Art. 25 Normalisation | NIS 2 directive | NIS 2

This article serves as a supporting provision to Article 21, which sets out the core cybersecurity risk-management obligations for essential and important entities.

Rather than mandating specific technical solutions, it focuses on encouraging a consistent approach to implementing those obligations across Member States through the use of European and international standards and technical specifications.

ENISA is given a practical role here, tasked with producing advice and guidelines to help identify relevant technical areas and existing standards that can assist in that convergence.

Important points:

Member States must encourage the use of European and international standards for network and information system security, without favouring any particular technology.
ENISA is required to draw up advice and guidelines on relevant technical areas and existing standards, including national standards, in cooperation with Member States.
This article directly supports the implementation of the cybersecurity risk-management measures laid out in Article 21.

1. Afin de favoriser la mise en œuvre convergente de l’article 21, paragraphes 1 et 2, les États membres encouragent, sans imposer l’utilisation d’un type particulier de technologies ni créer de discrimination en faveur d’un tel type particulier de technologies, le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information.
1. L’ENISA, en coopération avec les États membres et, le cas échéant, après consultation des acteurs concernés, formule des avis et des lignes directrices concernant les domaines techniques qui doivent être pris en considération en lien avec le paragraphe 1 et concernant les normes existantes, y compris les normes nationales, qui permettraient de couvrir ces domaines.