ENISA i Wytyczne dotyczące technicznego wdrożenia NIS 2
ENISA jest agencją UE ds. cyberbezpieczeństwa. Artykuł 18 dyrektywy NIS 2 nadaje jej rolę sprawozdawczą i oceniającą. CIR (UE) 2024/2690 określa szczegóły techniczne. TIG ENISA to dobrowolny podręcznik, który łączy oba.
Co obejmuje ta strona
ENISA jest Agencją Unii Europejskiej ds. Cyberbezpieczeństwa. Została ustanowiona rozporządzeniem (UE) 2019/881, aktem o cyberbezpieczeństwie. Jej zadaniem jest podnoszenie poziomu cyberbezpieczeństwa w całej Unii. Doradza Komisji i państwom członkowskim, wspiera krajowe zespoły CSIRT oraz opracowuje wytyczne techniczne i raporty o zagrożeniach.
Na podstawie NIS 2 ENISA ma cztery konkretne zadania. Wspiera Grupę Współpracy. Prowadzi europejską bazę danych dotyczącą podatności na podstawie artykułu 12. Co dwa lata opracowuje raport o stanie cyberbezpieczeństwa na podstawie artykułu 18. Oraz publikuje wytyczne techniczne, które pomagają wprowadzić w życie rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR).
Wytyczne dotyczące technicznego wdrożenia (TIG) to ta praktyczna warstwa. Są materiałem referencyjnym, a nie prawem. Biorą abstrakcyjne brzmienie artykułu 21 NIS 2 oraz CIR i przekładają je na konkretne kroki. Odwzorowują też te kroki na ustalone normy, dzięki czemu istniejące wdrożenie ISO 27001 lub NIST CSF daje ci przewagę na starcie.
Artykuł 18 dyrektywy NIS 2 (2022/2555)
ENISA shall, in cooperation with the Commission and the Cooperation Group, adopt by 17 January 2025, and every two years thereafter, a report on the state of cybersecurity in the Union.
Artykuł 18 to miejsce, w którym zapisana jest rola ENISA na podstawie NIS 2. Nakazuje ENISA opracowywać co dwa lata raport o stanie cyberbezpieczeństwa. Raport ten zasila politykę Komisji oraz działania organów krajowych. Artykuł 18 wymienia ENISA z nazwy. To prawne zaczepienie, na którym opierają się TIG.
Rozporządzenie wykonawcze Komisji (UE) 2024/2690
This Regulation lays down technical and methodological requirements with regard to the measures referred to in Article 21(2) of Directive (EU) 2022/2555.
CIR jest bezpośrednio stosowanym prawem UE. Wiąże sektory wymienione w jego załączniku: dostawców DNS, rejestry TLD, dostawców usług w chmurze i centrów danych, dostawców usług zarządzanych, internetowe platformy handlowe, dostawców usług zaufania i innych. CIR przekłada artykuł 21 na język operacyjny. ENISA idzie następnie krok dalej niż CIR za pomocą TIG.
Wytyczne ENISA dotyczące technicznego wdrożenia
ENISA's guidance offers practical advice, examples of evidence, and mappings of security requirements to help companies implement the regulation.
TIG są dobrowolne. Publikuje je ENISA, nie Komisja ani państwa członkowskie. Nie tworzą nowych obowiązków. Ale organy krajowe i audytorzy przywołują je jako rozsądną interpretację tego, co oznacza „odpowiednie i proporcjonalne” na podstawie artykułu 21(1). Jeśli od nich odstąpisz, potrzebujesz uzasadnienia.
Odwzorowuje środki z art. 21 na cztery normy
TIG biorą każdy środek z art. 21(2)(a) do (j) i każdą sekcję CIR i zestawiają je z ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 oraz CEN/TS 18026:2024. Jeśli stosujesz już jedną z nich, możesz ponownie wykorzystać posiadane już zabezpieczenia jako dowód na potrzeby NIS 2.
Nazywa dowody, których oczekują audytorzy
Dla każdego punktu CIR TIG wymieniają rodzaj dowodu, którego chcą audytorzy: polityki, procedury, dzienniki, bazowe konfiguracje, zapisy przeglądów. Nie certyfikują i nie audytują. Ale dają tobie i twojemu audytorowi wspólny język dla tego, jak wygląda „dobre”.
ENISA utrzymuje je w aktualności
ENISA publikuje TIG oraz tabelę odwzorowań jako żywe dokumenty na licencji CC BY 4.0. Tabela odwzorowań jest w wersji 1.2 według stanu na sierpień 2025. Nowe ramy krajowe i zaktualizowane normy są dodawane między wersjami. Przypnij wersję, którą cytujesz, tak aby twój ślad audytowy wskazywał dokładnie tę, którą czytałeś.
