ENISA · Art. 18 NIS 2

ENISA y la Guía de Implementación Técnica de NIS 2

ENISA es la agencia de ciberseguridad de la UE. El artículo 18 de la Directiva NIS 2 le otorga un papel de informe y evaluación. El CIR (UE) 2024/2690 fija el detalle técnico. La TIG de ENISA es el manual voluntario que une ambos.

Simon OrzelSimon Orzel·

Qué cubre esta página

ENISA es la Agencia de la UE para la Ciberseguridad. Se creó mediante el Reglamento (UE) 2019/881, el Reglamento de Ciberseguridad. Su cometido es elevar la ciberseguridad en toda la Unión. Asesora a la Comisión y a los Estados miembros, apoya a los CSIRT nacionales y elabora guías técnicas e informes de amenazas.

Bajo NIS 2, ENISA tiene cuatro cometidos concretos. Apoya al Grupo de Cooperación. Gestiona la base de datos europea de vulnerabilidades en virtud del artículo 12. Elabora un informe sobre el estado de la ciberseguridad cada dos años en virtud del artículo 18. Y publica guías técnicas para ayudarle a poner en práctica el Reglamento de Ejecución (UE) 2024/2690 de la Comisión (el CIR).

La Guía de Implementación Técnica (TIG) es esa capa práctica. Es material de referencia, no ley. Toma el texto abstracto del artículo 21 NIS 2 y del CIR y lo convierte en pasos concretos. También mapea esos pasos sobre estándares consolidados, de modo que una implementación existente de ISO 27001 o NIST CSF le da ventaja.

Las tres capas jurídicas
La Directiva. El Reglamento de Ejecución. La guía de ENISA. Las dos primeras son vinculantes. La tercera es material de referencia, pero los auditores y las autoridades nacionales la citan.

Artículo 18 de la Directiva NIS 2 (2022/2555)

La ENISA, en cooperación con la Comisión y el Grupo de Cooperación, adoptará, a más tardar el 17 de enero de 2025 y, posteriormente, cada dos años, un informe sobre el estado de la ciberseguridad en la Unión.

El artículo 18 es donde reside el papel de ENISA bajo NIS 2. Encarga a ENISA elaborar un informe sobre el estado de la ciberseguridad cada dos años. Ese informe alimenta la política de la Comisión y la actuación de las autoridades nacionales. El artículo 18 nombra a ENISA expresamente. Esa es la base jurídica de la que cuelga la TIG.

Reglamento de Ejecución (UE) 2024/2690 de la Comisión

El presente Reglamento establece los requisitos técnicos y metodológicos relativos a las medidas a que se refiere el artículo 21, apartado 2, de la Directiva (UE) 2022/2555.

El CIR es Derecho de la UE directamente aplicable. Vincula a los sectores nombrados en su anexo: proveedores de DNS, registros de TLD, proveedores de servicios de nube y de centros de datos, proveedores de servicios gestionados, mercados en línea, prestadores de servicios de confianza y otros. El CIR traduce el artículo 21 a un lenguaje operativo. ENISA lleva luego el CIR un paso más allá con la TIG.

Guía de Implementación Técnica de ENISA

La guía de ENISA ofrece consejos prácticos, ejemplos de evidencia y mapeos de los requisitos de seguridad para ayudar a las empresas a implementar el reglamento.

La TIG es voluntaria. La publica ENISA, no la Comisión ni los Estados miembros. No crea nuevas obligaciones. Pero las autoridades nacionales y los auditores la citan como una lectura razonable de lo que significa 'adecuado y proporcionado' según el artículo 21, apartado 1. Si se aparta de ella, necesita un motivo.

Tres cosas que hace la TIG
La TIG tiene una forma fija. Mapea. Muestra qué aspecto tiene una buena evidencia. Y ENISA la mantiene actualizada. Cada pieza es útil para un lector distinto.
Mapeo

Mapea las medidas del art. 21 sobre cuatro estándares

La TIG toma cada medida del art. 21(2)(a) a (j) y cada sección del CIR y las alinea con ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 y CEN/TS 18026:2024. Si ya opera con uno de estos, puede reutilizar los controles que ya tiene como evidencia para NIS 2.

Evidencia

Nombra la evidencia que esperan los auditores

Para cada punto del CIR, la TIG enumera el tipo de evidencia que quieren los auditores: políticas, procedimientos, registros, líneas base de configuración, actas de revisión. No certifica ni audita. Pero le da a usted y a su auditor un vocabulario compartido sobre qué aspecto tiene lo 'bueno'.

Versionado

ENISA la mantiene actualizada

ENISA publica la TIG y la tabla de mapeo como documentos vivos bajo CC BY 4.0. La tabla de mapeo está en la versión 1.2 a fecha de agosto de 2025. Los nuevos marcos nacionales y los estándares actualizados se añaden entre versiones. Fije la versión que cite, para que su rastro de auditoría diga exactamente cuál leyó.

Dos reglas para leer la TIG correctamente
Dos reglas interpretativas subyacen a todo el documento. Explican cómo usarlo sin sobreafirmar ni infraafirmar.

