ENISA · Art. 18 NIS 2

ENISA und der Technical Implementation Guidance zu NIS 2

ENISA ist die Cybersicherheitsagentur der EU. Artikel 18 der NIS 2 Richtlinie gibt ihr eine Berichts- und Bewertungsrolle. Die Durchführungsverordnung (EU) 2024/2690 liefert die technischen Details. Der ENISA TIG ist die freiwillige Anleitung, die beides zusammenführt.

Simon OrzelSimon Orzel·

Was diese Seite abdeckt

ENISA ist die EU-Agentur für Cybersicherheit. Sie wurde durch die Verordnung (EU) 2019/881, den Cybersecurity Act, gegründet. Ihre Aufgabe ist es, das Cybersicherheitsniveau in der EU zu heben. Dazu berät sie die Kommission und die Mitgliedstaaten, unterstützt die nationalen CSIRTs und veröffentlicht technische Leitlinien und Bedrohungsanalysen.

Unter NIS 2 hat ENISA vier konkrete Aufgaben. Sie unterstützt die Kooperationsgruppe. Sie betreibt nach Artikel 12 die europäische Schwachstellendatenbank. Sie schreibt nach Artikel 18 alle zwei Jahre einen Bericht zum Stand der Cybersicherheit in der Union. Und sie veröffentlicht technische Leitlinien, damit Sie die Durchführungsverordnung (EU) 2024/2690 (CIR) in der Praxis umsetzen können.

Der Technical Implementation Guidance (TIG) ist genau diese praktische Ebene. Er ist Referenzmaterial, kein Gesetz. Er nimmt die abstrakte Sprache aus Artikel 21 NIS 2 und der CIR und übersetzt sie in konkrete Schritte. Er bildet diese Schritte zusätzlich auf etablierte Standards ab. Wer bereits ISO 27001 oder NIST CSF umsetzt, hat damit einen Vorsprung.

Die drei rechtlichen Ebenen
Die Richtlinie. Die Durchführungsverordnung. Die ENISA-Leitlinie. Die ersten beiden binden Sie. Die dritte ist Referenz, wird aber von Prüfern und Behörden zitiert.

Artikel 18 NIS 2 Richtlinie (2022/2555)

ENISA nimmt in Zusammenarbeit mit der Kommission und der Kooperationsgruppe bis zum 17. Januar 2025 und danach alle zwei Jahre einen Bericht über den Stand der Cybersicherheit in der Union an.

Artikel 18 ist die Stelle, an der ENISAs Rolle unter NIS 2 steht. Er verpflichtet ENISA, alle zwei Jahre einen Bericht zum Stand der Cybersicherheit zu schreiben. Dieser Bericht fließt in die Politik der Kommission ein und prägt, was nationale Behörden tun. Artikel 18 nennt ENISA namentlich. An diesem Aufhänger hängt der TIG.

Durchführungsverordnung (EU) 2024/2690 der Kommission

Diese Verordnung legt technische und methodische Anforderungen in Bezug auf die in Artikel 21 Absatz 2 der Richtlinie (EU) 2022/2555 genannten Maßnahmen fest.

Die CIR ist unmittelbar geltendes EU-Recht. Sie bindet die im Anhang genannten Sektoren: DNS-Diensteanbieter, Top-Level-Domain-Registries, Cloud- und Rechenzentrumsdienste, verwaltete Sicherheitsdienste, Online-Marktplätze, Vertrauensdienste und weitere. Die CIR übersetzt Artikel 21 in operative Sprache. ENISA geht mit dem TIG dann noch einen Schritt weiter.

ENISA Technical Implementation Guidance

Die Leitlinie von ENISA bietet praktische Hinweise, Beispiele für Nachweise und Zuordnungen von Sicherheitsanforderungen, um Unternehmen bei der Umsetzung der Verordnung zu unterstützen.

Der TIG ist freiwillig. Er wird von ENISA herausgegeben, nicht von der Kommission und nicht von den Mitgliedstaaten. Er schafft keine neuen Pflichten. Nationale Behörden und Prüfer zitieren ihn aber regelmäßig als sachgerechte Auslegung der Anforderung „angemessen und verhältnismäßig“ nach Artikel 21 Absatz 1. Wenn Sie davon abweichen, brauchen Sie dafür eine Begründung.

