ENISA a technický prováděcí pokyn k NIS 2
ENISA je agentura EU pro kybernetickou bezpečnost. Článek 18 směrnice NIS 2 jí dává roli v podávání zpráv a hodnocení. CIR (EU) 2024/2690 stanoví technické podrobnosti. TIG od ENISA je dobrovolný návod, který obojí spojuje.
Co tato stránka pokrývá
ENISA je Agentura EU pro kybernetickou bezpečnost. Byla zřízena nařízením (EU) 2019/881, aktem o kybernetické bezpečnosti. Jejím úkolem je zvyšovat kybernetickou bezpečnost v celé Unii. Radí Komisi a členským státům, podporuje národní CSIRT a píše technické pokyny a zprávy o hrozbách.
Podle NIS 2 má ENISA čtyři konkrétní úkoly. Podporuje skupinu pro spolupráci. Provozuje evropskou databázi zranitelností podle článku 12. Každé dva roky píše zprávu o stavu kybernetické bezpečnosti podle článku 18. A vydává technické pokyny, které vám pomohou uvést do praxe prováděcí nařízení Komise (EU) 2024/2690 (CIR).
Technický prováděcí pokyn (TIG) je touto praktickou vrstvou. Je to referenční materiál, ne zákon. Bere abstraktní znění článku 21 NIS 2 a CIR a převádí je do konkrétních kroků. Tyto kroky také mapuje na zavedené normy, takže existující zavedení ISO 27001 nebo NIST CSF vám dává náskok.
Článek 18 směrnice NIS 2 (2022/2555)
ENISA ve spolupráci s Komisí a skupinou pro spolupráci přijme do 17. ledna 2025 a poté každé dva roky zprávu o stavu kybernetické bezpečnosti v Unii.
Článek 18 je místem, kde role ENISA podle NIS 2 sídlí. Ukládá ENISA psát každé dva roky zprávu o stavu kybernetické bezpečnosti. Tato zpráva se promítá do politiky Komise a do toho, co dělají národní orgány. Článek 18 jmenuje ENISA jménem. To je právní kolík, na kterém TIG visí.
Prováděcí nařízení Komise (EU) 2024/2690
Toto nařízení stanoví technické a metodické požadavky týkající se opatření uvedených v čl. 21 odst. 2 směrnice (EU) 2022/2555.
CIR je přímo použitelné právo EU. Zavazuje odvětví uvedená v jeho příloze: poskytovatele DNS, registry TLD, poskytovatele cloudu a datových center, poskytovatele řízených služeb, online tržiště, poskytovatele služeb vytvářejících důvěru a další. CIR převádí článek 21 do operativního jazyka. ENISA pak posouvá CIR o krok dál pomocí TIG.
Technický prováděcí pokyn od ENISA
Pokyn od ENISA nabízí praktické rady, příklady důkazů a mapování bezpečnostních požadavků, které společnostem pomáhají nařízení zavést.
TIG je dobrovolný. Vydává jej ENISA, ne Komise a ne členské státy. Nevytváří nové povinnosti. Národní orgány a auditoři jej však citují jako rozumný výklad toho, co znamená „vhodné a přiměřené“ podle čl. 21 odst. 1. Pokud se od něj odchýlíte, potřebujete důvod.
Mapuje opatření čl. 21 na čtyři normy
TIG bere každé opatření od čl. 21 odst. 2 písm. a) až j) a každý oddíl CIR a srovnává je s ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 a CEN/TS 18026:2024. Pokud již jednu z nich provozujete, můžete znovu použít kontroly, které již máte, jako důkaz pro NIS 2.
Jmenuje důkazy, které auditoři očekávají
Pro každý bod CIR uvádí TIG druh důkazu, který auditoři chtějí: politiky, postupy, logy, konfigurační základní linie, záznamy o přezkumech. Necertifikuje a neaudituje. Ale dává vám a vašemu auditorovi sdílený slovník pro to, jak vypadá „dobré“.
ENISA jej udržuje aktuální
ENISA vydává TIG a mapovací tabulku jako živé dokumenty pod CC BY 4.0. Mapovací tabulka je k srpnu 2025 ve verzi 1.2. Mezi verzemi se přidávají nové národní rámce a aktualizované normy. Připněte verzi, kterou citujete, aby vaše auditní stopa přesně říkala, kterou jste četli.
