Art. 14 NIS 2

Grupa Współpracy NIS 2 zgodnie z Artykułem 14

Artykuł 14 NIS 2 ustanawia Grupę Współpracy jako strategiczną warstwę koordynacyjną dyrektywy. Zasiadają w niej państwa członkowskie, Komisja i ENISA. ESDZ obserwuje. Wydaje wytyczne, prowadzi wzajemne oceny i tworzy skoordynowane oceny ryzyka łańcucha dostaw. Nie reguluje poszczególnych podmiotów.

Simon OrzelSimon Orzel·

Wersja skrócona

Grupa Współpracy to strategiczny organ koordynacyjny na poziomie UE dla NIS 2. Artykuł 14(1) ustanawia ją, aby wspierać strategiczną współpracę i wymianę informacji między państwami członkowskimi oraz budować zaufanie. Nie jest regulatorem. Nie obsługuje incydentów. Nie egzekwuje.

Jej zadaniem jest polityka i wytyczne. Artykuł 14(4) wymienia dziewiętnaście zadań: orientacja dla właściwych organów, wsparcie dla skoordynowanego ujawniania podatności, wymiana najlepszych praktyk, wkład doradczy dla Komisji, wzajemne oceny zgodnie z Artykułem 19 oraz skoordynowane oceny ryzyka łańcucha dostaw zgodnie z Artykułem 22. ENISA zapewnia sekretariat.

Dla większości podmiotów Grupa Współpracy jest niewidoczna. Nigdy nie masz z nią do czynienia bezpośrednio. Ale jej wyniki dosięgają Cię przez krajowe organy. Skoordynowana ocena ryzyka z Artykułu 22 może kształtować to, czego Twoje umowy zakupowe muszą wymagać od dostawców. BSI Infopaket może cytować wytyczne Grupy Współpracy dosłownie. Czytaj je jako źródło wyższego rzędu krajowej polityki.

Źródło prawne
Dwie warstwy. Dyrektywa ustanawia Grupę Współpracy i określa jej zadania. Nie ma rozporządzenia wykonawczego dla samej Grupy (jest to instytucja na poziomie dyrektywy). Udział krajowy przebiega przez ministerstwa i właściwe organy każdego państwa członkowskiego.

Artykuł 14(1) i 14(3) dyrektywy NIS 2 (2022/2555)

W celu wspierania i ułatwiania strategicznej współpracy i wymiany informacji między państwami członkowskimi oraz wzmacniania zaufania ustanawia się Grupę Współpracy. Grupa Współpracy składa się z przedstawicieli państw członkowskich, Komisji i ENISA. Europejska Służba Działań Zewnętrznych uczestniczy w działaniach Grupy Współpracy w charakterze obserwatora.

Artykuł 14(1) tworzy Grupę. Artykuł 14(3) określa skład. Artykuł 14(2) mówi, że działa ona na podstawie dwuletnich programów prac. Artykuł 14(4) wymienia dziewiętnaście zadań (litery a do s), które Grupa wykonuje.

Brak rozporządzenia wykonawczego

Nie dotyczy — Grupa Współpracy jest instytucją na poziomie dyrektywy, brak sekcji CIR.

W przeciwieństwie do środków z Artykułu 21(2), gdzie CIR (UE) 2024/2690 precyzuje szczegóły techniczne, sama Grupa Współpracy mieści się w dyrektywie. Nie ma rozporządzenia wykonawczego, które operacjonalizuje Artykuł 14. Grupa ustala własny program prac co dwa lata.

Udział krajowy (Niemcy: BMI, BSI)

Współpraca strategiczna w ramach NIS 2 jest realizowana przez ministerstwa federalne i BSI jako właściwy organ.

Niemcy uczestniczą poprzez Federalne Ministerstwo Spraw Wewnętrznych (BMI) i BSI. §3 BSIG wskazuje BSI jako federalny organ ds. cyberbezpieczeństwa i wskazuje na strategiczną współpracę w ramach NIS 2. Inne państwa członkowskie wysyłają własnych przedstawicieli, zazwyczaj jedno miejsce ministerialne plus krajowy organ ds. cyberbezpieczeństwa.

