Le réseau des CSIRT et EU-CyCLONe au titre des articles 15 et 16
NIS 2 construit deux réseaux de coopération transfrontière. Le réseau des CSIRT gère la réponse technique aux incidents entre les CSIRT nationaux. EU-CyCLONe gère la coordination politique lorsqu'une cybercrise dépasse un seul pays. Les deux ont l'ENISA pour secrétariat.
La version courte
NIS 2 fait deux choses à la fois. Il indique aux entités dans le champ d'application de notifier les incidents à leur CSIRT national ou à leur autorité compétente. Il indique aussi aux États membres de se parler lorsqu'un incident traverse les frontières ou menace plus d'un pays. Le volet « se parler entre eux » est ce que mettent en place les articles 15 et 16.
L'article 15 crée le réseau des CSIRT. C'est la couche technique et opérationnelle. Les CSIRT nationaux (en Allemagne : CERT-Bund au BSI) plus le CERT-UE en font partie. Ils échangent des données sur les menaces, coordonnent la réponse aux incidents transfrontières, et partagent des outils. L'ENISA en assure le secrétariat.
L'article 16 crée EU-CyCLONe, le réseau européen d'organisation de liaison en cas de cybercrises. C'est la couche politique. Les autorités des États membres chargées de la gestion des cybercrises (en Allemagne : le ministère fédéral de l'Intérieur) en font partie. Elles coordonnent la réponse politique aux incidents de grande ampleur. L'ENISA en assure aussi le secrétariat. Même agence, deux couches.
Article 15, paragraphe 1, et article 16, paragraphe 1, de la directive NIS 2 (2022/2555)
Afin de contribuer au développement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et efficace, un réseau des CSIRT nationaux est établi. […] Afin de soutenir la gestion coordonnée des incidents et crises de cybersécurité de grande ampleur au niveau opérationnel et d'assurer l'échange régulier d'informations pertinentes entre les États membres et les institutions, organes et organismes de l'Union, un réseau européen d'organisation de liaison en cas de cybercrises (EU-CyCLONe) est établi.
Deux articles adjacents. Deux réseaux. L'article 15 se situe sur le palier opérationnel. L'article 16 se situe sur le palier politique. La directive met en place les deux organes directement. Aucune autre disposition de l'UE n'est nécessaire pour les faire exister.
S.O. — Institutions de niveau article
Il n'existe pas de règlement d'exécution qui précise davantage le réseau des CSIRT ou EU-CyCLONe.
Contrairement à l'article 21, paragraphe 2 (que le CIR étoffe), les articles 15 et 16 sont d'application directe. Les réseaux ont publié leurs propres règlements intérieurs, mais ce sont des documents de travail, pas de la législation de l'UE. Ce qui importe pour les entités dans le champ d'application, ce sont leurs homologues nationaux, pas les procédures opérationnelles internes des réseaux.
Désignation du CSIRT national au titre de l'art. 10 de NIS 2 + autorité nationale de gestion des cybercrises
Allemagne : CERT-Bund (au BSI) est le CSIRT national désigné sur le réseau de l'article 15. Le ministère fédéral de l'Intérieur (BMI) représente l'Allemagne au sein d'EU-CyCLONe.
Chaque État membre nomme un CSIRT national au titre de l'article 10 de NIS 2 et nomme l'autorité chargée de la gestion des cybercrises. Pour l'Allemagne, le BSIG confirme le BSI comme autorité nationale et CERT-Bund comme CSIRT national. Le représentant du palier politique au sein d'EU-CyCLONe est le BMI.
Réseau des CSIRT : coopération opérationnelle
Le réseau échange des informations sur les capacités des CSIRT, partage des outils et des procédures, échange des données sur les incidents et les menaces, coordonne la réponse aux incidents transfrontières, soutient les États membres pour les incidents qui les affectent, et alimente la divulgation coordonnée des vulnérabilités au titre de l'article 12. Du travail technique entre équipes techniques.
EU-CyCLONe : coordination politique
EU-CyCLONe développe la préparation à la gestion des incidents et crises de cybersécurité de grande ampleur, élabore une image situationnelle partagée, évalue les conséquences et propose comment y remédier, coordonne la réponse politique, et (à la demande d'un État membre) examine les plans nationaux de réponse aux incidents de grande ampleur. Du travail politique entre représentants politiques.
Quand la couche opérationnelle remonte vers la couche politique
Les incidents transfrontières mineurs ou de routine restent sur le réseau des CSIRT. Les incidents de grande ampleur qui nécessitent des décisions au niveau ministériel (impact intersectoriel, communications publiques, déclarations au niveau de l'UE) remontent vers EU-CyCLONe. Les deux réseaux sont conçus pour se transmettre le travail, avec l'ENISA comme secrétariat de liaison.
Le technique et le politique sont des métiers différents
Un analyste de CSIRT qui partage des signatures de maliciels au-delà des frontières exerce un métier différent de celui d'un conseiller ministériel qui informe un cabinet sur l'opportunité d'attribuer une attaque à un acteur étatique. NIS 2 les maintient dans des réseaux distincts à dessein. Mélanger les deux couches est le moyen de ralentir la réponse technique et d'évincer la prise de décision politique.
