Il gruppo di cooperazione NIS 2 ai sensi dell'articolo 14
L'articolo 14 NIS 2 istituisce il gruppo di cooperazione come strato di coordinamento strategico della direttiva. Vi siedono gli Stati membri, la Commissione ed ENISA. Il SEAE osserva. Emette orientamenti, conduce revisioni tra pari e produce valutazioni coordinate dei rischi della catena di fornitura. Non regola i singoli soggetti.
La versione breve
Il gruppo di cooperazione è l'organo di coordinamento strategico a livello UE per NIS 2. L'articolo 14(1) lo istituisce per sostenere la cooperazione strategica e lo scambio di informazioni tra gli Stati membri e per costruire fiducia. Non è un regolatore. Non gestisce incidenti. Non applica sanzioni.
Il suo compito è policy e orientamento. L'articolo 14(4) elenca diciannove compiti: orientamento per le autorità competenti, sostegno alla divulgazione coordinata delle vulnerabilità, scambio di buone pratiche, contributo consultivo alla Commissione, revisioni tra pari ai sensi dell'articolo 19 e le valutazioni coordinate dei rischi della catena di fornitura ai sensi dell'articolo 22. ENISA assicura il segretariato.
Per la maggior parte dei soggetti, il gruppo di cooperazione è invisibile. Non ci hai mai a che fare direttamente. Ma i suoi output ti raggiungono attraverso le autorità nazionali. Una valutazione coordinata dei rischi dell'articolo 22 può plasmare ciò che i tuoi contratti di approvvigionamento devono chiedere ai fornitori. Un Infopaket del BSI può citare verbatim gli orientamenti del gruppo di cooperazione. Leggilo come la fonte a monte delle politiche nazionali.
Articolo 14(1) e 14(3) Direttiva NIS 2 (2022/2555)
In order to support and facilitate strategic cooperation and the exchange of information among Member States and to strengthen trust and confidence, a Cooperation Group is established. The Cooperation Group shall be composed of representatives of Member States, the Commission and ENISA. The European External Action Service shall participate in the activities of the Cooperation Group as an observer.
L'articolo 14(1) istituisce il gruppo. L'articolo 14(3) ne fissa la composizione. L'articolo 14(2) stabilisce che lavora sulla base di programmi di lavoro biennali. L'articolo 14(4) elenca i diciannove compiti (lettere da a a s) che il gruppo svolge.
Nessun regolamento di esecuzione
N/A — Cooperation Group is a Directive-level institution, no CIR section.
A differenza delle misure dell'articolo 21(2), dove il CIR (UE) 2024/2690 specifica il dettaglio tecnico, il gruppo di cooperazione in sé risiede nella direttiva. Non esiste un regolamento di esecuzione che renda operativo l'articolo 14. Il gruppo fissa il proprio programma di lavoro ogni due anni.
Partecipazione nazionale (Germania: BMI, BSI)
Strategic cooperation under NIS 2 is exercised through the federal ministries and the BSI as the competent authority.
La Germania partecipa attraverso il Ministero federale dell'Interno (BMI) e il BSI. Il §3 BSIG designa il BSI come autorità federale per la cybersicurezza e rinvia alla cooperazione strategica ai sensi di NIS 2. Gli altri Stati membri inviano i propri rappresentanti, di norma un seggio ministeriale più l'autorità nazionale per la cybersicurezza.
Composizione
Rappresentanti di ogni Stato membro, della Commissione e di ENISA. Il Servizio europeo per l'azione esterna partecipa come osservatore. ENISA assicura il supporto di segretariato. I seggi degli Stati membri sono di norma occupati dall'autorità nazionale per la cybersicurezza più un rappresentante ministeriale.
Diciannove compiti (da a a s)
Orientamento e indicazioni alle autorità competenti, sostegno alla divulgazione coordinata delle vulnerabilità, scambio di buone pratiche e di informazioni su minacce e incidenti, scambio consultivo con la Commissione sulle politiche, scambio con gli organismi dell'UE, revisioni tra pari ai sensi dell'articolo 19 e le valutazioni coordinate dei rischi delle catene di fornitura critiche ai sensi dell'articolo 22.
Programmi di lavoro biennali
Il gruppo pianifica il proprio lavoro in cicli biennali. Ogni programma di lavoro fissa le priorità, i deliverable e il calendario delle revisioni tra pari per il periodo. La cadenza biennale mantiene visibile l'agenda e consente agli Stati membri di allineare i propri piani nazionali.
Strategico, non operativo
Il gruppo di cooperazione non gestisce singoli incidenti. Quello è il compito della rete di CSIRT ai sensi dell'articolo 15. Non gestisce nemmeno il coordinamento delle crisi su larga scala; quello spetta a EU-CyCLONe ai sensi dell'articolo 16. La sfera del gruppo è policy, orientamento e scambio strutturato tra gli Stati membri.
