El Grupo de Cooperación de NIS 2 conforme al artículo 14
El artículo 14 NIS 2 establece el Grupo de Cooperación como la capa de coordinación estratégica de la directiva. Los Estados miembros, la Comisión y ENISA forman parte de él. El SEAE actúa como observador. Emite orientaciones, realiza revisiones por pares y produce evaluaciones coordinadas del riesgo de la cadena de suministro. No regula a las entidades individuales.
La versión corta
El Grupo de Cooperación es el órgano de coordinación estratégica a escala de la UE para NIS 2. El artículo 14(1) lo establece para apoyar la cooperación estratégica y el intercambio de información entre los Estados miembros y para generar confianza. No es un regulador. No gestiona incidentes. No ejecuta.
Su cometido es la política y la orientación. El artículo 14(4) enumera diecinueve funciones: orientación para las autoridades competentes, apoyo a la divulgación coordinada de vulnerabilidades, intercambio de buenas prácticas, aportación de asesoramiento a la Comisión, revisiones por pares conforme al artículo 19, y las evaluaciones coordinadas del riesgo de la cadena de suministro conforme al artículo 22. ENISA proporciona la secretaría.
Para la mayoría de las entidades, el Grupo de Cooperación es invisible. Nunca trata con él directamente. Pero sus resultados le llegan a través de las autoridades nacionales. Una evaluación coordinada del riesgo conforme al artículo 22 puede determinar lo que sus contratos de adquisición tienen que exigir a los proveedores. Un Infopaket del BSI puede citar la orientación del Grupo de Cooperación textualmente. Léalo como la fuente aguas arriba de la política nacional.
Artículo 14(1) y 14(3) Directiva NIS 2 (2022/2555)
A fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y de reforzar la confianza, se establece un Grupo de Cooperación. El Grupo de Cooperación estará compuesto por representantes de los Estados miembros, la Comisión y ENISA. El Servicio Europeo de Acción Exterior participará en las actividades del Grupo de Cooperación en calidad de observador.
El artículo 14(1) crea el Grupo. El artículo 14(3) fija la composición. El artículo 14(2) establece que trabaja sobre la base de programas de trabajo bienales. El artículo 14(4) enumera las diecinueve funciones (letras a a s) que desempeña el Grupo.
Sin reglamento de ejecución
N/A — el Grupo de Cooperación es una institución de nivel de Directiva, sin sección del CIR.
A diferencia de las medidas del artículo 21(2), donde el CIR (UE) 2024/2690 detalla los pormenores técnicos, el propio Grupo de Cooperación reside en la directiva. No hay un reglamento de ejecución que operativice el artículo 14. El Grupo fija su propio programa de trabajo cada dos años.
Participación nacional (Alemania: BMI, BSI)
La cooperación estratégica conforme a NIS 2 se ejerce a través de los ministerios federales y del BSI como autoridad competente.
Alemania participa a través del Ministerio Federal del Interior (BMI) y del BSI. El §3 BSIG designa al BSI como la autoridad federal de ciberseguridad y remite a la cooperación estratégica conforme a NIS 2. Otros Estados miembros envían a sus propios representantes, normalmente un asiento ministerial más la autoridad nacional de ciberseguridad.
Composición
Representantes de cada Estado miembro, la Comisión y ENISA. El Servicio Europeo de Acción Exterior se incorpora como observador. ENISA presta apoyo de secretaría. Los asientos de los Estados miembros suelen ocuparlos la autoridad nacional de ciberseguridad más un representante ministerial.
Diecinueve funciones (a a s)
Orientación y guía a las autoridades competentes, apoyo a la divulgación coordinada de vulnerabilidades, intercambio de buenas prácticas e información sobre amenazas e incidentes, intercambio de asesoramiento con la Comisión sobre política, intercambio con órganos de la UE, revisiones por pares conforme al artículo 19, y las evaluaciones coordinadas del riesgo de las cadenas de suministro críticas conforme al artículo 22.
Programas de trabajo bienales
El Grupo planifica su trabajo en ciclos de dos años. Cada programa de trabajo fija las prioridades, los entregables y el calendario de revisiones por pares del periodo. La cadencia bienal mantiene la agenda visible y permite a los Estados miembros alinear sus planes nacionales.
Estratégico, no operativo
El Grupo de Cooperación no gestiona incidentes individuales. Esa es la función de la Red de CSIRT conforme al artículo 15. Tampoco gestiona la coordinación de crisis a gran escala; eso corresponde a la EU-CyCLONe conforme al artículo 16. El ámbito del Grupo es la política, la orientación y el intercambio estructurado entre los Estados miembros.
Orientación, no ejecución
Lo que produce el Grupo son recomendaciones, intercambios de buenas prácticas y evaluaciones coordinadas. Tienen peso porque reflejan el consenso de todas las autoridades nacionales más la Comisión y ENISA. Pero no son normas vinculantes para las entidades. La capa vinculante es la directiva, el CIR y su transposición nacional.
