Grupul de cooperare NIS 2 conform articolului 14
Articolul 14 NIS 2 instituie Grupul de cooperare ca strat strategic de coordonare al directivei. Statele membre, Comisia și ENISA fac parte din el. SEAE participă ca observator. Emite îndrumări, derulează evaluări inter pares și produce evaluări coordonate ale riscurilor lanțului de aprovizionare. Nu reglementează entitățile individuale.
Pe scurt
Grupul de cooperare este organismul strategic de coordonare la nivelul UE pentru NIS 2. Articolul 14(1) îl instituie pentru a sprijini cooperarea strategică și schimbul de informații între statele membre și pentru a consolida încrederea. Nu este o autoritate de reglementare. Nu gestionează incidente. Nu aplică sancțiuni.
Sarcina lui este politica și îndrumarea. Articolul 14(4) enumeră nouăsprezece sarcini: orientarea autorităților competente, sprijinul pentru divulgarea coordonată a vulnerabilităților, schimbul de bune practici, contribuții consultative pentru Comisie, evaluări inter pares conform articolului 19 și evaluările coordonate ale riscurilor lanțului de aprovizionare conform articolului 22. ENISA asigură secretariatul.
Pentru majoritatea entităților, Grupul de cooperare este invizibil. Nu interacționați niciodată direct cu el. Dar rezultatele sale ajung la dumneavoastră prin autoritățile naționale. O evaluare coordonată a riscurilor conform articolului 22 poate modela ce trebuie să solicite contractele dumneavoastră de achiziție de la furnizori. Un Infopaket BSI poate cita verbatim îndrumarea Grupului de cooperare. Citiți-l ca sursă din amonte a politicii naționale.
Articolul 14(1) și 14(3) din Directiva NIS 2 (2022/2555)
Pentru a sprijini și a facilita cooperarea strategică și schimbul de informații între statele membre și pentru a consolida încrederea, se instituie un grup de cooperare. Grupul de cooperare este compus din reprezentanți ai statelor membre, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă participă la activitățile Grupului de cooperare în calitate de observator.
Articolul 14(1) creează grupul. Articolul 14(3) stabilește componența. Articolul 14(2) spune că funcționează pe baza unor programe de lucru bienale. Articolul 14(4) enumeră cele nouăsprezece sarcini (literele a până la s) pe care le îndeplinește grupul.
Niciun regulament de punere în aplicare
N/A. Grupul de cooperare este o instituție la nivel de directivă, fără secțiune CIR.
Spre deosebire de măsurile din articolul 21(2), unde CIR (UE) 2024/2690 detaliază aspectele tehnice, Grupul de cooperare în sine se află în directivă. Nu există un regulament de punere în aplicare care să operaționalizeze articolul 14. Grupul își stabilește propriul program de lucru o dată la doi ani.
Participarea națională (Germania: BMI, BSI)
Cooperarea strategică în temeiul NIS 2 se exercită prin ministerele federale și prin BSI ca autoritate competentă.
Germania participă prin Ministerul Federal de Interne (BMI) și prin BSI. §3 BSIG desemnează BSI ca autoritate federală de securitate cibernetică și face referire la cooperarea strategică în temeiul NIS 2. Alte state membre își trimit proprii reprezentanți, de obicei un loc ministerial plus autoritatea națională de securitate cibernetică.
Componența
Reprezentanți ai fiecărui stat membru, ai Comisiei și ai ENISA. Serviciul European de Acțiune Externă se alătură ca observator. ENISA asigură sprijinul de secretariat. Locurile statelor membre sunt de regulă ocupate de autoritatea națională de securitate cibernetică plus un reprezentant ministerial.
Nouăsprezece sarcini (a până la s)
Orientare și îndrumare pentru autoritățile competente, sprijin pentru divulgarea coordonată a vulnerabilităților, schimb de bune practici și de informații despre amenințări și incidente, schimb consultativ cu Comisia pe teme de politică, schimb cu organismele UE, evaluări inter pares conform articolului 19 și evaluările coordonate ale riscurilor lanțurilor de aprovizionare critice conform articolului 22.
Programe de lucru bienale
Grupul își planifică activitatea în cicluri de doi ani. Fiecare program de lucru stabilește prioritățile, livrabilele și calendarul evaluărilor inter pares pentru perioadă. Cadența bienală menține agenda vizibilă și le permite statelor membre să își alinieze planurile naționale.
Strategic, nu operațional
Grupul de cooperare nu gestionează incidente individuale. Aceasta este sarcina rețelei CSIRT conform articolului 15. Nu gestionează nici coordonarea crizelor la scară largă; aceasta revine EU-CyCLONe conform articolului 16. Domeniul grupului este politica, îndrumarea și schimbul structurat între statele membre.
