Die NIS-2-Kooperationsgruppe nach Artikel 14
Artikel 14 NIS 2 setzt die Kooperationsgruppe als strategische Koordinationsebene der Richtlinie ein. Mitgliedstaaten, Kommission und ENISA sitzen darin. Der EAD nimmt als Beobachter teil. Die Gruppe gibt Orientierung, führt Peer-Reviews durch und erstellt koordinierte Risikobewertungen kritischer Lieferketten. Sie reguliert keine einzelnen Einrichtungen.
Die Kurzfassung
Die Kooperationsgruppe ist das strategische EU-Koordinierungsgremium der NIS 2. Artikel 14(1) richtet sie ein, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und Vertrauen aufzubauen. Sie ist keine Aufsichtsbehörde. Sie bearbeitet keine Vorfälle. Sie vollzieht nichts.
Ihre Aufgabe ist Politik und Orientierung. Artikel 14(4) listet neunzehn Aufgaben: Orientierungshilfen für die zuständigen Behörden, Unterstützung der koordinierten Schwachstellenoffenlegung, Austausch bewährter Verfahren, beratende Zuarbeit zur Kommission, Peer-Reviews nach Artikel 19 sowie die koordinierten Lieferketten-Risikobewertungen nach Artikel 22. Die ENISA stellt das Sekretariat.
Für die meisten Einrichtungen ist die Kooperationsgruppe unsichtbar. Sie haben nie direkt mit ihr zu tun. Aber ihre Ergebnisse erreichen Sie über die nationalen Behörden. Eine koordinierte Risikobewertung nach Artikel 22 kann prägen, was Ihre Lieferantenverträge verlangen müssen. Ein BSI-Infopaket kann Orientierungstexte der Gruppe wörtlich zitieren. Lesen Sie sie als vorgelagerte Quelle nationaler Politik.
Artikel 14(1) und 14(3) NIS-2-Richtlinie (2022/2555)
Zur Unterstützung und Erleichterung der strategischen Zusammenarbeit und des Informationsaustauschs zwischen den Mitgliedstaaten und zur Stärkung des Vertrauens wird eine Kooperationsgruppe eingesetzt. Die Kooperationsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und der ENISA zusammen. Der Europäische Auswärtige Dienst nimmt an den Tätigkeiten der Kooperationsgruppe als Beobachter teil.
Artikel 14(1) richtet die Gruppe ein. Artikel 14(3) regelt die Zusammensetzung. Artikel 14(2) bestimmt, dass sie auf Grundlage zweijährlicher Arbeitsprogramme tätig wird. Artikel 14(4) listet die neunzehn Aufgaben (Buchstaben a bis s).
Keine Durchführungsverordnung
N/A — Die Kooperationsgruppe ist eine Einrichtung auf Richtlinienebene, keine DVO-Bestimmung.
Anders als bei den Maßnahmen aus Artikel 21(2), wo die DVO (EU) 2024/2690 die technischen Anforderungen ausformuliert, sitzt die Kooperationsgruppe direkt in der Richtlinie. Es gibt keine Durchführungsverordnung, die Artikel 14 operationalisiert. Die Gruppe legt ihr Arbeitsprogramm alle zwei Jahre selbst fest.
Nationale Beteiligung (Deutschland: BMI, BSI)
Die strategische Zusammenarbeit unter NIS 2 erfolgt über die Bundesministerien und das BSI als zuständige Behörde.
Deutschland beteiligt sich über das Bundesministerium des Innern (BMI) und das BSI. §3 BSIG benennt das BSI als Bundesbehörde für Informationssicherheit und verweist auf die strategische Zusammenarbeit unter NIS 2. Andere Mitgliedstaaten entsenden ihre eigenen Vertreter, meist einen Ministeriumssitz plus die nationale Cybersicherheitsbehörde.
Zusammensetzung
Vertreter jedes Mitgliedstaats, der Kommission und der ENISA. Der Europäische Auswärtige Dienst nimmt als Beobachter teil. Die ENISA stellt das Sekretariat. Die Mitgliedstaatensitze werden meist von der nationalen Cybersicherheitsbehörde plus einem Ministeriumsvertreter besetzt.
Neunzehn Aufgaben (a bis s)
Orientierungshilfen für zuständige Behörden, Unterstützung koordinierter Schwachstellenoffenlegung, Austausch bewährter Verfahren und Informationen zu Bedrohungen und Vorfällen, beratender Austausch mit der Kommission zu Politikinitiativen, Austausch mit EU-Stellen, Peer-Reviews nach Artikel 19 sowie die koordinierten Risikobewertungen kritischer Lieferketten nach Artikel 22.
Zweijährliche Arbeitsprogramme
Die Gruppe plant ihre Arbeit in Zweijahreszyklen. Jedes Arbeitsprogramm legt die Schwerpunkte, die Liefergegenstände und den Peer-Review-Plan für den Zeitraum fest. Der Zweijahresrhythmus hält die Agenda sichtbar und erlaubt den Mitgliedstaaten, ihre nationalen Pläne darauf abzustimmen.
Strategisch, nicht operativ
Die Kooperationsgruppe bearbeitet keine einzelnen Vorfälle. Das ist Aufgabe des CSIRTs-Netzwerks nach Artikel 15. Sie übernimmt auch keine großflächige Krisenkoordination; die liegt bei EU-CyCLONe nach Artikel 16. Die Spur der Gruppe ist Politik, Orientierung und strukturierter Austausch zwischen Mitgliedstaaten.
