Skupina pro spolupráci NIS 2 podle článku 14
Článek 14 NIS 2 zřizuje skupinu pro spolupráci jako vrstvu strategické koordinace směrnice. Sedí v ní členské státy, Komise a ENISA. ESVČ pozoruje. Vydává pokyny, provádí vzájemná hodnocení a vytváří koordinovaná posouzení rizik dodavatelského řetězce. Nereguluje jednotlivé subjekty.
Stručně
Skupina pro spolupráci je strategický koordinační orgán NIS 2 na úrovni EU. Článek 14(1) ji zřizuje na podporu strategické spolupráce a výměny informací mezi členskými státy a k budování důvěry. Není to regulátor. Neřeší incidenty. Nevymáhá.
Její úkol je politika a pokyny. Článek 14(4) vyjmenovává devatenáct úkolů: orientace pro příslušné orgány, podpora koordinovaného zveřejňování zranitelností, výměna osvědčených postupů, poradní vstup pro Komisi, vzájemná hodnocení podle článku 19 a koordinovaná posouzení rizik dodavatelského řetězce podle článku 22. ENISA zajišťuje sekretariát.
Pro většinu subjektů je skupina pro spolupráci neviditelná. Nikdy s ní nejednáte přímo. Její výstupy ale k vám dorazí přes národní orgány. Koordinované posouzení rizik podle článku 22 může utvářet to, co musí vaše smlouvy o pořizování od dodavatelů požadovat. BSI Infopaket může citovat pokyny skupiny pro spolupráci doslovně. Čtěte je jako výchozí zdroj národní politiky.
Článek 14(1) a 14(3) směrnice NIS 2 (2022/2555)
Za účelem podpory a usnadnění strategické spolupráce a výměny informací mezi členskými státy a posílení důvěry se zřizuje skupina pro spolupráci. Skupina pro spolupráci se skládá ze zástupců členských států, Komise a agentury ENISA. Evropská služba pro vnější činnost se účastní činností skupiny pro spolupráci jako pozorovatel.
Článek 14(1) zřizuje skupinu. Článek 14(3) stanoví složení. Článek 14(2) říká, že pracuje na základě dvouletých pracovních programů. Článek 14(4) vyjmenovává devatenáct úkolů (písmena a až s), které skupina vykonává.
Žádné prováděcí nařízení
Nepoužije se. Skupina pro spolupráci je instituce na úrovni směrnice, žádný oddíl CIR.
Na rozdíl od opatření podle článku 21(2), kde CIR (EU) 2024/2690 rozepisuje technický detail, sama skupina pro spolupráci sedí ve směrnici. Neexistuje prováděcí nařízení, které by operacionalizovalo článek 14. Skupina si každé dva roky stanoví vlastní pracovní program.
Národní účast (Německo: BMI, BSI)
Strategická spolupráce podle NIS 2 se vykonává prostřednictvím spolkových ministerstev a BSI jako příslušného orgánu.
Německo se účastní prostřednictvím Spolkového ministerstva vnitra (BMI) a BSI. §3 BSIG určuje BSI jako spolkový orgán kybernetické bezpečnosti a odkazuje na strategickou spolupráci podle NIS 2. Ostatní členské státy vysílají vlastní zástupce, obvykle jedno místo za ministerstvo plus národní orgán kybernetické bezpečnosti.
Složení
Zástupci každého členského státu, Komise a ENISA. Evropská služba pro vnější činnost se připojuje jako pozorovatel. ENISA zajišťuje podporu sekretariátu. Místa za členské státy obvykle obsazuje národní orgán kybernetické bezpečnosti plus zástupce ministerstva.
Devatenáct úkolů (a až s)
Orientace a pokyny pro příslušné orgány, podpora koordinovaného zveřejňování zranitelností, výměna osvědčených postupů a informací o hrozbách a incidentech, poradní výměna s Komisí o politice, výměna s orgány EU, vzájemná hodnocení podle článku 19 a koordinovaná posouzení rizik kritických dodavatelských řetězců podle článku 22.
Dvouleté pracovní programy
Skupina plánuje svou práci ve dvouletých cyklech. Každý pracovní program stanoví priority, výstupy a harmonogram vzájemných hodnocení pro dané období. Dvouletá kadence udržuje agendu viditelnou a umožňuje členským státům sladit jejich národní plány.
Strategická, ne operativní
Skupina pro spolupráci neřeší jednotlivé incidenty. To je úkol sítě CSIRT podle článku 15. Neřeší ani rozsáhlou krizovou koordinaci, to náleží EU-CyCLONe podle článku 16. Pole skupiny je politika, pokyny a strukturovaná výměna mezi členskými státy.
Pokyny, ne vymáhání
To, co skupina vytváří, jsou doporučení, výměny osvědčených postupů a koordinovaná posouzení. Mají váhu, protože odrážejí shodu každého národního orgánu plus Komise a ENISA. Nejsou to ale závazná pravidla pro subjekty. Závaznou vrstvou je směrnice, CIR a vaše národní transpozice.
