quel server e quindi quali processi di business potrebbero essere impattati.
- Gestione del rischio e prioritizzazione
NIS2 adotta un approccio basato sul rischio. Il CMDB permette di associare ad ogni asset un livello di criticità (ad esempio un punteggio di impatto sul business) e di valutare le dipendenze. Così, una vulnerabilità su un asset critico avrà priorità di rimedio più alta. Inoltre, integrando i dati di vulnerability management, è possibile sapere in ogni momento quali asset presentano vulnerabilità non risolte e concentrarsi su quelli più critici.
- Risposta agli incidenti più rapida
Quando scatta un incidente, il service desk può consultare il CMDB per ottenere immediatamente tutte le informazioni sull’elemento compromesso (configurazione, rete, owner, relazioni). Ciò accelera la diagnostica e il contenimento. Ad esempio, se viene infettato un client, il CMDB può indicare a quale server si connette di solito o che dati tratta; oppure se un’applicazione va in crash, dal CMDB si vedrà su che server gira e con quali altre app comunica.
- Conformità e audit
Come richiesto da NIS2, molte evidenze documentali devono essere disponibili su richiesta dell’autorità. Un CMDB aggiornato, con storico delle modifiche, funge da auditable record della configurazione dei sistemi. Durante un’ispezione, poter mostrare di avere controlli di Asset e Configurazione robusti (inventari, CMDB, registri manutenzioni) faciliterà la verifica di conformità.
Strategia di implementazione e ruolo dell’ITSM
Per implementare efficacemente una soluzione di Asset & Configuration Management conforme a NIS2, le organizzazioni dovrebbero procedere per fasi:
- Censimento iniziale e data quality
- Avviare un progetto di inventory di tutti gli asset esistenti, magari sfruttando tool automatici, ma anche interviste ai vari reparti per scovare asset meno evidenti.
- Normalizzare i dati (nomenclature univoche, attributi completi) e caricarli nel sistema di Asset Management/CMDB.
- Definizione di standard e responsabilità
- Stabilire chiaramente chi è responsabile dell’aggiornamento dell’inventario (es. processo per cui ogni nuovo asset acquistato dall’IT viene registrato) e come mantenere le informazioni accurate nel tempo.
- Definire configurazioni standard (golden configuration) per i sistemi più critici, da usare come riferimento.
- Integrazione con altri processi ITSM
L’Asset Management e CMDB devono integrarsi con i processi di service management. Ad esempio, ogni change approvato su un servizio dovrebbe aggiornare automaticamente lo stato del relativo CI nel CMDB (es. nuova versione software installata). Allo stesso modo, quando si chiude un incidente, potrebbe essere utile annotare nel CMDB la causa rilevata (ad es. “porta firewall aperta”) per storicità.
- Monitoraggio continuo e miglioramento
- Prevedere audit periodici dell’inventario (es. ogni 6 mesi) per verificare che non vi siano scostamenti tra realtà e database.
- Implementare metriche di performance, tipo il tempo medio di aggiornamento di un nuovo asset. Questo aiuta a tenere alta la qualità dei dati.
L’utilizzo di una soluzione integrata semplifica molto questi compiti. HDA ITSM governa i processi di Asset & Configuration Management e supporta, mediante integrazioni, la scansione automatica della rete, l’import da fonti esterne (es. file CSV di inventario) e la gestione centralizzata di asset hardware, software e servizi in un unico CMDB.
Grazie ai suoi workflow, ogni volta che viene effettuata una modifica approvata (change) il sistema può aggiornare i campi pertinenti nel CMDB, mantenendo allineata la documentazione.
Inoltre, la piattaforma fornisce dashboard e report utili per dimostrare lo stato degli inventari e delle configurazioni alle funzioni di audit o agli ispettori ACN.
Investire su Asset Management e CMDB non è solo necessario per rispettare NIS2, ma porta benefici tangibili in termini di efficienza operativa e riduzione del rischio. Sapere con esattezza quali beni digitali si possiedono, dove sono, come sono configurati e con chi interagiscono significa poter prendere decisioni informate e rapide in caso di necessità, aumentando la resilienza complessiva dell’organizzazione.
Vuoi scoprire come rendere la gestione degli asset e delle configurazioni un processo semplice ed efficace? Scarica Gratuitamente l’Ebook "HDA ITSM per facilitare la conformità NIS2" per ottenere consigli pratici e una panoramica di come HDA ITSM può aiutarti a mappare e controllare tutti i tuoi asset IT in ottica di sicurezza e compliance.
FAQ - Domande Frequenti
1) Qual è la differenza tra Asset Management e CMDB?
L’Asset Management governa il ciclo di vita amministrativo/finanziario degli asset (inventario, owner, licenze, costi). Il CMDB modella i Configuration Item e le dipendenze, con stato e parametri di configurazione. Insieme costituiscono la source of truth end-to-end per operazioni, sicurezza e change.
2) Asset Management: quali sono gli obblighi e le scadenze NIS2?
NIS2 richiede inventari completi e aggiornati di hardware, software/SaaS, cloud, rete e fornitori, con baseline di configurazione ed evidenze operative (manutenzioni e riesami). Tali evidenze devono essere disponibili ed esibibili ad ACN entro aprile 2026, includendo anche il controllo dello shadow IT tramite discovery periodico.
3) CMDB: come supporta risk management e incident response?
Il CMDB mappa le dipendenze e la criticità degli asset per analisi d’impatto e priorità di patch; in caso di incidente fornisce subito configurazioni, owner e relazioni per accelerare triage e containment, mantenendo lo storico delle modifiche utile ad audit e conformità (anche NIS2).