A ENISA e o Guia de Implementação Técnica da NIS 2
A ENISA é a agência de cibersegurança da UE. O artigo 18.º da Diretiva NIS 2 atribui-lhe um papel de comunicação e avaliação. O CIR (UE) 2024/2690 fixa o detalhe técnico. O TIG da ENISA é o manual de aplicação facultativo que liga ambos.
O que esta página cobre
A ENISA é a Agência da União Europeia para a Cibersegurança. Foi criada pelo Regulamento (UE) 2019/881, o Regulamento Cibersegurança. A sua missão é elevar a cibersegurança em toda a União. Aconselha a Comissão e os Estados-Membros, apoia as CSIRT nacionais e elabora orientações técnicas e relatórios de ameaças.
Ao abrigo da NIS 2, a ENISA tem quatro tarefas concretas. Apoia o Grupo de Cooperação. Gere a base de dados europeia de vulnerabilidades ao abrigo do artigo 12.º. Elabora um relatório sobre o estado da cibersegurança de dois em dois anos ao abrigo do artigo 18.º. E publica orientações técnicas para o ajudar a pôr em prática o Regulamento de Execução (UE) 2024/2690 da Comissão (o CIR).
O Guia de Implementação Técnica (TIG) é essa camada prática. É material de referência, não é lei. Pega na redação abstrata do artigo 21.º da NIS 2 e do CIR e transforma-a em passos concretos. Também faz o mapeamento desses passos em normas consolidadas, pelo que uma implementação ISO 27001 ou NIST CSF já existente lhe dá um avanço.
Artigo 18.º da Diretiva NIS 2 (2022/2555)
A ENISA, em cooperação com a Comissão e o Grupo de Cooperação, adota, até 17 de janeiro de 2025, e posteriormente de dois em dois anos, um relatório sobre o estado da cibersegurança na União.
O artigo 18.º é onde reside o papel da ENISA ao abrigo da NIS 2. Manda a ENISA elaborar um relatório sobre o estado da cibersegurança de dois em dois anos. Esse relatório alimenta a política da Comissão e aquilo que as autoridades nacionais fazem. O artigo 18.º nomeia a ENISA pelo nome. É o pilar jurídico em que o TIG assenta.
Regulamento de Execução (UE) 2024/2690 da Comissão
O presente regulamento estabelece requisitos técnicos e metodológicos no que respeita às medidas referidas no artigo 21.º, n.º 2, da Diretiva (UE) 2022/2555.
O CIR é direito da UE diretamente aplicável. Vincula os setores referidos no seu anexo: prestadores de DNS, registos de TLD, prestadores de computação em nuvem e de centros de dados, prestadores de serviços geridos, mercados em linha, prestadores de serviços de confiança e outros. O CIR traduz o artigo 21.º em linguagem operacional. A ENISA leva depois o CIR um passo mais longe com o TIG.
Guia de Implementação Técnica da ENISA
As orientações da ENISA oferecem conselhos práticos, exemplos de provas e mapeamentos de requisitos de segurança para ajudar as empresas a implementar o regulamento.
O TIG é facultativo. É a ENISA que o publica, não a Comissão nem os Estados-Membros. Não cria novas obrigações. Mas as autoridades nacionais e os auditores citam-no como uma leitura razoável daquilo que adequado e proporcionado significa ao abrigo do artigo 21.º, n.º 1. Se se afastar dele, precisa de uma razão.
Mapeia as medidas do art. 21.º em quatro normas
O TIG pega em todas as medidas do art. 21.º, n.º 2, alíneas a) a j), e em todas as secções do CIR e alinha-as com a ISO/IEC 27001:2022, a NIST CSF 2.0, a ETSI EN 319 401 V3.1.1 e a CEN/TS 18026:2024. Se já utiliza uma destas, pode reutilizar os controlos que já tem como prova para a NIS 2.
Nomeia as provas que os auditores esperam
Para cada ponto do CIR, o TIG enumera o tipo de prova que os auditores querem: políticas, procedimentos, registos, linhas de base de configuração, registos de revisão. Não certifica e não audita. Mas dá a si e ao seu auditor um vocabulário comum para o que bom significa.
A ENISA mantém-no atualizado
A ENISA publica o TIG e a tabela de mapeamento como documentos vivos sob a licença CC BY 4.0. A tabela de mapeamento está na versão 1.2 em agosto de 2025. Novos quadros nacionais e normas atualizadas são acrescentados entre versões. Fixe a versão que cita, para que o seu rasto de auditoria diga exatamente qual leu.