Drei Funktionen des TIG
Der TIG hat eine feste Form. Er mappt. Er zeigt, wie gute Nachweise aussehen. Und ENISA hält ihn aktuell. Jede Funktion ist für ein anderes Publikum nützlich.
Mapping

Bildet Art. 21 Maßnahmen auf vier Standards ab

Der TIG nimmt jede Maßnahme aus Art. 21 Absatz 2 Buchstaben a bis j und jeden Abschnitt der CIR und stellt sie ISO/IEC 27001:2022, NIST CSF 2.0, ETSI EN 319 401 V3.1.1 und CEN/TS 18026:2024 gegenüber. Wer einen dieser Standards bereits umsetzt, kann bestehende Kontrollen als Nachweis für NIS 2 weiterverwenden.

Nachweise

Benennt die Nachweise, die Prüfer erwarten

Für jeden Punkt der CIR listet der TIG, welche Nachweise Prüfer sehen wollen: Richtlinien, Verfahren, Protokolle, Konfigurationsbaselines, Prüfprotokolle. Der TIG zertifiziert nicht und auditiert nicht. Aber Sie und Ihr Prüfer haben dadurch ein gemeinsames Vokabular dafür, wie „gut“ aussieht.

Versionierung

ENISA hält ihn aktuell

ENISA veröffentlicht den TIG und die Mapping-Tabelle als lebende Dokumente unter CC BY 4.0. Die Mapping-Tabelle steht mit Stand August 2025 bei Version 1.2. Neue nationale Rahmenwerke und aktualisierte Standards kommen zwischen den Versionen dazu. Halten Sie die zitierte Version fest, damit in Ihrer Audit-Akte steht, welche Sie gelesen haben.

Zwei Regeln, um den TIG richtig zu lesen
Zwei Auslegungsregeln liegen unter dem Dokument. Sie erklären, wie Sie den TIG nutzen, ohne ihn zu über- oder zu unterschätzen.

Freiwillig, aber er zählt

Der TIG ist kein Gesetz. Ihre Compliance wird an der Richtlinie und der CIR gemessen, nicht am TIG. Gleichzeitig ist ENISA die Cybersicherheitsagentur der EU. Prüfer und nationale Behörden behandeln den TIG als sachgerechte Lesart. Wenn Sie etwas anderes machen, brauchen Sie einen Grund, der trägt.

Brücke zwischen Recht und Standards

Der TIG sitzt zwischen zwei Welten. Auf der einen Seite die abstrakte Sprache der Richtlinie und der CIR. Auf der anderen Seite die Standards, mit denen Ihr Engineering- und Audit-Team ohnehin arbeitet. Der TIG verkürzt den Weg von einer Seite zur anderen. Wenn Sie ISO 27001 oder NIST CSF bereits umsetzen, zeigt er Ihnen, was schon erledigt ist und wo noch Lücken sind.

Wie nationale Behörden den TIG nutzen
Die Mitgliedstaaten setzen den TIG nicht durch. Aber ihre nationalen Behörden zitieren ihn in ihren eigenen Leitlinien für Verpflichtete. Drei Beispiele.
Deutschland

BSI / Bundesamt für Sicherheit in der Informationstechnik

Das BSI verweist auf den TIG, neben den eigenen Infopaketen und dem IT-Grundschutz. In Deutschland können Sie den IT-Grundschutz als Umsetzungsstandard verwenden. Das TIG-Mapping liefert Ihnen die Brücke von den Grundschutz-Bausteinen zu den Maßnahmen aus Artikel 21. Diese Brücke müssen Sie damit nicht selbst herstellen.

EU-weit

ENISA selbst

ENISA veröffentlicht den TIG, hält die Mapping-Tabelle aktuell und pflegt beides nach, wenn sich Standards weiterentwickeln. ENISA setzt selbst nicht gegen Unternehmen durch. Das ist die Aufgabe der jeweils nationalen zuständigen Behörde.

