26 czerwca 2025 r. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) opublikowała długo wyczekiwane wytyczne techniczne i metodyczne do stosowania rozporządzenia wykonawczego Komisji (UE) 2024/2690. Dokument ten stanowi praktyczne rozwinięcie wymagań technicznych z art. 21 ust. 2 dyrektywy NIS 2 i ma na celu wsparcie organizacji w skutecznym wdrożeniu systemu zarządzania ryzykiem w obszarze cyberbezpieczeństwa.
Wytyczne ENISA szczegółowo omawiają 13 obszarów określonych w załączniku do rozporządzenia 2024/2690. Dla każdego z nich przedstawiono:
szczegółowe wyjaśnienia i wskazówki interpretacyjne,
przykłady dowodów potwierdzających wdrożenie danego środka,
odniesienia do dobrych praktyk, norm międzynarodowych i krajowych ram regulacyjnych,
wskazówki praktyczne wspierające adaptację wymagań do realiów organizacji.
To czyni dokument bardzo użytecznym narzędziem zarówno dla podmiotów objętych bezpośrednio zakresem rozporządzenia, jak i dla szerszego grona organizacji budujących dojrzałe systemy cyberbezpieczeństwa.
Wytyczne ENISA koncentrują się na 13 filarach, które powinny zostać objęte systemem zarządzania ryzykiem:
Polityka bezpieczeństwa sieci i systemów informatycznych
Polityka zarządzania ryzykiem
Obsługa incydentów
Ciągłość działania i zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
Bezpieczeństwo w cyklu życia systemów ICT
Ocena skuteczności stosowanych środków
Cyberhigiena i szkolenia
Kryptografia
Bezpieczeństwo kadrowe
Kontrola dostępu
Zarządzanie aktywami
Bezpieczeństwo fizyczne i środowiskowe
Dla każdego z tych obszarów ENISA opisuje nie tylko, co należy wdrożyć, ale również jak to zrobić oraz jakie dowody mogą potwierdzać spełnienie wymagań.
Równolegle z publikacją przewodnika, ENISA udostępniła także arkusz mapujący wymagania rozporządzenia 2024/2690 na uznane międzynarodowe standardy i ramy, takie jak:
ISO/IEC 27001:2022,
NIST Cybersecurity Framework v2.0,
ETSI EN 319 401,
CEN/TS 18026:2024
oraz wybrane krajowe systemy oceny zgodności i ramy nadzoru.
To zestawienie może być bardzo pomocne dla organizacji, które już wdrożyły systemy bezpieczeństwa informacji zgodne z ISO lub NIST – dzięki temu łatwiej zidentyfikują istniejące luki i dopasują działania do nowych regulacji.
Choć formalnie rozporządzenie i wytyczne dotyczą określonych dostawców (np. chmura, DNS, data center), ich struktura i logika mogą być z powodzeniem zastosowane również w innych sektorach – takich jak zdrowie, energetyka, transport czy administracja publiczna. Wytyczne ENISA ułatwiają też harmonizację oczekiwań nadzorczych w różnych państwach UE.
Dla kogo są te wytyczne?
Dla każdego, kto chce uporządkować i udokumentować swoje działania w zakresie cyberbezpieczeństwa w sposób zgodny z europejskimi oczekiwaniami regulacyjnymi – nawet jeśli formalnie nie podlega pod NIS 2.
Potrzebujesz wsparcia we wdrożeniu NIS 2?
Skontaktuj się z naszym zespołem doradczym – CAB Kontakt
Pełny dokument dostępny jest na stronie ENISA: „Technical Implementation Guidance”
881 256 247
