ENISA · Art. 18 NIS 2

ENISA e la Technical Implementation Guidance NIS 2

ENISA è l'agenzia dell'UE per la cybersicurezza. L'articolo 18 della direttiva NIS 2 le attribuisce un ruolo di rendicontazione e valutazione. Il CIR (UE) 2024/2690 stabilisce il dettaglio tecnico. La TIG di ENISA è il manuale operativo volontario che lega entrambi.

Simon OrzelSimon Orzel·

Cosa copre questa pagina

ENISA è l'Agenzia dell'Unione europea per la cybersicurezza. È stata istituita dal regolamento (UE) 2019/881, il Cybersecurity Act. Il suo compito è elevare la cybersicurezza in tutta l'Unione. Consiglia la Commissione e gli Stati membri, supporta i CSIRT nazionali e redige orientamenti tecnici e rapporti sulle minacce.

Ai sensi della NIS 2, ENISA ha quattro compiti concreti. Supporta il gruppo di cooperazione. Gestisce la banca dati europea delle vulnerabilità ai sensi dell'articolo 12. Redige ogni due anni una relazione sullo stato della cybersicurezza ai sensi dell'articolo 18. E pubblica orientamenti tecnici per aiutarvi a mettere in pratica il regolamento di esecuzione (UE) 2024/2690 della Commissione (il CIR).

La Technical Implementation Guidance (TIG) è quel livello pratico. È materiale di riferimento, non legge. Prende il testo astratto dell'articolo 21 NIS 2 e del CIR e lo trasforma in passi concreti. Mappa inoltre quei passi su standard consolidati, così che un'implementazione ISO 27001 o NIST CSF esistente vi dia un vantaggio iniziale.

I tre livelli giuridici
La direttiva. Il regolamento di esecuzione. Gli orientamenti di ENISA. I primi due sono vincolanti. Il terzo è materiale di riferimento, ma auditor e autorità nazionali lo citano.

Articolo 18 direttiva NIS 2 (2022/2555)

ENISA, in cooperazione con la Commissione e il gruppo di cooperazione, adotta entro il 17 gennaio 2025 e, successivamente, ogni due anni una relazione sullo stato della cybersicurezza nell'Unione.

L'articolo 18 è la sede del ruolo di ENISA ai sensi della NIS 2. Impone a ENISA di redigere ogni due anni una relazione sullo stato della cybersicurezza. Tale relazione alimenta la politica della Commissione e l'operato delle autorità nazionali. L'articolo 18 nomina ENISA per nome. È il fondamento giuridico a cui si aggancia la TIG.

Regolamento di esecuzione (UE) 2024/2690 della Commissione

Il presente regolamento stabilisce i requisiti tecnici e metodologici relativi alle misure di cui all'articolo 21, paragrafo 2, della direttiva (UE) 2022/2555.

Il CIR è diritto dell'UE direttamente applicabile. Vincola i settori indicati nel suo allegato: fornitori di DNS, registri TLD, fornitori di servizi cloud e di data center, fornitori di servizi gestiti, mercati online, prestatori di servizi fiduciari e altri. Il CIR traduce l'articolo 21 in linguaggio operativo. ENISA porta poi il CIR un passo più in là con la TIG.

Technical Implementation Guidance di ENISA

Gli orientamenti di ENISA offrono consigli pratici, esempi di evidenze e mappature dei requisiti di sicurezza per aiutare le aziende ad attuare il regolamento.

La TIG è volontaria. La pubblica ENISA, non la Commissione né gli Stati membri. Non crea nuovi obblighi. Ma le autorità nazionali e gli auditor la citano come lettura ragionevole di ciò che significa 'adeguato e proporzionato' ai sensi dell'articolo 21, paragrafo 1. Se ve ne discostate, vi serve una motivazione.

Tre cose che fa la TIG
La TIG ha una struttura fissa. Mappa. Mostra come si presenta una buona evidenza. Ed ENISA la mantiene aggiornata. Ciascuna parte è utile a un lettore diverso.
Mappatura

Mappa le misure dell'art. 21 su quattro standard

La TIG prende ogni misura dall'art. 21(2)(a) alla (j) e ogni sezione del CIR e le allinea a ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 e CEN/TS 18026:2024. Se già utilizzate uno di questi, potete riutilizzare i controlli che già avete come evidenza per la NIS 2.

Evidenze

Indica le evidenze che gli auditor si aspettano

Per ciascun punto del CIR, la TIG elenca il tipo di evidenza che gli auditor vogliono: politiche, procedure, log, baseline di configurazione, registri dei riesami. Non certifica e non effettua audit. Ma offre a voi e al vostro auditor un vocabolario condiviso di ciò che è 'buono'.

Versionamento

ENISA la mantiene aggiornata

ENISA pubblica la TIG e la tabella di mappatura come documenti vivi con licenza CC BY 4.0. La tabella di mappatura è alla versione 1.2 ad agosto 2025. Nuovi framework nazionali e standard aggiornati vengono aggiunti tra una versione e l'altra. Fissate la versione che citate, così che la vostra traccia di audit indichi esattamente quale avete consultato.

Due regole per leggere correttamente la TIG
Due regole interpretative stanno alla base dell'intero documento. Spiegano come usarlo senza sovrastimarlo né sottostimarlo.