Voluntaria, pero tiene peso

La TIG no es ley. Su cumplimiento se juzga frente a la Directiva y al CIR, no frente a la TIG. Al mismo tiempo, ENISA es la agencia de ciberseguridad de la UE. Los auditores y los reguladores nacionales tratan la TIG como una lectura razonable. Si hace algo distinto, necesita un motivo que se sostenga.

Un puente entre la ley y los estándares

La TIG se sitúa entre dos mundos. De un lado, el texto abstracto de la Directiva y del CIR. Del otro, los estándares que sus equipos de ingeniería y auditoría ya usan. La TIG acorta el camino de uno al otro. Si tiene ISO 27001 o NIST CSF implantados, le indica qué está ya hecho y qué falta todavía.

Cómo usan la TIG las autoridades nacionales
Los Estados miembros no aplican la TIG. Pero sus autoridades nacionales la citan en sus propias guías para las entidades dentro del ámbito. Tres ejemplos.
Alemania

BSI / Bundesamt für Sicherheit in der Informationstechnik

El BSI remite a la TIG junto con sus propios Infopakete y los catálogos de IT-Grundschutz. Puede usar IT-Grundschutz como su estándar de implementación en Alemania. El mapeo de la TIG le da el puente desde los módulos de Grundschutz hasta las medidas del artículo 21, de modo que no tiene que volver a derivar ese mapeo usted mismo.

Toda la UE

La propia ENISA

ENISA publica la TIG, mantiene actualizada la tabla de mapeo y actualiza ambas a medida que evolucionan los estándares. ENISA no ejerce la aplicación contra las empresas. Ese es el cometido de la autoridad nacional competente de su país.

Otros Estados miembros

NCSC-NL, ANSSI, NCSC.GR y otros

Otras autoridades nacionales también citan la TIG. El NCSC en los Países Bajos, ANSSI en Francia, NCSC.GR en Grecia, INCIBE en España, CCB en Bélgica. La tabla de mapeo también incluye marcos nacionales como BE-CyFun, FI-Kybermittari y ES-ENS. Eso facilita el cumplimiento transfronterizo si opera en más de un Estado miembro.

Tres afirmaciones que no se sostienen
Tres afirmaciones sobre ENISA y la TIG que aparecen en los materiales de los proveedores. Ninguna sobrevive al texto jurídico.

  • La TIG es obligatoria.

    No lo es. Lo que le vincula es la Directiva NIS 2 y el Reglamento de Ejecución (UE) 2024/2690 de la Comisión. La TIG es guía de referencia. Puede cumplir con el CIR sin seguir la TIG, siempre que pueda demostrar que se cumplen los requisitos vinculantes.

  • La TIG sustituye a ISO 27001 o NIST CSF.

    No sustituye a ningún estándar. Mapea las medidas del artículo 21 sobre ellos. Si tiene ISO 27001:2022 implantada, usa el mapeo para ver qué controles existentes cubren ya qué obligaciones de NIS 2, y dónde aún tiene brechas que cerrar.

  • ENISA hace cumplir NIS 2.

    ENISA no ejerce la aplicación. La aplicación es cometido de la autoridad nacional competente que cada Estado miembro designa en virtud del artículo 8 de la Directiva. ENISA asesora, coordina, elabora guías y gestiona la base de datos de vulnerabilidades. Las multas, las auditorías y las órdenes provienen de la autoridad nacional, no de ENISA.

Práctica: cómo usar realmente la TIG

Si ya opera con ISO 27001:2022, tome la tabla de mapeo de la TIG, recórrala y marque qué obligaciones de NIS 2 cubren ya los controles de su SGSI existente. Documente solo las brechas. Anote en sus notas de auditoría la versión exacta de la TIG que utilizó, para que el expediente diga en qué versión se basaron sus decisiones.

Si parte de cero, la TIG es lo primero que debe leer después del anexo del CIR. Le dice qué tipos de evidencia esperan los auditores para cada obligación. Eso es más útil que partir de los estándares, porque le indica qué subconjunto de cada estándar importa realmente para NIS 2.

Cómo lo gestionamos en la plataforma

Cargamos la tabla de mapeo de la TIG de ENISA en la plataforma como una capa de referencia en cada requisito. Cuando un auditor pregunta cómo un requisito dado mapea a ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 o CEN/TS 18026, la respuesta ya está ahí. Sin tablas de correspondencia manuales.

Nuestras doce categorías simplifican las obligaciones para el gerente. La TIG queda debajo como la referencia orientada al auditor. El mapeo corre en segundo plano. No tiene que leer 170 páginas de la TIG para empezar a trabajar.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), artículo 18 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Reglamento (UE) 2019/881 (Reglamento de Ciberseguridad, mandato de ENISA) — eur-lex.europa.eu/eli/reg/2019/881/oj
  • Guía de Implementación Técnica de ENISA — enisa.europa.eu/publications/nis2-technical-implementation-guidance
  • Tabla de Mapeo TIG de ENISA v1.2, CC BY 4.0 (agosto de 2025)
Use el mapeo de ENISA sin leer 170 páginas
Doce categorías, el mapeo de la TIG de ENISA en segundo plano, tablas de correspondencia de ISO 27001 y NIST CSF bajo demanda. Gratis, de código abierto, sin lock-in.
Abrir la plataforma gratuita