BMI y BSI
El Ministerio Federal del Interior y el BSI representan a Alemania en el Grupo de Cooperación. El BSI retroalimenta los resultados del Grupo a sus Infopakete de NIS 2 y a las actualizaciones de IT-Grundschutz. Cuando el Grupo publica una evaluación coordinada del riesgo de la cadena de suministro conforme al artículo 22, el BSI es el canal que la convierte en orientación alemana.
Secretaría de ENISA
ENISA apoya al Grupo de Cooperación como secretaría. Prepara los análisis, dirige los grupos de trabajo y publica los entregables. ENISA no forma parte del Grupo con voto; el Grupo está compuesto por los Estados miembros más la Comisión. ENISA es el motor operativo que lo respalda.
Representantes nacionales
Cada Estado miembro tiene un asiento por delegación nacional. Los Países Bajos envían al NCSC y al ministerio correspondiente. Austria envía al BMI y a GovCERT. Bélgica envía al CCB. La sustancia del trabajo es compartida; el punto de entrada nacional difiere.
El Grupo de Cooperación es solo otro comité de la UE.
Produce resultados concretos que cambian lo que las entidades tienen que hacer. Las evaluaciones coordinadas del riesgo de la cadena de suministro conforme al artículo 22 son productos formales del Grupo de Cooperación. Cuando un sector o una cadena de suministro se evalúa como de alto riesgo, la evaluación fluye hacia los requisitos de adquisición a través de las autoridades nacionales. La etiqueta de «comité» infravalora lo que pueden desencadenar los resultados del artículo 22.
Nunca tenemos nada que ver con el Grupo de Cooperación.
Correcto, en un sentido: las entidades no presentan nada ante el Grupo y el Grupo no las regula. Pero sus resultados le llegan a través de los canales nacionales. Los Infopakete del BSI citan la orientación del Grupo. Las actualizaciones de la TIG de ENISA absorben las conclusiones del Grupo. Una evaluación coordinada del artículo 22 puede acabar en las cláusulas de su contrato con proveedores. El Grupo está aguas arriba de cosas que sí toca.
ENISA dirige el Grupo de Cooperación.
No. ENISA presta apoyo de secretaría. El propio Grupo está compuesto por representantes de los Estados miembros y la Comisión. El artículo 14(3) es claro sobre la composición. ENISA prepara, analiza y apoya, pero las decisiones corresponden a los Estados miembros y a la Comisión.
Para una entidad dentro del ámbito de aplicación, importan tres puntos de contacto prácticos. Primero, los Infopakete del BSI y las actualizaciones de la TIG de ENISA suelen citar resultados del Grupo de Cooperación. Cuando lee la orientación del BSI, está leyendo aquello en lo que convergió el Grupo. Segundo, las evaluaciones coordinadas del riesgo de la cadena de suministro conforme al artículo 22 pueden cambiar lo que sus contratos de adquisición tienen que exigir a los proveedores de TIC. Tercero, los informes bienales sobre el estado de la ciberseguridad le dan el panorama a escala de la UE que su órgano de dirección tiene que leer.
Nada de esto es un deber de presentación para usted. El Grupo no tiene un portal en el que inicie sesión. La postura operativa correcta es: leer los Infopakete del BSI y las actualizaciones de la TIG de ENISA a medida que se publican, estar atento a las evaluaciones del artículo 22 que afecten a sectores de los que depende, y dejar que esos resultados fluyan hacia su registro de riesgos y sus cláusulas con proveedores a través de la revisión anual habitual.
Cuando un resultado del Grupo de Cooperación afecta a un requisito concreto de NIS 2 (una evaluación del artículo 22, una orientación conforme al artículo 14(4), una conclusión de revisión por pares conforme al artículo 19), enlazamos el resultado directamente desde la página del requisito. Verá la cita junto a la obligación que determina, no en un canal de noticias aparte.
La plataforma realiza el seguimiento de las versiones de la TIG de ENISA y de las actualizaciones de los Infopakete del BSI que absorben material del Grupo de Cooperación. Cuando llega una nueva versión, los requisitos afectados se marcan para su revisión. No tiene que vigilar Bruselas usted mismo.
- Directiva (UE) 2022/2555 (NIS 2), artículo 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), artículo 15 (Red de CSIRT) y artículo 16 (EU-CyCLONe)
- Directiva (UE) 2022/2555 (NIS 2), artículo 19 (revisiones por pares) y artículo 22 (evaluaciones coordinadas del riesgo de la cadena de suministro)
- Infopakete del BSI «NIS 2 Pflichten» — bsi.bund.de/dok/nis-2-infopakete
- ENISA — función y secretaría conforme al Reglamento (UE) 2019/881 (Reglamento de Ciberseguridad)