Andere Mitgliedstaaten

NCSC-NL, ANSSI, NCSC.GR und andere

Auch andere nationale Behörden zitieren den TIG. NCSC in den Niederlanden, ANSSI in Frankreich, NCSC.GR in Griechenland, INCIBE in Spanien, CCB in Belgien. Die Mapping-Tabelle enthält zudem nationale Rahmenwerke wie BE-CyFun, FI-Kybermittari und ES-ENS. Das erleichtert die Compliance, wenn Sie in mehr als einem Mitgliedstaat tätig sind.

Drei Behauptungen, die nicht halten
Drei Aussagen über ENISA und den TIG, die in Anbietermaterialien auftauchen. Keine davon hält dem Rechtstext stand.

  • Der TIG ist verpflichtend.

    Ist er nicht. Verbindlich sind die NIS 2 Richtlinie und die Durchführungsverordnung (EU) 2024/2690. Der TIG ist Referenzleitlinie. Sie können die CIR erfüllen, ohne dem TIG zu folgen, solange Sie nachweisen, dass die verbindlichen Anforderungen erfüllt sind.

  • Der TIG ersetzt ISO 27001 oder NIST CSF.

    Tut er nicht. Er ersetzt keinen Standard, er bildet die Maßnahmen aus Artikel 21 darauf ab. Wenn Sie ISO 27001:2022 umgesetzt haben, nutzen Sie das Mapping, um zu sehen, welche bestehenden Kontrollen welche NIS 2 Pflichten bereits abdecken und wo Sie noch Lücken haben.

  • ENISA setzt NIS 2 durch.

    ENISA setzt nicht durch. Die Durchsetzung liegt bei der nationalen zuständigen Behörde, die jeder Mitgliedstaat nach Artikel 8 der Richtlinie benennt. ENISA berät, koordiniert, schreibt Leitlinien und betreibt die Schwachstellendatenbank. Bußgelder, Audits und Anordnungen kommen von der nationalen Behörde, nicht von ENISA.

Praxis: wie Sie den TIG wirklich nutzen

Wenn Sie ISO 27001:2022 schon betreiben: Nehmen Sie die TIG-Mapping-Tabelle, gehen Sie sie durch und markieren Sie, welche NIS 2 Pflichten Ihre bestehenden ISMS-Kontrollen bereits belegen. Dokumentieren Sie nur die Lücken. Schreiben Sie die genaue TIG-Version in Ihre Audit-Vermerke, damit die Akte zeigt, auf welcher Grundlage Sie entschieden haben.

Wenn Sie bei null starten: Der TIG ist das erste Dokument nach dem Anhang der CIR, das Sie lesen sollten. Er sagt Ihnen, welche Nachweistypen Prüfer für jede Pflicht erwarten. Das ist nützlicher als der Einstieg über die Standards, weil er Ihnen zeigt, welche Teilmenge jedes Standards für NIS 2 wirklich zählt.

Wie wir das in der Plattform abbilden

Wir haben die ENISA TIG-Mapping-Tabelle in die Plattform geladen, als Referenzschicht für jede Anforderung. Wenn ein Prüfer fragt, wie eine Anforderung auf ISO 27001:2022, NIST CSF 2.0, ETSI EN 319 401 oder CEN/TS 18026 abbildet, liegt die Antwort schon vor. Keine manuelle Cross-Referenz nötig.

Unsere zwölf Kategorien vereinfachen die Pflichten für die Geschäftsführung. Der TIG liegt darunter als Referenz für Prüfer. Das Mapping läuft im Hintergrund. Sie müssen keine 170 Seiten TIG lesen, um anzufangen.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 18 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Durchführungsverordnung (EU) 2024/2690 der Kommission — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Verordnung (EU) 2019/881 (Cybersecurity Act, ENISA Mandat) — eur-lex.europa.eu/eli/reg/2019/881/oj
  • ENISA Technical Implementation Guidance — enisa.europa.eu/publications/nis2-technical-implementation-guidance
  • ENISA TIG Mapping Table v1.2, CC BY 4.0 (August 2025)
Das ENISA Mapping nutzen, ohne 170 Seiten zu lesen
Zwölf Kategorien, das ENISA TIG-Mapping im Hintergrund, ISO 27001 und NIST CSF Crosswalks auf Knopfdruck. Kostenlos, Open Source, kein Lock-in.
Zur kostenlosen Plattform