O Grupo de Cooperação da NIS 2 nos termos do artigo 14.o
O artigo 14.o da NIS 2 institui o Grupo de Cooperação como a camada de coordenação estratégica da diretiva. Os Estados-Membros, a Comissão e a ENISA fazem parte dele. O SEAE observa. Emite orientações, conduz revisões pelos pares e produz avaliações coordenadas de risco da cadeia de abastecimento. Não regula entidades individuais.
A versão curta
O Grupo de Cooperação é o órgão estratégico de coordenação ao nível da UE para a NIS 2. O artigo 14.o, n.o 1, institui-o para apoiar a cooperação estratégica e o intercâmbio de informações entre Estados-Membros e para reforçar a confiança. Não é um regulador. Não trata incidentes. Não fiscaliza.
A sua função é política e orientação. O artigo 14.o, n.o 4, lista dezanove atribuições: orientação para as autoridades competentes, apoio à divulgação coordenada de vulnerabilidades, intercâmbio de boas práticas, contributo consultivo à Comissão, revisões pelos pares nos termos do artigo 19.o e as avaliações coordenadas de risco da cadeia de abastecimento nos termos do artigo 22.o. A ENISA assegura o secretariado.
Para a maioria das entidades, o Grupo de Cooperação é invisível. Nunca lida com ele diretamente. Mas os seus resultados chegam até si através das autoridades nacionais. Uma avaliação coordenada de risco do artigo 22.o pode moldar o que os seus contratos de aquisição têm de exigir aos fornecedores. Um Infopaket do BSI pode citar a orientação do Grupo de Cooperação textualmente. Leia-o como a fonte a montante da política nacional.
Artigo 14.o, n.os 1 e 3, da diretiva NIS 2 (2022/2555)
A fim de apoiar e facilitar a cooperação estratégica e o intercâmbio de informações entre os Estados-Membros e de reforçar a confiança, é instituído um Grupo de Cooperação. O Grupo de Cooperação é composto por representantes dos Estados-Membros, da Comissão e da ENISA. O Serviço Europeu para a Ação Externa participa nas atividades do Grupo de Cooperação na qualidade de observador.
O artigo 14.o, n.o 1, cria o Grupo. O artigo 14.o, n.o 3, define a composição. O artigo 14.o, n.o 2, diz que funciona com base em programas de trabalho bienais. O artigo 14.o, n.o 4, lista as dezanove atribuições (alíneas a) a s)) que o Grupo desempenha.
Sem regulamento de execução
N/A. O Grupo de Cooperação é uma instituição ao nível da diretiva, sem secção na CIR.
Ao contrário das medidas do artigo 21.o, n.o 2, em que a CIR (UE) 2024/2690 detalha o pormenor técnico, o próprio Grupo de Cooperação está na diretiva. Não há regulamento de execução que operacionalize o artigo 14.o. O Grupo define o seu próprio programa de trabalho de dois em dois anos.
Participação nacional (Alemanha: BMI, BSI)
A cooperação estratégica ao abrigo da NIS 2 é exercida através dos ministérios federais e do BSI como autoridade competente.
A Alemanha participa através do Ministério Federal do Interior (BMI) e do BSI. O §3 BSIG nomeia o BSI como autoridade federal de cibersegurança e aponta para a cooperação estratégica ao abrigo da NIS 2. Outros Estados-Membros enviam os seus próprios representantes, normalmente um lugar ministerial mais a autoridade nacional de cibersegurança.
Composição
Representantes de cada Estado-Membro, da Comissão e da ENISA. O Serviço Europeu para a Ação Externa adere como observador. A ENISA presta apoio de secretariado. Os lugares dos Estados-Membros são tipicamente ocupados pela autoridade nacional de cibersegurança mais um representante ministerial.
Dezanove atribuições (a a s)
Orientação e apoio às autoridades competentes, apoio à divulgação coordenada de vulnerabilidades, intercâmbio de boas práticas e de informações sobre ameaças e incidentes, intercâmbio consultivo com a Comissão sobre política, intercâmbio com organismos da UE, revisões pelos pares nos termos do artigo 19.o e as avaliações coordenadas de risco das cadeias de abastecimento críticas nos termos do artigo 22.o.
Programas de trabalho bienais
O Grupo planeia o seu trabalho em ciclos de dois anos. Cada programa de trabalho define as prioridades, os resultados a entregar e o calendário de revisões pelos pares para o período. A cadência bienal mantém a agenda visível e permite que os Estados-Membros alinhem os seus planos nacionais.
Estratégico, não operacional
O Grupo de Cooperação não trata incidentes individuais. Essa é a função da rede de CSIRT nos termos do artigo 15.o. Também não trata da coordenação de crises em grande escala; isso cabe à EU-CyCLONe nos termos do artigo 16.o. A esfera do Grupo é a política, a orientação e o intercâmbio estruturado entre Estados-Membros.