Trzy filary Grupy Współpracy
Artykuł 14 ustanawia Grupę wokół trzech elementów strukturalnych. Kto w niej zasiada. Co robi. I jak organizuje swoją pracę w czasie.
Art. 14(3)

Skład

Przedstawiciele każdego państwa członkowskiego, Komisji i ENISA. Europejska Służba Działań Zewnętrznych dołącza jako obserwator. ENISA zapewnia wsparcie sekretariatu. Miejsca państw członkowskich są zazwyczaj obsadzane przez krajowy organ ds. cyberbezpieczeństwa plus przedstawiciela ministerstwa.

Art. 14(4)

Dziewiętnaście zadań (a do s)

Orientacja i wytyczne dla właściwych organów, wsparcie dla skoordynowanego ujawniania podatności, wymiana najlepszych praktyk i informacji o zagrożeniach i incydentach, wymiana doradcza z Komisją w sprawie polityki, wymiana z organami UE, wzajemne oceny zgodnie z Artykułem 19 oraz skoordynowane oceny ryzyka krytycznych łańcuchów dostaw zgodnie z Artykułem 22.

Art. 14(2)

Dwuletnie programy prac

Grupa planuje swoją pracę w cyklach dwuletnich. Każdy program prac określa priorytety, produkty i harmonogram wzajemnych ocen na dany okres. Dwuletni rytm utrzymuje agendę widoczną i pozwala państwom członkowskim zsynchronizować swoje plany krajowe.

Dwie reguły, które kształtują działanie Grupy Współpracy
Dwie reguły interpretacyjne leżą u podstaw wszystkiego, co robi Grupa. Obie mają znaczenie, gdy czytasz jej wyniki.

Strategiczna, nie operacyjna

Grupa Współpracy nie obsługuje poszczególnych incydentów. To zadanie Sieci CSIRT zgodnie z Artykułem 15. Nie zajmuje się też koordynacją kryzysową na dużą skalę; to mieści się w EU-CyCLONe zgodnie z Artykułem 16. Domeną Grupy jest polityka, wytyczne i ustrukturyzowana wymiana między państwami członkowskimi.

Wytyczne, nie egzekucja

To, co tworzy Grupa, to zalecenia, wymiany najlepszych praktyk i skoordynowane oceny. Mają one wagę, ponieważ odzwierciedlają konsensus każdego krajowego organu plus Komisji i ENISA. Ale nie są wiążącymi regułami dla podmiotów. Warstwą wiążącą jest dyrektywa, CIR i Twoja transpozycja krajowa.

Jak krajowe organy współpracują z Grupą Współpracy
Każde państwo członkowskie wysyła ludzi. ENISA prowadzi sekretariat. Wyniki wracają do wytycznych krajowych. Oto jak trzy role dzielą się w praktyce.
Niemcy

BMI i BSI

Federalne Ministerstwo Spraw Wewnętrznych i BSI reprezentują Niemcy w Grupie Współpracy. BSI wprowadza wyniki Grupy z powrotem do swoich NIS 2 Infopakete i do aktualizacji IT-Grundschutz. Gdy Grupa publikuje skoordynowaną ocenę ryzyka łańcucha dostaw zgodnie z Artykułem 22, BSI jest kanałem, który przekuwa ją w niemieckie wytyczne.

Cała UE

Sekretariat ENISA

ENISA wspiera Grupę Współpracy jako sekretariat. Przygotowuje analizy, prowadzi grupy robocze i publikuje produkty. ENISA nie zasiada w Grupie z prawem głosu; Grupa składa się z państw członkowskich plus Komisji. ENISA jest silnikiem operacyjnym, który za nią stoi.

Inne państwa członkowskie

Przedstawiciele krajowi

Każde państwo członkowskie ma jedno miejsce na delegację krajową. Niderlandy wysyłają NCSC i odpowiednie ministerstwo. Austria wysyła BMI i GovCERT. Belgia wysyła CCB. Treść pracy jest wspólna; krajowy punkt wejścia się różni.

Trzy pułapki w odczytywaniu Artykułu 14
Trzy błędne odczytania pojawiają się regularnie. Wszystkie trzy prowadzą albo do zbyt szybkiego lekceważenia Grupy, albo do oczekiwania od niej rzeczy, których nie ma w jej mandacie.

  • Grupa Współpracy to tylko kolejny komitet UE.

