ENISA et le guide de mise en œuvre technique de NIS 2
ENISA est l'agence de l'UE pour la cybersécurité. L'article 18 de la directive NIS 2 lui confie un rôle de rapport et d'évaluation. Le CIR (UE) 2024/2690 fixe le détail technique. Le TIG d'ENISA est le manuel pratique volontaire qui relie les deux.
Ce que couvre cette page
ENISA est l'Agence de l'Union européenne pour la cybersécurité. Elle a été instituée par le règlement (UE) 2019/881, le règlement sur la cybersécurité. Sa mission est d'élever le niveau de cybersécurité dans toute l'Union. Elle conseille la Commission et les États membres, soutient les CSIRT nationaux et rédige des orientations techniques et des rapports sur les menaces.
Au titre de NIS 2, ENISA a quatre missions concrètes. Elle soutient le groupe de coopération. Elle gère la base de données européenne des vulnérabilités au titre de l'article 12. Elle rédige tous les deux ans un rapport sur l'état de la cybersécurité au titre de l'article 18. Et elle publie des orientations techniques pour vous aider à mettre en pratique le règlement d'exécution (UE) 2024/2690 de la Commission (le CIR).
Le guide de mise en œuvre technique (TIG) est cette couche pratique. C'est un document de référence, pas du droit. Il prend la formulation abstraite de l'article 21 de NIS 2 et du CIR et la traduit en étapes concrètes. Il fait également correspondre ces étapes à des normes établies, de sorte qu'une mise en œuvre ISO 27001 ou NIST CSF existante vous donne une longueur d'avance.
Article 18 de la directive NIS 2 (2022/2555)
ENISA shall, in cooperation with the Commission and the Cooperation Group, adopt by 17 January 2025, and every two years thereafter, a report on the state of cybersecurity in the Union.
L'article 18 est l'endroit où réside le rôle d'ENISA au titre de NIS 2. Il enjoint à ENISA de rédiger tous les deux ans un rapport sur l'état de la cybersécurité. Ce rapport alimente la politique de la Commission et l'action des autorités nationales. L'article 18 nomme ENISA expressément. C'est le point d'ancrage juridique auquel se rattache le TIG.
Règlement d'exécution (UE) 2024/2690 de la Commission
This Regulation lays down technical and methodological requirements with regard to the measures referred to in Article 21(2) of Directive (EU) 2022/2555.
Le CIR est un droit de l'UE directement applicable. Il lie les secteurs nommés dans son annexe : fournisseurs DNS, registres de noms de domaine de premier niveau, fournisseurs de services en nuage et de centres de données, fournisseurs de services gérés, places de marché en ligne, prestataires de services de confiance et autres. Le CIR traduit l'article 21 en langage opérationnel. ENISA pousse ensuite le CIR un cran plus loin avec le TIG.
Guide de mise en œuvre technique d'ENISA
ENISA's guidance offers practical advice, examples of evidence, and mappings of security requirements to help companies implement the regulation.
Le TIG est volontaire. C'est ENISA qui le publie, ni la Commission ni les États membres. Il ne crée pas de nouvelles obligations. Mais les autorités nationales et les auditeurs le citent comme une lecture raisonnable de ce que signifient les termes « appropriées et proportionnées » au titre de l'article 21, paragraphe 1. Si vous vous en écartez, il vous faut une raison.
Fait correspondre les mesures de l'art. 21 à quatre normes
Le TIG prend chaque mesure de l'art. 21(2)(a) à (j) et chaque section du CIR et les aligne sur ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 et CEN/TS 18026:2024. Si vous appliquez déjà l'une d'elles, vous pouvez réutiliser comme preuve pour NIS 2 les contrôles que vous avez déjà.
Nomme les preuves attendues par les auditeurs
Pour chaque point du CIR, le TIG énumère le type de preuve que veulent les auditeurs : politiques, procédures, journaux, configurations de référence, registres de revue. Il ne certifie pas et n'audite pas. Mais il vous donne, à vous et à votre auditeur, un vocabulaire commun pour définir ce qui est « bon ».
ENISA le tient à jour
ENISA publie le TIG et le tableau de correspondance comme des documents vivants sous licence CC BY 4.0. Le tableau de correspondance est à la version 1.2 en date d'août 2025. De nouveaux cadres nationaux et des normes mises à jour sont ajoutés d'une version à l'autre. Figez la version que vous citez, afin que votre piste d'audit indique exactement laquelle vous avez consultée.