Facultativo, mas com peso
O TIG não é lei. A sua conformidade é aferida face à Diretiva e ao CIR, não face ao TIG. Ao mesmo tempo, a ENISA é a agência de cibersegurança da UE. Os auditores e os reguladores nacionais tratam o TIG como uma leitura sensata. Se fizer algo diferente, precisa de uma razão que se sustente.
Uma ponte entre a lei e as normas
O TIG situa-se entre dois mundos. De um lado, a redação abstrata da Diretiva e do CIR. Do outro, as normas que as suas equipas de engenharia e auditoria já utilizam. O TIG encurta o caminho de um para o outro. Se já tem a ISO 27001 ou a NIST CSF em vigor, ele diz-lhe o que já está feito e o que ainda falta.
BSI / Bundesamt für Sicherheit in der Informationstechnik
O BSI remete para o TIG a par dos seus próprios Infopakete e dos catálogos IT-Grundschutz. Na Alemanha, pode utilizar o IT-Grundschutz como norma de implementação. O mapeamento do TIG dá-lhe a ponte dos módulos do Grundschutz para as medidas do artigo 21.º, pelo que não tem de voltar a derivar esse mapeamento por si próprio.
A própria ENISA
A ENISA publica o TIG, mantém a tabela de mapeamento atualizada e atualiza ambos à medida que as normas evoluem. A ENISA não aplica sanções contra empresas. Essa é a função da autoridade nacional competente no seu país.
NCSC-NL, ANSSI, NCSC.GR e outros
Outras autoridades nacionais também citam o TIG. O NCSC nos Países Baixos, a ANSSI em França, o NCSC.GR na Grécia, o INCIBE em Espanha, o CCB na Bélgica. A tabela de mapeamento inclui também quadros nacionais como o BE-CyFun, o FI-Kybermittari e o ES-ENS. Isso facilita a conformidade transfronteiriça se operar em mais do que um Estado-Membro.
O TIG é obrigatório.
Não é. O que o vincula é a Diretiva NIS 2 e o Regulamento de Execução (UE) 2024/2690 da Comissão. O TIG é orientação de referência. Pode cumprir o CIR sem seguir o TIG, desde que consiga demonstrar que os requisitos vinculativos estão satisfeitos.
O TIG substitui a ISO 27001 ou a NIST CSF.
Não substitui nenhuma norma. Mapeia as medidas do artigo 21.º nelas. Se já tem a ISO 27001:2022 em vigor, utiliza o mapeamento para ver quais dos controlos existentes já cobrem quais obrigações da NIS 2, e onde ainda tem lacunas a fechar.
A ENISA aplica a NIS 2.
A ENISA não aplica sanções. A aplicação é função da autoridade nacional competente que cada Estado-Membro designa ao abrigo do artigo 8.º da Diretiva. A ENISA aconselha, coordena, elabora orientações e gere a base de dados de vulnerabilidades. As coimas, auditorias e ordens vêm da autoridade nacional, não da ENISA.
Se já utiliza a ISO 27001:2022, pegue na tabela de mapeamento do TIG, percorra-a e assinale quais das obrigações da NIS 2 os controlos do seu SGSI atual já cobrem. Documente apenas as lacunas. Anote a versão exata do TIG que utilizou nas suas notas de auditoria, para que o ficheiro diga em que versão as suas decisões se basearam.
Se está a começar do zero, o TIG é a primeira coisa a ler depois do anexo do CIR. Diz-lhe que tipos de prova os auditores esperam para cada obrigação. Isso é mais útil do que começar pelas normas, porque lhe diz que subconjunto de cada norma realmente importa para a NIS 2.
Carregámos a tabela de mapeamento do TIG da ENISA na plataforma como uma camada de referência em cada requisito. Quando um auditor pergunta como um dado requisito se mapeia para a ISO 27001:2022, a NIST CSF 2.0, a ETSI EN 319 401 ou a CEN/TS 18026, a resposta já lá está. Sem correspondências manuais.
As nossas doze categorias simplificam as obrigações para o gerente. O TIG fica por baixo como referência para o auditor. O mapeamento corre em segundo plano. Não tem de ler 170 páginas de TIG para começar a trabalhar.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 18.º. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento de Execução (UE) 2024/2690 da Comissão. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Regulamento (UE) 2019/881 (Regulamento Cibersegurança, mandato da ENISA). eur-lex.europa.eu/eli/reg/2019/881/oj
- Guia de Implementação Técnica da ENISA. enisa.europa.eu/publications/nis2-technical-implementation-guidance
- Tabela de Mapeamento do TIG da ENISA v1.2, CC BY 4.0 (agosto de 2025)