Dobrovolný, ale má váhu
TIG není zákon. Vaše shoda se posuzuje podle směrnice a CIR, ne podle TIG. Zároveň je ENISA agenturou EU pro kybernetickou bezpečnost. Auditoři a národní regulátoři považují TIG za rozumný výklad. Pokud děláte něco jiného, potřebujete důvod, který obstojí.
Most mezi zákonem a normami
TIG sedí mezi dvěma světy. Na jedné straně abstraktní znění směrnice a CIR. Na druhé straně normy, které vaše inženýrské a auditní týmy již používají. TIG zkracuje cestu z jednoho ke druhému. Pokud máte zavedeno ISO 27001 nebo NIST CSF, řekne vám, co je již hotovo a co stále chybí.
BSI / Bundesamt für Sicherheit in der Informationstechnik
BSI ukazuje na TIG vedle vlastních Infopakete a katalogů IT-Grundschutz. V Německu můžete jako svou implementační normu použít IT-Grundschutz. Mapování TIG vám dává most od stavebních bloků Grundschutz k opatřením článku 21, takže si toto mapování nemusíte odvozovat sami.
Sama ENISA
ENISA vydává TIG, udržuje mapovací tabulku aktuální a aktualizuje obojí s vývojem norem. ENISA nevymáhá vůči společnostem. To je úkolem národního příslušného orgánu ve vaší zemi.
NCSC-NL, ANSSI, NCSC.GR a další
TIG citují i jiné národní orgány. NCSC v Nizozemsku, ANSSI ve Francii, NCSC.GR v Řecku, INCIBE ve Španělsku, CCB v Belgii. Mapovací tabulka zahrnuje i národní rámce jako BE-CyFun, FI-Kybermittari a ES-ENS. To usnadňuje přeshraniční shodu, pokud působíte ve více než jednom členském státě.
TIG je povinný.
Není. Co vás zavazuje, je směrnice NIS 2 a prováděcí nařízení Komise (EU) 2024/2690. TIG je referenční pokyn. CIR můžete dodržet, aniž byste se řídili TIG, pokud dokážete prokázat, že jsou splněny závazné požadavky.
TIG nahrazuje ISO 27001 nebo NIST CSF.
Nenahrazuje žádnou normu. Mapuje na ně opatření článku 21. Pokud máte zavedeno ISO 27001:2022, použijete mapování, abyste viděli, které existující kontroly již pokrývají které povinnosti NIS 2 a kde máte stále mezery k uzavření.
ENISA vymáhá NIS 2.
ENISA nevymáhá. Vymáhání je úkolem národního příslušného orgánu, který každý členský stát určuje podle článku 8 směrnice. ENISA radí, koordinuje, píše pokyny a provozuje databázi zranitelností. Pokuty, audity a příkazy přicházejí od národního orgánu, ne od ENISA.
Pokud již provozujete ISO 27001:2022, vezměte mapovací tabulku TIG, projděte ji a označte, které povinnosti NIS 2 vaše stávající kontroly ISMS již pokrývají. Dokumentujte pouze mezery. Zapište přesnou verzi TIG, kterou jste použili, do svých auditních poznámek, aby spis říkal, na které verzi byla vaše rozhodnutí založena.
Pokud začínáte od nuly, TIG je první věc ke čtení po příloze CIR. Říká vám, jaké druhy důkazů auditoři pro každou povinnost očekávají. To je užitečnější než začínat od norem, protože vám to říká, která podmnožina každé normy pro NIS 2 skutečně záleží.
Mapovací tabulku TIG od ENISA jsme nahráli do platformy jako referenční vrstvu u každého požadavku. Když se auditor zeptá, jak se daný požadavek mapuje na ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 nebo CEN/TS 18026, odpověď je již tam. Žádné ruční křížové mapování.
Našich dvanáct kategorií zjednodušuje povinnosti pro jednatele. TIG leží pod nimi jako reference směrem k auditorovi. Mapování běží na pozadí. Nemusíte přečíst 170 stran TIG, abyste mohli začít pracovat.
- Směrnice (EU) 2022/2555 (NIS 2), článek 18. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Nařízení (EU) 2019/881 (akt o kybernetické bezpečnosti, mandát ENISA). eur-lex.europa.eu/eli/reg/2019/881/oj
- Technický prováděcí pokyn od ENISA. enisa.europa.eu/publications/nis2-technical-implementation-guidance
- Mapovací tabulka TIG od ENISA v1.2, CC BY 4.0 (srpen 2025)