Orientação, não fiscalização
O que o Grupo produz são recomendações, intercâmbios de boas práticas e avaliações coordenadas. Têm peso porque refletem o consenso de cada autoridade nacional mais a Comissão e a ENISA. Mas não são regras vinculativas para as entidades. A camada vinculativa é a diretiva, a CIR e a sua transposição nacional.
BMI e BSI
O Ministério Federal do Interior e o BSI representam a Alemanha no Grupo de Cooperação. O BSI reintroduz os resultados do Grupo nos seus Infopakete da NIS 2 e nas atualizações do IT-Grundschutz. Quando o Grupo publica uma avaliação coordenada de risco da cadeia de abastecimento nos termos do artigo 22.o, o BSI é o canal que a converte em orientação alemã.
Secretariado da ENISA
A ENISA apoia o Grupo de Cooperação como secretariado. Prepara as análises, dirige os grupos de trabalho e publica os resultados. A ENISA não tem assento com voto no Grupo; o Grupo é composto pelos Estados-Membros mais a Comissão. A ENISA é o motor operacional por trás dele.
Representantes nacionais
Cada Estado-Membro tem um lugar por delegação nacional. Os Países Baixos enviam o NCSC e o ministério competente. A Áustria envia o BMI e o GovCERT. A Bélgica envia o CCB. A substância do trabalho é partilhada; o ponto de entrada nacional difere.
O Grupo de Cooperação é apenas mais um comité da UE.
Produz resultados concretos que mudam o que as entidades têm de fazer. As avaliações coordenadas de risco da cadeia de abastecimento nos termos do artigo 22.o são produtos formais do Grupo de Cooperação. Quando um setor ou uma cadeia de abastecimento é avaliado como de alto risco, a avaliação reflui para os requisitos de aquisição através das autoridades nacionais. A etiqueta de 'comité' subvaloriza o que os resultados do artigo 22.o podem desencadear.
Nunca temos nada a ver com o Grupo de Cooperação.
Correto, num sentido: as entidades não apresentam nada ao Grupo e o Grupo não as regula. Mas os seus resultados chegam até si através dos canais nacionais. Os Infopakete do BSI citam a orientação do Grupo. As atualizações da TIG da ENISA absorvem as conclusões do Grupo. Uma avaliação coordenada do artigo 22.o pode aterrar nas cláusulas dos seus contratos com fornecedores. O Grupo está a montante de coisas em que efetivamente toca.
A ENISA dirige o Grupo de Cooperação.
Não. A ENISA presta apoio de secretariado. O próprio Grupo é composto por representantes dos Estados-Membros e pela Comissão. O artigo 14.o, n.o 3, é claro quanto à composição. A ENISA prepara, analisa e apoia, mas as decisões cabem aos Estados-Membros e à Comissão.
Para uma entidade abrangida, importam três pontos de contacto práticos. Primeiro, os Infopakete do BSI e as atualizações da TIG da ENISA citam frequentemente os resultados do Grupo de Cooperação. Quando lê a orientação do BSI, está a ler aquilo em que o Grupo convergiu. Segundo, as avaliações coordenadas de risco da cadeia de abastecimento nos termos do artigo 22.o podem mudar o que os seus contratos de aquisição têm de exigir aos fornecedores de TIC. Terceiro, os relatórios bienais sobre o estado da cibersegurança dão-lhe o panorama ao nível da UE que o seu órgão de gestão tem de ler.
Nada disto é um dever de apresentação para si. O Grupo não tem um portal onde inicie sessão. A postura operacional certa é: ler os Infopakete do BSI e as atualizações da TIG da ENISA à medida que saem, ficar atento às avaliações do artigo 22.o que toquem setores de que depende e deixar esses resultados fluir para o seu registo de riscos e para as suas cláusulas com fornecedores através da revisão anual normal.
Quando um resultado do Grupo de Cooperação afeta um requisito NIS 2 específico (uma avaliação do artigo 22.o, uma orientação ao abrigo do artigo 14.o, n.o 4, uma conclusão de revisão pelos pares nos termos do artigo 19.o), ligamos o resultado diretamente a partir da página do requisito. Vê a citação ao lado da obrigação que ela molda, não num feed de notícias separado.
A plataforma acompanha as versões da TIG da ENISA e as atualizações dos Infopakete do BSI que absorvem material do Grupo de Cooperação. Quando chega uma nova versão, os requisitos afetados são sinalizados para nova revisão. Não tem de monitorizar Bruxelas por si próprio.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 14.o. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 15.o (rede de CSIRT) e artigo 16.o (EU-CyCLONe)
- Diretiva (UE) 2022/2555 (NIS 2), artigo 19.o (revisões pelos pares) e artigo 22.o (avaliações coordenadas de risco da cadeia de abastecimento)
- Infopakete do BSI 'NIS 2 Pflichten'. bsi.bund.de/dok/nis-2-infopakete
- ENISA. Papel e função de secretariado ao abrigo do Regulamento (UE) 2019/881 (Regulamento Cibersegurança)