ENISA · Art. 18 NIS 2

ENISA și Ghidul tehnic de implementare NIS 2

ENISA este agenția UE pentru securitate cibernetică. Articolul 18 din Directiva NIS 2 îi atribuie un rol de raportare și evaluare. CIR (UE) 2024/2690 stabilește detaliul tehnic. TIG-ul ENISA este manualul voluntar care le leagă pe amândouă.

Simon OrzelSimon Orzel·

Ce acoperă această pagină

ENISA este Agenția Uniunii Europene pentru Securitate Cibernetică. A fost înființată prin Regulamentul (UE) 2019/881, Actul privind securitatea cibernetică. Rolul ei este să ridice nivelul de securitate cibernetică în întreaga Uniune. Consiliază Comisia și statele membre, sprijină CSIRT-urile naționale și redactează ghiduri tehnice și rapoarte privind amenințările.

Sub NIS 2, ENISA are patru sarcini concrete. Sprijină Grupul de cooperare. Administrează baza de date europeană privind vulnerabilitățile conform Articolului 12. Redactează un raport privind starea securității cibernetice o dată la doi ani conform Articolului 18. Și publică ghiduri tehnice care vă ajută să puneți în practică Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (CIR).

Ghidul tehnic de implementare (TIG) este acel strat practic. Este material de referință, nu lege. Preia formularea abstractă a Articolului 21 NIS 2 și a CIR și o transformă în pași concreți. Corelează totodată acei pași cu standardele consacrate, astfel încât o implementare ISO 27001 sau NIST CSF existentă vă oferă un avans.

Cele trei straturi juridice
Directiva. Regulamentul de punere în aplicare. Ghidul ENISA. Primele două sunt obligatorii. Al treilea este material de referință, dar auditorii și autoritățile naționale îl citează.

Articolul 18 din Directiva NIS 2 (2022/2555)

ENISA, în cooperare cu Comisia și cu Grupul de cooperare, adoptă până la 17 ianuarie 2025 și, ulterior, o dată la doi ani, un raport privind starea securității cibernetice în Uniune.

Articolul 18 este locul unde se află rolul ENISA sub NIS 2. Îi cere ENISA să redacteze un raport privind starea securității cibernetice o dată la doi ani. Acel raport alimentează politica Comisiei și ceea ce fac autoritățile naționale. Articolul 18 numește ENISA pe nume. Acesta este reazemul juridic pe care se sprijină TIG.

Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei

Prezentul regulament stabilește cerințe tehnice și metodologice cu privire la măsurile menționate la articolul 21 alineatul (2) din Directiva (UE) 2022/2555.

CIR este drept UE direct aplicabil. Obligă sectoarele numite în anexa sa: furnizorii de DNS, registrele TLD, furnizorii de cloud și de centre de date, furnizorii de servicii gestionate, piețele online, furnizorii de servicii de încredere și alții. CIR pune Articolul 21 în limbaj operațional. ENISA duce apoi CIR un pas mai departe cu TIG.

Ghidul tehnic de implementare ENISA

Ghidul ENISA oferă sfaturi practice, exemple de probe și corelări ale cerințelor de securitate pentru a ajuta companiile să implementeze regulamentul.

TIG este voluntar. ENISA îl publică, nu Comisia și nici statele membre. Nu creează obligații noi. Dar autoritățile naționale și auditorii îl citează ca o lectură rezonabilă a ceea ce înseamnă "adecvat și proporțional" conform Articolului 21(1). Dacă vă abateți de la el, aveți nevoie de un motiv.

Trei lucruri pe care le face TIG
TIG are o formă fixă. Corelează. Arată cum arată o probă bună. Iar ENISA îl ține la zi. Fiecare parte este utilă unui cititor diferit.
Corelare

Corelează măsurile din art. 21 cu patru standarde

TIG ia fiecare măsură de la art. 21(2)(a) la (j) și fiecare secțiune a CIR și le aliniază cu ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 și CEN/TS 18026:2024. Dacă rulați deja unul dintre acestea, puteți refolosi controalele pe care le aveți deja ca probe pentru NIS 2.

Probe

Numește probele pe care le așteaptă auditorii

Pentru fiecare punct din CIR, TIG enumeră tipul de probă pe care îl vor auditorii: politici, proceduri, jurnale, configurații de referință, evidențe de revizuire. Nu certifică și nu auditează. Dar vă oferă, dumneavoastră și auditorului, un vocabular comun pentru ceea ce înseamnă "bun".

Versionare

ENISA îl ține la zi

ENISA publică TIG și tabelul de corelare ca documente vii, sub licența CC BY 4.0. Tabelul de corelare este la versiunea 1.2 din august 2025. Cadrele naționale noi și standardele actualizate sunt adăugate între versiuni. Fixați versiunea pe care o citați, astfel încât urma de audit să indice exact pe care ați citit-o.

Două reguli pentru a citi corect TIG
Două reguli de interpretare stau la baza întregului document. Ele explică cum să îl folosiți fără a-i atribui prea mult sau prea puțin.

