Le groupe de coopération NIS 2 au titre de l'article 14
L'article 14 NIS 2 établit le groupe de coopération comme couche de coordination stratégique de la directive. Les États membres, la Commission et ENISA y siègent. Le SEAE observe. Il émet des orientations, mène des évaluations par les pairs et produit des évaluations coordonnées des risques de la chaîne d'approvisionnement. Il ne réglemente pas les entités individuelles.
En bref
Le groupe de coopération est l'organe de coordination stratégique de niveau européen pour NIS 2. L'article 14(1) l'établit pour soutenir la coopération stratégique et l'échange d'informations entre les États membres et pour instaurer la confiance. Ce n'est pas un régulateur. Il ne gère pas les incidents. Il n'applique pas la loi.
Sa mission est la politique et les orientations. L'article 14(4) énumère dix-neuf tâches : orientation des autorités compétentes, soutien à la divulgation coordonnée des vulnérabilités, échange de bonnes pratiques, apport consultatif à la Commission, évaluations par les pairs au titre de l'article 19, et évaluations coordonnées des risques de la chaîne d'approvisionnement au titre de l'article 22. ENISA assure le secrétariat.
Pour la plupart des entités, le groupe de coopération est invisible. Vous n'avez jamais affaire à lui directement. Mais ses productions vous parviennent par l'intermédiaire des autorités nationales. Une évaluation coordonnée des risques au titre de l'article 22 peut déterminer ce que vos contrats d'achat doivent exiger des fournisseurs. Un Infopaket du BSI peut citer textuellement les orientations du groupe de coopération. Lisez-le comme la source en amont de la politique nationale.
Article 14(1) et 14(3) de la directive NIS 2 (2022/2555)
In order to support and facilitate strategic cooperation and the exchange of information among Member States and to strengthen trust and confidence, a Cooperation Group is established. The Cooperation Group shall be composed of representatives of Member States, the Commission and ENISA. The European External Action Service shall participate in the activities of the Cooperation Group as an observer.
L'article 14(1) crée le groupe. L'article 14(3) en fixe la composition. L'article 14(2) dispose qu'il travaille sur la base de programmes de travail biennaux. L'article 14(4) énumère les dix-neuf tâches (lettres a à s) que le groupe accomplit.
Aucun règlement d'exécution
N/A — Cooperation Group is a Directive-level institution, no CIR section.
Contrairement aux mesures de l'article 21(2), où le CIR (UE) 2024/2690 précise le détail technique, le groupe de coopération lui-même figure dans la directive. Il n'existe aucun règlement d'exécution qui opérationnalise l'article 14. Le groupe fixe son propre programme de travail tous les deux ans.
Participation nationale (Allemagne : BMI, BSI)
Strategic cooperation under NIS 2 is exercised through the federal ministries and the BSI as the competent authority.
L'Allemagne participe par l'intermédiaire du ministère fédéral de l'Intérieur (BMI) et du BSI. Le §3 BSIG désigne le BSI comme l'autorité fédérale de cybersécurité et renvoie à la coopération stratégique au titre de NIS 2. Les autres États membres envoient leurs propres représentants, généralement un siège ministériel plus l'autorité nationale de cybersécurité.
Composition
Des représentants de chaque État membre, de la Commission et d'ENISA. Le Service européen pour l'action extérieure se joint en tant qu'observateur. ENISA fournit le soutien du secrétariat. Les sièges des États membres sont généralement occupés par l'autorité nationale de cybersécurité et un représentant ministériel.
Dix-neuf tâches (a à s)
Orientation et conseils aux autorités compétentes, soutien à la divulgation coordonnée des vulnérabilités, échange de bonnes pratiques et d'informations sur les menaces et les incidents, échange consultatif avec la Commission sur la politique, échange avec les organes de l'UE, évaluations par les pairs au titre de l'article 19, et évaluations coordonnées des risques des chaînes d'approvisionnement critiques au titre de l'article 22.
Programmes de travail biennaux
Le groupe planifie son travail par cycles de deux ans. Chaque programme de travail fixe les priorités, les livrables et le calendrier des évaluations par les pairs pour la période. La cadence biennale maintient l'agenda visible et permet aux États membres d'aligner leurs plans nationaux.
Stratégique, pas opérationnel
Le groupe de coopération ne gère pas les incidents individuels. C'est la mission du réseau des CSIRT au titre de l'article 15. Il ne gère pas non plus la coordination des crises de grande ampleur ; cela relève d'EU-CyCLONe au titre de l'article 16. Le domaine du groupe est la politique, les orientations et l'échange structuré entre les États membres.
Orientation, pas application de la loi
Ce que produit le groupe, ce sont des recommandations, des échanges de bonnes pratiques et des évaluations coordonnées. Elles ont du poids parce qu'elles reflètent le consensus de chaque autorité nationale, de la Commission et d'ENISA. Mais ce ne sont pas des règles contraignantes pour les entités. La couche contraignante est la directive, le CIR et votre transposition nationale.