BMI a BSI
Spolkové ministerstvo vnitra a BSI zastupují Německo ve skupině pro spolupráci. BSI vrací výstupy skupiny zpět do svých NIS 2 Infopakete a do aktualizací IT-Grundschutz. Když skupina zveřejní koordinované posouzení rizik dodavatelského řetězce podle článku 22, je BSI kanálem, který z něj činí německé pokyny.
Sekretariát ENISA
ENISA podporuje skupinu pro spolupráci jako sekretariát. Připravuje analýzy, řídí pracovní skupiny a zveřejňuje výstupy. ENISA ve skupině nesedí s hlasem; skupina se skládá z členských států plus Komise. ENISA je provozní motor, který za ní stojí.
Národní zástupci
Každý členský stát má jedno místo na národní delegaci. Nizozemsko vysílá NCSC a příslušné ministerstvo. Rakousko vysílá BMI a GovCERT. Belgie vysílá CCB. Podstata práce je sdílená; národní vstupní bod se liší.
Skupina pro spolupráci je jen další výbor EU.
Vytváří konkrétní výstupy, které mění to, co subjekty musí dělat. Koordinovaná posouzení rizik dodavatelského řetězce podle článku 22 jsou formální produkty skupiny pro spolupráci. Když je odvětví nebo dodavatelský řetězec posouzeno jako vysoce rizikové, posouzení proudí do požadavků na pořizování přes národní orgány. Nálepka "výbor" podceňuje, co mohou výstupy podle článku 22 spustit.
Se skupinou pro spolupráci nikdy nemáme nic společného.
Správně, v jednom smyslu: subjekty u skupiny nic nepodávají a skupina je nereguluje. Její výstupy ale k vám dorazí přes národní kanály. BSI Infopakete citují pokyny skupiny. Aktualizace TIG od ENISA pohlcují závěry skupiny. Koordinované posouzení podle článku 22 může přistát ve vašich smluvních ujednáních s dodavateli. Skupina stojí výše proti proudu věcí, kterých se dotýkáte.
Skupinu pro spolupráci řídí ENISA.
Ne. ENISA zajišťuje podporu sekretariátu. Samotná skupina se skládá ze zástupců členských států a Komise. Článek 14(3) je o složení jasný. ENISA připravuje, analyzuje a podporuje, ale rozhodnutí náleží členským státům a Komisi.
Pro subjekt v působnosti jsou důležité tři praktické styčné body. Zaprvé, BSI Infopakete a aktualizace TIG od ENISA často citují výstupy skupiny pro spolupráci. Když čtete pokyny BSI, čtete to, na čem se skupina shodla. Zadruhé, koordinovaná posouzení rizik dodavatelského řetězce podle článku 22 mohou změnit to, co musí vaše smlouvy o pořizování požadovat od dodavatelů ICT. Zatřetí, dvouleté zprávy o stavu kybernetické bezpečnosti vám dávají obraz na úrovni EU, který musí váš řídící orgán číst.
Nic z toho pro vás není povinnost podávat hlášení. Skupina nemá portál, do kterého byste se přihlašovali. Správný provozní postoj zní: čtěte BSI Infopakete a aktualizace TIG od ENISA, jak vycházejí, sledujte posouzení podle článku 22, která se dotýkají odvětví, na nichž závisíte, a nechte tyto výstupy proudit do vašeho registru rizik a vašich smluvních ujednání s dodavateli prostřednictvím běžného každoročního přezkumu.
Když výstup skupiny pro spolupráci ovlivní konkrétní požadavek NIS 2 (posouzení podle článku 22, kus orientace podle článku 14(4), zjištění ze vzájemného hodnocení podle článku 19), odkazujeme tento výstup přímo ze stránky požadavku. Vidíte citaci vedle povinnosti, kterou utváří, ne v samostatném zpravodajském kanálu.
Platforma sleduje verze TIG od ENISA a aktualizace BSI Infopakete, které pohlcují materiál skupiny pro spolupráci. Když přijde nová verze, dotčené požadavky se označí k novému přezkumu. Nemusíte sledovat Brusel sami.
- Směrnice (EU) 2022/2555 (NIS 2), článek 14. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice (EU) 2022/2555 (NIS 2), článek 15 (síť CSIRT) a článek 16 (EU-CyCLONe)
- Směrnice (EU) 2022/2555 (NIS 2), článek 19 (vzájemná hodnocení) a článek 22 (koordinovaná posouzení rizik dodavatelského řetězce)
- BSI Infopakete "NIS 2 Pflichten". bsi.bund.de/dok/nis-2-infopakete
- ENISA. Role a funkce sekretariátu podle nařízení (EU) 2019/881 (akt o kybernetické bezpečnosti)