Îndrumare, nu aplicare de sancțiuni
Ce produce grupul sunt recomandări, schimburi de bune practici și evaluări coordonate. Acestea au greutate deoarece reflectă consensul fiecărei autorități naționale plus Comisia și ENISA. Dar nu sunt reguli obligatorii pentru entități. Stratul obligatoriu este directiva, CIR și transpunerea dumneavoastră națională.
BMI și BSI
Ministerul Federal de Interne și BSI reprezintă Germania în Grupul de cooperare. BSI introduce rezultatele grupului înapoi în Infopakete NIS 2 și în actualizările IT-Grundschutz. Când grupul publică o evaluare coordonată a riscurilor lanțului de aprovizionare conform articolului 22, BSI este canalul care o transformă în îndrumare germană.
Secretariatul ENISA
ENISA sprijină Grupul de cooperare în calitate de secretariat. Pregătește analizele, conduce grupurile de lucru și publică livrabilele. ENISA nu face parte din grup cu drept de vot; grupul este compus din statele membre plus Comisia. ENISA este motorul operațional din spatele lui.
Reprezentanți naționali
Fiecare stat membru are un loc per delegație națională. Țările de Jos trimit NCSC și ministerul relevant. Austria trimite BMI și GovCERT. Belgia trimite CCB. Substanța activității este comună; punctul de intrare național diferă.
Grupul de cooperare este doar încă un comitet al UE.
Produce rezultate concrete care schimbă ce trebuie să facă entitățile. Evaluările coordonate ale riscurilor lanțului de aprovizionare conform articolului 22 sunt produse formale ale Grupului de cooperare. Când un sector sau un lanț de aprovizionare este evaluat ca având risc ridicat, evaluarea ajunge în cerințele de achiziție prin autoritățile naționale. Eticheta de "comitet" subestimează ce pot declanșa rezultatele articolului 22.
Nu avem niciodată nimic de-a face cu Grupul de cooperare.
Corect, într-un sens: entitățile nu depun nimic la grup, iar grupul nu le reglementează. Dar rezultatele sale ajung la dumneavoastră prin canale naționale. Infopakete BSI citează îndrumarea grupului. Actualizările TIG ale ENISA absorb concluziile grupului. O evaluare coordonată conform articolului 22 poate ajunge în clauzele contractelor dumneavoastră cu furnizorii. Grupul este în amonte de lucruri pe care chiar le atingeți.
ENISA conduce Grupul de cooperare.
Nu. ENISA asigură sprijinul de secretariat. Grupul în sine este compus din reprezentanți ai statelor membre și ai Comisiei. Articolul 14(3) este clar privind componența. ENISA pregătește, analizează și sprijină, dar deciziile aparțin statelor membre și Comisiei.
Pentru o entitate din domeniul de aplicare, contează trei puncte de contact practice. Primul, Infopakete BSI și actualizările TIG ale ENISA citează adesea rezultatele Grupului de cooperare. Când citiți îndrumarea BSI, citiți ceea ce a convenit grupul. Al doilea, evaluările coordonate ale riscurilor lanțului de aprovizionare conform articolului 22 pot schimba ce trebuie să solicite contractele dumneavoastră de achiziție de la furnizorii ICT. Al treilea, rapoartele bienale privind starea securității cibernetice vă oferă imaginea la nivelul UE pe care organul dumneavoastră de conducere trebuie să o citească.
Niciunul dintre acestea nu este o obligație de depunere pentru dumneavoastră. Grupul nu are un portal în care vă autentificați. Postura corectă de operare este: citiți Infopakete BSI și actualizările TIG ale ENISA pe măsură ce apar, urmăriți evaluările conform articolului 22 care ating sectoare de care depindeți și lăsați aceste rezultate să curgă în registrul dumneavoastră de riscuri și în clauzele cu furnizorii prin revizuirea anuală obișnuită.
Când un rezultat al Grupului de cooperare afectează o cerință NIS 2 specifică (o evaluare conform articolului 22, o orientare conform articolului 14(4), o constatare a unei evaluări inter pares conform articolului 19), legăm rezultatul direct din pagina cerinței. Vedeți citarea lângă obligația pe care o modelează, nu într-un flux de știri separat.
Platforma urmărește versiunile TIG ale ENISA și actualizările Infopakete BSI care absorb materialul Grupului de cooperare. Când apare o versiune nouă, cerințele afectate sunt marcate pentru reevaluare. Nu trebuie să monitorizați Bruxelles-ul singur.
- Directiva (UE) 2022/2555 (NIS 2), articolul 14. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 15 (rețeaua CSIRT) și articolul 16 (EU-CyCLONe)
- Directiva (UE) 2022/2555 (NIS 2), articolul 19 (evaluări inter pares) și articolul 22 (evaluări coordonate ale riscurilor lanțului de aprovizionare)
- Infopakete BSI "NIS 2 Pflichten". bsi.bund.de/dok/nis-2-infopakete
- ENISA. rol și funcție de secretariat în temeiul Regulamentului (UE) 2019/881 (Actul privind securitatea cibernetică)