BMI et BSI
Le ministère fédéral de l'Intérieur et le BSI représentent l'Allemagne au sein du groupe de coopération. Le BSI réinjecte les productions du groupe dans ses Infopakete NIS 2 et dans les mises à jour de l'IT-Grundschutz. Lorsque le groupe publie une évaluation coordonnée des risques de la chaîne d'approvisionnement au titre de l'article 22, le BSI est le canal qui la transforme en orientations allemandes.
Secrétariat d'ENISA
ENISA soutient le groupe de coopération en tant que secrétariat. Elle prépare les analyses, anime les groupes de travail et publie les livrables. ENISA ne siège pas au groupe avec voix délibérative ; le groupe est composé des États membres et de la Commission. ENISA est le moteur opérationnel derrière lui.
Représentants nationaux
Chaque État membre dispose d'un siège par délégation nationale. Les Pays-Bas envoient le NCSC et le ministère concerné. L'Autriche envoie le BMI et le GovCERT. La Belgique envoie le CCB. La substance du travail est partagée ; le point d'entrée national diffère.
Le groupe de coopération n'est qu'un autre comité de l'UE.
Il produit des résultats concrets qui changent ce que les entités doivent faire. Les évaluations coordonnées des risques de la chaîne d'approvisionnement au titre de l'article 22 sont des produits formels du groupe de coopération. Lorsqu'un secteur ou une chaîne d'approvisionnement est évalué comme présentant un risque élevé, l'évaluation se répercute dans les exigences d'achat par l'intermédiaire des autorités nationales. L'étiquette de « comité » sous-estime ce que les productions de l'article 22 peuvent déclencher.
Nous n'avons jamais affaire au groupe de coopération.
Exact, en un sens : les entités ne déposent rien auprès du groupe et le groupe ne les réglemente pas. Mais ses productions vous parviennent par les canaux nationaux. Les Infopakete du BSI citent les orientations du groupe. Les mises à jour du TIG d'ENISA absorbent les conclusions du groupe. Une évaluation coordonnée au titre de l'article 22 peut atterrir dans les clauses de vos contrats fournisseurs. Le groupe est en amont de choses que vous touchez bel et bien.
ENISA dirige le groupe de coopération.
Non. ENISA fournit le soutien du secrétariat. Le groupe lui-même est composé de représentants des États membres et de la Commission. L'article 14(3) est clair sur la composition. ENISA prépare, analyse et soutient, mais les décisions appartiennent aux États membres et à la Commission.
Pour une entité dans le périmètre, trois points de contact pratiques comptent. Premièrement, les Infopakete du BSI et les mises à jour du TIG d'ENISA citent souvent les productions du groupe de coopération. Lorsque vous lisez les orientations du BSI, vous lisez ce sur quoi le groupe a convergé. Deuxièmement, les évaluations coordonnées des risques de la chaîne d'approvisionnement au titre de l'article 22 peuvent changer ce que vos contrats d'achat doivent exiger des fournisseurs TIC. Troisièmement, les rapports biennaux sur l'état de la cybersécurité vous donnent la vue d'ensemble de niveau européen que votre organe de direction doit lire.
Rien de tout cela n'est une obligation de dépôt pour vous. Le groupe n'a pas de portail sur lequel vous vous connectez. La bonne posture opérationnelle est : lire les Infopakete du BSI et les mises à jour du TIG d'ENISA au fur et à mesure de leur parution, surveiller les évaluations de l'article 22 qui touchent les secteurs dont vous dépendez, et laisser ces productions alimenter votre registre des risques et vos clauses fournisseurs via la revue annuelle normale.
Lorsqu'une production du groupe de coopération affecte une exigence NIS 2 spécifique (une évaluation au titre de l'article 22, une orientation au titre de l'article 14(4), une conclusion d'évaluation par les pairs au titre de l'article 19), nous relions la production directement à partir de la page de l'exigence. Vous voyez la citation à côté de l'obligation qu'elle façonne, et non dans un fil d'actualité séparé.
La plateforme suit les versions du TIG d'ENISA et les mises à jour des Infopakete du BSI qui absorbent le matériel du groupe de coopération. Lorsqu'une nouvelle version paraît, les exigences concernées sont signalées pour réexamen. Vous n'avez pas à surveiller Bruxelles vous-même.
- Directive (UE) 2022/2555 (NIS 2), article 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 15 (réseau des CSIRT) et article 16 (EU-CyCLONe)
- Directive (UE) 2022/2555 (NIS 2), article 19 (évaluations par les pairs) et article 22 (évaluations coordonnées des risques de la chaîne d'approvisionnement)
- Infopakete du BSI « NIS 2 Pflichten » — bsi.bund.de/dok/nis-2-infopakete
- ENISA — rôle et fonction de secrétariat au titre du règlement (UE) 2019/881 (règlement sur la cybersécurité)