Volontaria, ma con un peso

La TIG non è legge. La vostra conformità è valutata rispetto alla direttiva e al CIR, non rispetto alla TIG. Allo stesso tempo, ENISA è l'agenzia dell'UE per la cybersicurezza. Auditor e autorità nazionali trattano la TIG come una lettura sensata. Se fate qualcosa di diverso, vi serve una motivazione che regga.

Un ponte tra la legge e gli standard

La TIG si colloca tra due mondi. Da un lato, il testo astratto della direttiva e del CIR. Dall'altro, gli standard che i vostri team di ingegneria e di audit già utilizzano. La TIG accorcia il percorso dall'uno all'altro. Se avete ISO 27001 o NIST CSF in atto, vi dice cosa è già fatto e cosa manca ancora.

Come le autorità nazionali usano la TIG
Gli Stati membri non applicano la TIG. Ma le loro autorità nazionali la citano nei propri orientamenti alle entità rientranti nell'ambito. Tre esempi.
Germania

BSI / Bundesamt für Sicherheit in der Informationstechnik

Il BSI rimanda alla TIG insieme ai propri Infopakete e ai cataloghi IT-Grundschutz. In Germania potete usare IT-Grundschutz come vostro standard di attuazione. La mappatura della TIG vi fornisce il ponte dai moduli Grundschutz alle misure dell'articolo 21, così non dovete ricostruire da soli quella mappatura.

Tutta l'UE

ENISA stessa

ENISA pubblica la TIG, mantiene aggiornata la tabella di mappatura e aggiorna entrambe man mano che gli standard evolvono. ENISA non esercita azione di enforcement nei confronti delle aziende. Questo è compito dell'autorità nazionale competente del vostro Paese.

Altri Stati membri

NCSC-NL, ANSSI, NCSC.GR e altri

Anche altre autorità nazionali citano la TIG. NCSC nei Paesi Bassi, ANSSI in Francia, NCSC.GR in Grecia, INCIBE in Spagna, CCB in Belgio. La tabella di mappatura include anche framework nazionali come BE-CyFun, FI-Kybermittari ed ES-ENS. Questo agevola la conformità transfrontaliera se operate in più di uno Stato membro.

Tre affermazioni che non reggono
Tre affermazioni su ENISA e la TIG che compaiono nei materiali dei fornitori. Nessuna sopravvive al testo giuridico.

  • La TIG è obbligatoria.

    Non lo è. Ciò che vi vincola è la direttiva NIS 2 e il regolamento di esecuzione (UE) 2024/2690 della Commissione. La TIG è guida di riferimento. Potete conformarvi al CIR senza seguire la TIG, purché possiate dimostrare che i requisiti vincolanti sono soddisfatti.

  • La TIG sostituisce ISO 27001 o NIST CSF.

    Non sostituisce alcuno standard. Mappa su di essi le misure dell'articolo 21. Se avete ISO 27001:2022 in atto, usate la mappatura per vedere quali controlli esistenti coprono già quali obblighi NIS 2 e dove avete ancora lacune da colmare.

  • ENISA fa applicare la NIS 2.

    ENISA non esercita azione di enforcement. L'enforcement è compito dell'autorità nazionale competente che ciascuno Stato membro designa ai sensi dell'articolo 8 della direttiva. ENISA consiglia, coordina, redige orientamenti e gestisce la banca dati delle vulnerabilità. Sanzioni, audit e ordini provengono dall'autorità nazionale, non da ENISA.

Pratica: come usare effettivamente la TIG

Se già utilizzate ISO 27001:2022, prendete la tabella di mappatura della TIG, percorretela e contrassegnate quali obblighi NIS 2 sono già coperti dai controlli del vostro ISMS esistente. Documentate solo le lacune. Annotate nelle vostre note di audit l'esatta versione della TIG utilizzata, così che il fascicolo indichi su quale versione si sono basate le vostre decisioni.

Se partite da zero, la TIG è la prima cosa da leggere dopo l'allegato del CIR. Vi indica quali tipi di evidenze gli auditor si aspettano per ciascun obbligo. È più utile che partire dagli standard, perché vi dice quale sottoinsieme di ciascuno standard conta davvero per la NIS 2.

Come gestiamo questo sulla piattaforma

Abbiamo caricato la tabella di mappatura della TIG di ENISA nella piattaforma come livello di riferimento su ogni requisito. Quando un auditor chiede come un dato requisito si mappi su ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 o CEN/TS 18026, la risposta è già lì. Nessun raccordo manuale.

Le nostre dodici categorie semplificano gli obblighi per l'amministratore delegato. La TIG sta al di sotto come riferimento rivolto all'auditor. La mappatura gira sullo sfondo. Non dovete leggere 170 pagine di TIG per iniziare a lavorare.

Fonti
  • Direttiva (UE) 2022/2555 (NIS 2), articolo 18 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regolamento di esecuzione (UE) 2024/2690 della Commissione — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Regolamento (UE) 2019/881 (Cybersecurity Act, mandato di ENISA) — eur-lex.europa.eu/eli/reg/2019/881/oj
  • ENISA Technical Implementation Guidance — enisa.europa.eu/publications/nis2-technical-implementation-guidance
  • Tabella di mappatura della TIG di ENISA v1.2, CC BY 4.0 (agosto 2025)
Usa la mappatura di ENISA senza leggere 170 pagine
Dodici categorie, la mappatura della TIG di ENISA sullo sfondo, raccordi a ISO 27001 e NIST CSF su richiesta. Gratis, open source, nessun lock-in.
Apri la piattaforma gratuita