Voluntar, dar are greutate

TIG nu este lege. Conformitatea dumneavoastră se judecă în raport cu Directiva și cu CIR, nu cu TIG. În același timp, ENISA este agenția UE pentru securitate cibernetică. Auditorii și autoritățile de reglementare naționale tratează TIG ca o lectură rezonabilă. Dacă faceți altceva, aveți nevoie de un motiv care să reziste.

O punte între lege și standarde

TIG se află între două lumi. Pe o parte, formularea abstractă a Directivei și a CIR. Pe cealaltă parte, standardele pe care echipele dumneavoastră de inginerie și audit le folosesc deja. TIG scurtează drumul de la una la cealaltă. Dacă aveți deja ISO 27001 sau NIST CSF, vă spune ce este deja făcut și ce mai lipsește.

Cum folosesc autoritățile naționale TIG
Statele membre nu impun TIG. Dar autoritățile lor naționale îl citează în propriile ghiduri adresate entităților vizate. Trei exemple.
Germania

BSI / Bundesamt für Sicherheit in der Informationstechnik

BSI indică TIG alături de propriile Infopakete și de cataloagele IT-Grundschutz. Puteți folosi IT-Grundschutz ca standard de implementare în Germania. Corelarea din TIG vă oferă puntea de la blocurile constitutive Grundschutz către măsurile din Articolul 21, astfel încât să nu fie nevoie să rederivați singur acea corelare.

La nivelul UE

ENISA însăși

ENISA publică TIG, ține la zi tabelul de corelare și actualizează ambele pe măsură ce standardele evoluează. ENISA nu impune măsuri împotriva companiilor. Aceasta este sarcina autorității naționale competente din țara dumneavoastră.

Alte state membre

NCSC-NL, ANSSI, NCSC.GR și altele

Și alte autorități naționale citează TIG. NCSC în Țările de Jos, ANSSI în Franța, NCSC.GR în Grecia, INCIBE în Spania, CCB în Belgia. Tabelul de corelare include totodată cadre naționale precum BE-CyFun, FI-Kybermittari și ES-ENS. Asta ușurează conformitatea transfrontalieră dacă operați în mai multe state membre.

Trei afirmații care nu rezistă
Trei afirmații despre ENISA și TIG care apar în materialele furnizorilor. Niciuna nu rezistă în fața textului juridic.

  • TIG este obligatoriu.

    Nu este. Ceea ce vă obligă este Directiva NIS 2 și Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei. TIG este ghid de referință. Vă puteți conforma CIR fără a urma TIG, atât timp cât puteți demonstra că cerințele obligatorii sunt îndeplinite.

  • TIG înlocuiește ISO 27001 sau NIST CSF.

    Nu înlocuiește niciun standard. Corelează măsurile din Articolul 21 cu acestea. Dacă aveți ISO 27001:2022 implementat, folosiți corelarea pentru a vedea care controale existente acoperă deja care obligații NIS 2 și unde mai aveți lacune de acoperit.

  • ENISA impune respectarea NIS 2.

    ENISA nu impune măsuri. Aplicarea este sarcina autorității naționale competente pe care fiecare stat membru o desemnează conform Articolului 8 din Directivă. ENISA consiliază, coordonează, redactează ghiduri și administrează baza de date privind vulnerabilitățile. Amenzile, auditurile și ordinele vin de la autoritatea națională, nu de la ENISA.

Practică: cum folosiți efectiv TIG

Dacă rulați deja ISO 27001:2022, luați tabelul de corelare TIG, parcurgeți-l și marcați care obligații NIS 2 sunt deja acoperite de controalele existente ale ISMS-ului dumneavoastră. Documentați doar lacunele. Notați versiunea exactă a TIG pe care ați folosit-o în notele de audit, astfel încât dosarul să spună pe ce versiune s-au bazat deciziile.

Dacă porniți de la zero, TIG este primul lucru de citit după anexa CIR. Vă spune ce tipuri de probe așteaptă auditorii pentru fiecare obligație. Asta este mai util decât a porni de la standarde, fiindcă vă spune ce subset al fiecărui standard contează cu adevărat pentru NIS 2.

Cum gestionăm asta pe platformă

Am încărcat tabelul de corelare TIG al ENISA în platformă ca strat de referință pentru fiecare cerință. Când un auditor întreabă cum se corelează o anumită cerință cu ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 sau CEN/TS 18026, răspunsul este deja acolo. Fără corelare manuală.

Cele douăsprezece categorii ale noastre simplifică obligațiile pentru administrator. TIG se află dedesubt ca referință pentru auditor. Corelarea rulează în fundal. Nu trebuie să citiți 170 de pagini de TIG ca să începeți munca.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 18. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Regulamentul (UE) 2019/881 (Actul privind securitatea cibernetică, mandatul ENISA). eur-lex.europa.eu/eli/reg/2019/881/oj
  • Ghidul tehnic de implementare ENISA. enisa.europa.eu/publications/nis2-technical-implementation-guidance
  • Tabelul de corelare TIG al ENISA v1.2, CC BY 4.0 (august 2025)
Folosiți corelarea ENISA fără să citiți 170 de pagini
Douăsprezece categorii, corelarea TIG a ENISA în fundal, legături cu ISO 27001 și NIST CSF la cerere. Gratuit, open source, fără lock-in.
Deschideți platforma gratuită