Dobrowolne, ale mają wagę
TIG nie są prawem. Twoja zgodność jest oceniana względem dyrektywy i CIR, a nie względem TIG. Jednocześnie ENISA jest agencją UE ds. cyberbezpieczeństwa. Audytorzy i krajowe organy regulacyjne traktują TIG jako rozsądną interpretację. Jeśli robisz coś innego, potrzebujesz uzasadnienia, które się obroni.
Most między prawem a normami
TIG sytuują się między dwoma światami. Z jednej strony abstrakcyjne brzmienie dyrektywy i CIR. Z drugiej strony normy, których twoje zespoły inżynieryjne i audytowe już używają. TIG skracają drogę z jednego do drugiego. Jeśli masz wdrożone ISO 27001 lub NIST CSF, mówią ci, co jest już zrobione, a czego wciąż brakuje.
BSI / Bundesamt für Sicherheit in der Informationstechnik
BSI wskazuje na TIG obok własnych Infopakete oraz katalogów IT-Grundschutz. W Niemczech jako swoją normę wdrożeniową możesz stosować IT-Grundschutz. Odwzorowanie TIG daje ci most od modułów Grundschutz do środków z artykułu 21, dzięki czemu nie musisz samodzielnie wyprowadzać tego odwzorowania.
Sama ENISA
ENISA publikuje TIG, utrzymuje aktualność tabeli odwzorowań i aktualizuje obie wraz z rozwojem norm. ENISA nie prowadzi egzekwowania wobec firm. To zadanie krajowego właściwego organu w twoim kraju.
NCSC-NL, ANSSI, NCSC.GR i inne
Inne organy krajowe również przywołują TIG. NCSC w Holandii, ANSSI we Francji, NCSC.GR w Grecji, INCIBE w Hiszpanii, CCB w Belgii. Tabela odwzorowań obejmuje również ramy krajowe, takie jak BE-CyFun, FI-Kybermittari i ES-ENS. Ułatwia to zgodność transgraniczną, jeśli działasz w więcej niż jednym państwie członkowskim.
TIG są obowiązkowe.
Nie są. To, co cię wiąże, to dyrektywa NIS 2 oraz rozporządzenie wykonawcze Komisji (UE) 2024/2690. TIG są wytycznymi referencyjnymi. Możesz zachować zgodność z CIR bez stosowania TIG, o ile potrafisz wykazać, że wiążące wymogi są spełnione.
TIG zastępują ISO 27001 lub NIST CSF.
Nie zastępują żadnej normy. Odwzorowują na nie środki z artykułu 21. Jeśli masz wdrożone ISO 27001:2022, używasz odwzorowania, aby zobaczyć, które istniejące zabezpieczenia już pokrywają które obowiązki NIS 2 i gdzie wciąż masz luki do zamknięcia.
ENISA egzekwuje NIS 2.
ENISA nie egzekwuje. Egzekwowanie jest zadaniem krajowego właściwego organu, który każde państwo członkowskie wyznacza na podstawie artykułu 8 dyrektywy. ENISA doradza, koordynuje, opracowuje wytyczne i prowadzi bazę danych dotyczącą podatności. Kary, audyty i nakazy pochodzą od organu krajowego, a nie od ENISA.
Jeśli stosujesz już ISO 27001:2022, weź tabelę odwzorowań TIG, przejdź przez nią i zaznacz, które obowiązki NIS 2 twoje istniejące zabezpieczenia ISMS już pokrywają. Udokumentuj tylko luki. Wpisz do swoich notatek audytowych dokładną wersję TIG, której użyłeś, tak aby akta wskazywały, na której wersji oparto twoje decyzje.
Jeśli zaczynasz od zera, TIG to pierwsza rzecz do przeczytania po załączniku CIR. Mówią ci, jakich rodzajów dowodów oczekują audytorzy dla każdego obowiązku. To bardziej użyteczne niż zaczynanie od norm, ponieważ mówi ci, który podzbiór każdej normy faktycznie ma znaczenie dla NIS 2.
Wczytaliśmy tabelę odwzorowań TIG ENISA do platformy jako warstwę referencyjną przy każdym wymogu. Gdy audytor pyta, jak dany wymóg odwzorowuje się na ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 lub CEN/TS 18026, odpowiedź już tam jest. Bez ręcznego mapowania.
Nasze dwanaście kategorii upraszcza obowiązki dla członka zarządu. TIG leżą pod spodem jako referencja dla audytora. Odwzorowanie działa w tle. Nie musisz czytać 170 stron TIG, aby zacząć pracę.
- Directive (EU) 2022/2555 (NIS 2), Article 18 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Commission Implementing Regulation (EU) 2024/2690 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Regulation (EU) 2019/881 (Cybersecurity Act, ENISA mandate) — eur-lex.europa.eu/eli/reg/2019/881/oj
- ENISA Technical Implementation Guidance — enisa.europa.eu/publications/nis2-technical-implementation-guidance
- ENISA TIG Mapping Table v1.2, CC BY 4.0 (August 2025)