    Tworzy konkretne wyniki, które zmieniają to, co podmioty muszą robić. Skoordynowane oceny ryzyka łańcucha dostaw zgodnie z Artykułem 22 są formalnymi produktami Grupy Współpracy. Gdy sektor lub łańcuch dostaw zostaje oceniony jako wysokiego ryzyka, ocena wpływa na wymagania zakupowe przez krajowe organy. Etykieta 'komitet' nie oddaje tego, co mogą wywołać wyniki z Artykułu 22.

  • Nigdy nie mamy nic wspólnego z Grupą Współpracy.

    Poprawne, w jednym sensie: podmioty niczego nie składają w Grupie, a Grupa ich nie reguluje. Ale jej wyniki dosięgają Cię przez kanały krajowe. BSI Infopakete cytują wytyczne Grupy. Aktualizacje ENISA TIG wchłaniają wnioski Grupy. Skoordynowana ocena z Artykułu 22 może wylądować w klauzulach Twoich umów z dostawcami. Grupa jest źródłem wyższego rzędu rzeczy, których dotykasz.

  • ENISA prowadzi Grupę Współpracy.

    Nie. ENISA zapewnia wsparcie sekretariatu. Sama Grupa składa się z przedstawicieli państw członkowskich i Komisji. Artykuł 14(3) jest jasny co do składu. ENISA przygotowuje, analizuje i wspiera, ale decyzje należą do państw członkowskich i Komisji.

Gdzie Grupa Współpracy faktycznie dotyka Twojej codzienności

Dla podmiotu objętego zakresem mają znaczenie trzy praktyczne punkty styku. Po pierwsze, BSI Infopakete i aktualizacje ENISA TIG często cytują wyniki Grupy Współpracy. Gdy czytasz wytyczne BSI, czytasz to, na czym Grupa się zbiegła. Po drugie, skoordynowane oceny ryzyka łańcucha dostaw zgodnie z Artykułem 22 mogą zmienić to, czego Twoje umowy zakupowe muszą wymagać od dostawców ICT. Po trzecie, dwuletnie raporty o stanie cyberbezpieczeństwa dają Ci obraz na poziomie UE, który Twój organ zarządzający musi przeczytać.

Nic z tego nie jest dla Ciebie obowiązkiem składania zgłoszeń. Grupa nie ma portalu, do którego się logujesz. Właściwa postawa operacyjna to: czytaj BSI Infopakete i aktualizacje ENISA TIG, gdy się ukazują, obserwuj oceny z Artykułu 22 dotykające sektorów, od których jesteś zależny, i pozwól, by te wyniki wpłynęły do Twojego rejestru ryzyk i klauzul z dostawcami w ramach normalnego corocznego przeglądu.

Jak obsługujemy wyniki Grupy Współpracy na platformie

Gdy wynik Grupy Współpracy dotyka konkretnego wymagania NIS 2 (ocena z Artykułu 22, element orientacji z Artykułu 14(4), ustalenie z wzajemnej oceny z Artykułu 19), linkujemy ten wynik bezpośrednio ze strony wymagania. Widzisz cytowanie obok obowiązku, który kształtuje, a nie w osobnym kanale wiadomości.

Platforma śledzi wersje ENISA TIG i aktualizacje BSI Infopakete, które wchłaniają materiał Grupy Współpracy. Gdy pojawia się nowa wersja, dotknięte wymagania zostają oznaczone do ponownego przeglądu. Nie musisz sam monitorować Brukseli.

Źródła
  • Dyrektywa (UE) 2022/2555 (NIS 2), Artykuł 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Dyrektywa (UE) 2022/2555 (NIS 2), Artykuł 15 (Sieć CSIRT) i Artykuł 16 (EU-CyCLONe)
  • Dyrektywa (UE) 2022/2555 (NIS 2), Artykuł 19 (wzajemne oceny) i Artykuł 22 (skoordynowane oceny ryzyka łańcucha dostaw)
  • BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
  • ENISA — rola i funkcja sekretariatu zgodnie z rozporządzeniem (UE) 2019/881 (akt o cyberbezpieczeństwie)
Śledź wyniki na poziomie UE, które faktycznie Cię dosięgają
Platforma linkuje wyniki Grupy Współpracy, ENISA i BSI do wymagań, na które wpływają. Bezpłatne, open source, bez lock-in.
Otwórz bezpłatną platformę