L'ENISA comme tissu conjonctif
L'ENISA assure le secrétariat des deux réseaux. Même agence, même bâtiment, même connaissance de la situation. C'est le choix de conception délibéré de l'UE : garder les deux couches de coopération structurellement distinctes mais s'assurer qu'elles partagent une image opérationnelle commune. Sans cela, la couche politique réagirait sur des informations périmées.
CERT-Bund (BSI) + BMI
CERT-Bund au BSI est le CSIRT national de l'Allemagne sur le réseau de l'article 15. Le ministère fédéral de l'Intérieur (BMI) représente l'Allemagne au sein d'EU-CyCLONe. Pour une entité dans le champ d'application, le contact pratique est le BSI. Le palier politique opère au-dessus de votre tête, mais ses décisions peuvent façonner ce que le BSI vous demande de faire.
L'ENISA comme secrétariat des deux réseaux
L'ENISA, l'agence de cybersécurité de l'UE, assure le secrétariat du réseau des CSIRT et d'EU-CyCLONe. Elle produit des documents d'orientation issus des deux réseaux (manuels de réponse aux incidents, rapports sur les menaces, rapports d'exercices). Ces publications réalimentent les orientations nationales comme les Infopakete du BSI.
CSIRT nationaux + autorités nationales de gestion des cybercrises
Chaque État membre en nomme un. Les Pays-Bas : NCSC-NL sur le réseau des CSIRT, le ministère de la Justice et de la Sécurité au sein d'EU-CyCLONe. L'Autriche : GovCERT Austria sur le réseau, la Chancellerie fédérale au palier politique. La structure est identique à l'échelle de l'UE ; les agences diffèrent selon le pays.
Le réseau des CSIRT gère tout ce qui touche au cyber au niveau de l'UE.
Non. Le réseau des CSIRT est la couche opérationnelle et technique. Les incidents de grande ampleur qui nécessitent une coordination politique (communications intersectorielles, décisions d'attribution, informations ministérielles) remontent vers EU-CyCLONe. Deux réseaux, deux couches, par conception.
EU-CyCLONe est un régulateur auquel nous notifions.
Non. EU-CyCLONe est un organe de coordination entre les autorités des États membres. Il ne réglemente pas les entités dans le champ d'application. Il ne reçoit pas de rapports d'incidents. La notification au titre de l'article 23 de NIS 2 va à votre CSIRT national ou à votre autorité compétente. EU-CyCLONe opère un palier au-dessus, entre les gouvernements.
Nous déposons nos rapports d'incidents auprès du réseau des CSIRT.
Non. L'article 23 de NIS 2 dispose que vous notifiez à votre CSIRT national ou à votre autorité compétente. En Allemagne, c'est le BSI. Le CSIRT national partage ensuite les informations pertinentes avec le réseau des CSIRT lorsqu'une coordination transfrontière est nécessaire. Le réseau est l'homologue de votre CSIRT, pas le vôtre.
Pour une Stadtwerk ou un opérateur informatique du Mittelstand, le point de contact pratique est votre CSIRT national. En Allemagne, c'est CERT-Bund au BSI. Vous lui notifiez les incidents au titre de l'article 23 de NIS 2, vous lisez ses avis, vous l'appelez quand quelque chose brûle. Le réseau des CSIRT et EU-CyCLONe fonctionnent derrière cette interface.
Pourquoi ces réseaux comptent tout de même pour vous : lorsqu'un incident transfrontière frappe (pensez à une attaque de la chaîne d'approvisionnement affectant quinze pays à la fois), la coordination qui se produit au niveau du réseau des CSIRT est ce qui rend la réponse de votre CSIRT national cohérente avec le reste de l'UE. Et la coordination politique au niveau d'EU-CyCLONe est ce qui détermine si la réponse s'arrête au confinement technique ou devient une déclaration publique. Toutes deux façonnent les conseils que vous recevez en fin de compte.
Le module incidents achemine les notifications vers votre CSIRT national au titre de l'article 23 (en Allemagne : BSI). Vous n'interagissez pas directement avec le réseau des CSIRT ou EU-CyCLONe ; le CSIRT national est votre unique homologue pour la notification d'incidents. La plateforme se charge des échéances (alerte précoce 24h, notification 72h, rapport final à un mois).
Notre couche de référence fait remonter les publications et documents d'orientation de l'ENISA issus des travaux du réseau des CSIRT. Avis de menaces, rapports conjoints, conclusions d'exercices : ces éléments alimentent notre interprétation de « approprié et proportionné » au titre de l'article 21, paragraphe 1. Vous n'avez pas à les suivre vous-même.
- Directive (UE) 2022/2555 (NIS 2), articles 15 et 16 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 10 (désignation des CSIRT) et article 23 (notification des incidents)
- Site web de l'ENISA sur le réseau des CSIRT et EU-CyCLONe — enisa.europa.eu
- Loi sur le BSI (BSIG), CERT-Bund comme CSIRT national au titre du §5 BSIG
- Procédures opérationnelles standard d'EU-CyCLONe (résumées publiquement par l'ENISA)