Volontaire, mais il a du poids
Le TIG n'est pas du droit. Votre conformité s'apprécie au regard de la directive et du CIR, et non du TIG. En même temps, ENISA est l'agence de l'UE pour la cybersécurité. Les auditeurs et les régulateurs nationaux traitent le TIG comme une lecture raisonnable. Si vous faites quelque chose de différent, il vous faut une raison qui tienne.
Un pont entre la loi et les normes
Le TIG se situe entre deux mondes. D'un côté, la formulation abstraite de la directive et du CIR. De l'autre, les normes que vos équipes d'ingénierie et d'audit utilisent déjà. Le TIG raccourcit le chemin de l'un à l'autre. Si vous avez déjà ISO 27001 ou NIST CSF en place, il vous indique ce qui est déjà fait et ce qui manque encore.
BSI / Bundesamt für Sicherheit in der Informationstechnik
Le BSI renvoie au TIG aux côtés de ses propres Infopakete et des catalogues IT-Grundschutz. Vous pouvez utiliser IT-Grundschutz comme norme de mise en œuvre en Allemagne. La correspondance du TIG vous fournit le pont entre les blocs Grundschutz et les mesures de l'article 21, de sorte que vous n'avez pas à reconstituer cette correspondance vous-même.
ENISA elle-même
ENISA publie le TIG, maintient le tableau de correspondance à jour et actualise les deux à mesure que les normes évoluent. ENISA n'engage pas de poursuites contre les entreprises. C'est le rôle de l'autorité nationale compétente de votre pays.
NCSC-NL, ANSSI, NCSC.GR et autres
D'autres autorités nationales citent aussi le TIG. Le NCSC aux Pays-Bas, l'ANSSI en France, le NCSC.GR en Grèce, l'INCIBE en Espagne, le CCB en Belgique. Le tableau de correspondance inclut également des cadres nationaux comme BE-CyFun, FI-Kybermittari et ES-ENS. Cela facilite la conformité transfrontalière si vous opérez dans plus d'un État membre.
Le TIG est obligatoire.
Il ne l'est pas. Ce qui vous lie, c'est la directive NIS 2 et le règlement d'exécution (UE) 2024/2690 de la Commission. Le TIG est une orientation de référence. Vous pouvez vous conformer au CIR sans suivre le TIG, dès lors que vous pouvez démontrer que les exigences contraignantes sont satisfaites.
Le TIG remplace ISO 27001 ou NIST CSF.
Il ne remplace aucune norme. Il fait correspondre les mesures de l'article 21 à celles-ci. Si vous avez ISO 27001:2022 en place, vous utilisez la correspondance pour voir quels contrôles existants couvrent déjà quelles obligations NIS 2, et où il vous reste des écarts à combler.
ENISA assure l'application de NIS 2.
ENISA n'assure pas l'application. L'application relève de l'autorité nationale compétente que chaque État membre désigne au titre de l'article 8 de la directive. ENISA conseille, coordonne, rédige des orientations et gère la base de données des vulnérabilités. Les amendes, les audits et les injonctions émanent de l'autorité nationale, pas d'ENISA.
Si vous appliquez déjà ISO 27001:2022, prenez le tableau de correspondance du TIG, parcourez-le et indiquez quelles obligations NIS 2 vos contrôles ISMS existants couvrent déjà. Ne documentez que les écarts. Inscrivez la version exacte du TIG que vous avez utilisée dans vos notes d'audit, afin que le dossier indique sur quelle version vos décisions se sont fondées.
Si vous partez de zéro, le TIG est la première chose à lire après l'annexe du CIR. Il vous indique quels types de preuves les auditeurs attendent pour chaque obligation. C'est plus utile que de partir des normes, car il vous dit quel sous-ensemble de chaque norme importe réellement pour NIS 2.
Nous avons chargé le tableau de correspondance du TIG d'ENISA dans la plateforme comme couche de référence sur chaque exigence. Lorsqu'un auditeur demande comment une exigence donnée correspond à ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 ou CEN/TS 18026, la réponse est déjà là. Aucun rapprochement manuel.
Nos douze catégories simplifient les obligations pour le gérant. Le TIG reste en arrière-plan comme référence à destination des auditeurs. La correspondance s'exécute en arrière-plan. Vous n'avez pas à lire 170 pages de TIG pour commencer à travailler.
- Directive (UE) 2022/2555 (NIS 2), article 18 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Règlement (UE) 2019/881 (règlement sur la cybersécurité, mandat d'ENISA) — eur-lex.europa.eu/eli/reg/2019/881/oj
- Guide de mise en œuvre technique d'ENISA — enisa.europa.eu/publications/nis2-technical-implementation-guidance
- Tableau de correspondance du TIG d'ENISA v1.2, CC BY 4.0 (août 2025)