Orientamento, non applicazione
Ciò che il gruppo produce sono raccomandazioni, scambi di buone pratiche e valutazioni coordinate. Hanno peso perché riflettono il consenso di ogni autorità nazionale più la Commissione ed ENISA. Ma non sono regole vincolanti per i soggetti. Lo strato vincolante è la direttiva, il CIR e il tuo recepimento nazionale.
BMI e BSI
Il Ministero federale dell'Interno e il BSI rappresentano la Germania nel gruppo di cooperazione. Il BSI riporta gli output del gruppo nei suoi Infopakete NIS 2 e negli aggiornamenti dell'IT-Grundschutz. Quando il gruppo pubblica una valutazione coordinata dei rischi della catena di fornitura ai sensi dell'articolo 22, il BSI è il canale che la trasforma in orientamento tedesco.
Segretariato ENISA
ENISA sostiene il gruppo di cooperazione come segretariato. Prepara le analisi, conduce i gruppi di lavoro e pubblica i deliverable. ENISA non siede nel gruppo con diritto di voto; il gruppo è composto dagli Stati membri più la Commissione. ENISA è il motore operativo che vi sta dietro.
Rappresentanti nazionali
Ogni Stato membro ha un seggio per delegazione nazionale. I Paesi Bassi inviano l'NCSC e il ministero competente. L'Austria invia il BMI e il GovCERT. Il Belgio invia il CCB. La sostanza del lavoro è condivisa; il punto di ingresso nazionale differisce.
Il gruppo di cooperazione è solo un altro comitato dell'UE.
Produce output concreti che cambiano ciò che i soggetti devono fare. Le valutazioni coordinate dei rischi della catena di fornitura ai sensi dell'articolo 22 sono prodotti formali del gruppo di cooperazione. Quando un settore o una catena di fornitura è valutato ad alto rischio, la valutazione confluisce nei requisiti di approvvigionamento attraverso le autorità nazionali. L'etichetta 'comitato' sminuisce ciò che gli output dell'articolo 22 possono innescare.
Non abbiamo mai nulla a che fare con il gruppo di cooperazione.
Corretto, in un certo senso: i soggetti non presentano nulla al gruppo e il gruppo non li regola. Ma i suoi output ti raggiungono attraverso i canali nazionali. Gli Infopakete del BSI citano gli orientamenti del gruppo. Gli aggiornamenti della TIG di ENISA assorbono le conclusioni del gruppo. Una valutazione coordinata dell'articolo 22 può finire nelle clausole dei tuoi contratti con i fornitori. Il gruppo è a monte di cose che invece tocchi.
ENISA gestisce il gruppo di cooperazione.
No. ENISA assicura il supporto di segretariato. Il gruppo stesso è composto dai rappresentanti degli Stati membri e dalla Commissione. L'articolo 14(3) è chiaro sulla composizione. ENISA prepara, analizza e sostiene, ma le decisioni spettano agli Stati membri e alla Commissione.
Per un soggetto rientrante nell'ambito contano tre punti di contatto pratici. Primo, gli Infopakete del BSI e gli aggiornamenti della TIG di ENISA citano spesso gli output del gruppo di cooperazione. Quando leggi gli orientamenti del BSI, stai leggendo ciò su cui il gruppo è convenuto. Secondo, le valutazioni coordinate dei rischi della catena di fornitura ai sensi dell'articolo 22 possono cambiare ciò che i tuoi contratti di approvvigionamento devono chiedere ai fornitori ICT. Terzo, le relazioni biennali sullo stato della cybersicurezza ti danno il quadro a livello UE che il tuo organo di gestione deve leggere.
Niente di tutto questo è un obbligo di presentazione per te. Il gruppo non ha un portale a cui accedi. La giusta postura operativa è: leggi gli Infopakete del BSI e gli aggiornamenti della TIG di ENISA man mano che escono, presta attenzione alle valutazioni dell'articolo 22 che toccano i settori da cui dipendi e lascia che quegli output confluiscano nel tuo registro dei rischi e nelle tue clausole sui fornitori attraverso la normale revisione annuale.
Quando un output del gruppo di cooperazione incide su uno specifico requisito NIS 2 (una valutazione dell'articolo 22, un orientamento ai sensi dell'articolo 14(4), un esito di revisione tra pari ai sensi dell'articolo 19), colleghiamo l'output direttamente dalla pagina del requisito. Vedi la citazione accanto all'obbligo che plasma, non in un feed di notizie separato.
La piattaforma traccia le versioni della TIG di ENISA e gli aggiornamenti degli Infopakete del BSI che assorbono materiale del gruppo di cooperazione. Quando arriva una nuova versione, i requisiti interessati vengono contrassegnati per il riesame. Non devi monitorare Bruxelles da solo.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 15 (rete di CSIRT) e Articolo 16 (EU-CyCLONe)
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 19 (revisioni tra pari) e Articolo 22 (valutazioni coordinate dei rischi della catena di fornitura)
- Infopakete del BSI 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ENISA — ruolo e funzione di segretariato ai sensi del Regolamento (UE) 2019/881 (Cybersecurity Act)