Orientierung, nicht Vollzug
Was die Gruppe produziert, sind Empfehlungen, Austausch bewährter Verfahren und koordinierte Bewertungen. Sie haben Gewicht, weil sie den Konsens jeder nationalen Behörde plus Kommission und ENISA widerspiegeln. Sie sind aber keine verbindlichen Vorgaben für Einrichtungen. Die verbindliche Ebene sind die Richtlinie, die DVO und Ihre nationale Umsetzung.
BMI und BSI
Das Bundesministerium des Innern und das BSI vertreten Deutschland in der Kooperationsgruppe. Das BSI führt die Ergebnisse der Gruppe in seine NIS-2-Infopakete und in die IT-Grundschutz-Aktualisierungen zurück. Wenn die Gruppe eine koordinierte Lieferkettenrisikobewertung nach Artikel 22 veröffentlicht, ist das BSI der Kanal, der daraus deutsche Leitlinien macht.
ENISA-Sekretariat
Die ENISA unterstützt die Kooperationsgruppe als Sekretariat. Sie bereitet die Analysen vor, führt die Arbeitsgruppen und veröffentlicht die Ergebnisse. Die ENISA sitzt nicht stimmberechtigt in der Gruppe; die Gruppe besteht aus Mitgliedstaaten plus Kommission. Die ENISA ist der operative Motor dahinter.
Nationale Vertretungen
Jeder Mitgliedstaat hat einen Sitz pro nationaler Delegation. Die Niederlande entsenden das NCSC und das zuständige Ministerium. Österreich entsendet das BMI und GovCERT. Belgien entsendet das CCB. Der inhaltliche Auftrag ist gemeinsam; der nationale Einstiegspunkt unterscheidet sich.
Die Kooperationsgruppe ist nur ein weiteres EU-Komitee.
Sie produziert konkrete Ergebnisse, die ändern, was Einrichtungen tun müssen. Die koordinierten Lieferkettenrisikobewertungen nach Artikel 22 sind formale Produkte der Kooperationsgruppe. Wird ein Sektor oder eine Lieferkette als hochriskant eingestuft, fließt die Bewertung über nationale Behörden in Beschaffungsvorgaben ein. Das Etikett 'Komitee' verkauft unter Wert, was Artikel-22-Ergebnisse auslösen können.
Wir haben mit der Kooperationsgruppe nie zu tun.
Stimmt in einem Sinn: Einrichtungen reichen nichts bei der Gruppe ein, und die Gruppe reguliert sie nicht. Aber ihre Ergebnisse erreichen Sie über nationale Kanäle. BSI-Infopakete zitieren Orientierungstexte der Gruppe. ENISA-TIG-Aktualisierungen nehmen Schlussfolgerungen der Gruppe auf. Eine koordinierte Artikel-22-Bewertung kann in Ihren Lieferantenklauseln landen. Die Gruppe ist vorgelagert zu Dingen, die Sie sehr wohl berühren.
Die ENISA leitet die Kooperationsgruppe.
Nein. Die ENISA stellt das Sekretariat. Die Gruppe selbst besteht aus Vertretern der Mitgliedstaaten und der Kommission. Artikel 14(3) ist eindeutig zur Zusammensetzung. Die ENISA bereitet vor, analysiert und unterstützt, die Entscheidungen liegen bei den Mitgliedstaaten und der Kommission.
Für eine in den Anwendungsbereich fallende Einrichtung zählen drei praktische Berührungspunkte. Erstens: BSI-Infopakete und ENISA-TIG-Aktualisierungen zitieren häufig Ergebnisse der Kooperationsgruppe. Wenn Sie die BSI-Leitlinien lesen, lesen Sie, worauf sich die Gruppe geeinigt hat. Zweitens: Die koordinierten Lieferkettenrisikobewertungen nach Artikel 22 können ändern, was Ihre Beschaffungsverträge von IKT-Lieferanten verlangen müssen. Drittens: Die zweijährlichen Berichte zur Lage der Cybersicherheit geben Ihrem Leitungsorgan das EU-weite Bild, das es lesen muss.
Nichts davon ist eine Meldepflicht für Sie. Die Gruppe hat kein Portal, in das Sie sich einloggen. Die richtige Haltung lautet: BSI-Infopakete und ENISA-TIG-Aktualisierungen lesen, sobald sie erscheinen, auf Artikel-22-Bewertungen achten, die Sektoren betreffen, von denen Sie abhängen, und diese Ergebnisse über die normale jährliche Überprüfung in Ihr Risikoregister und Ihre Lieferantenklauseln einfließen lassen.
Wenn ein Ergebnis der Kooperationsgruppe eine konkrete NIS-2-Anforderung berührt (eine Artikel-22-Bewertung, eine Orientierung nach Artikel 14(4), ein Peer-Review-Befund nach Artikel 19), verlinken wir das Ergebnis direkt von der Anforderungsseite. Sie sehen den Beleg neben der Pflicht, die er prägt, nicht in einem separaten Newsstream.
Die Plattform verfolgt ENISA-TIG-Versionen und BSI-Infopaket-Aktualisierungen, die Material der Kooperationsgruppe aufnehmen. Erscheint eine neue Version, werden die betroffenen Anforderungen zur erneuten Prüfung markiert. Sie müssen Brüssel nicht selbst beobachten.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 14 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 15 (CSIRTs-Netzwerk) und Artikel 16 (EU-CyCLONe)
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 19 (Peer-Reviews) und Artikel 22 (koordinierte Lieferkettenrisikobewertungen)
- BSI-Infopakete 'NIS-2-Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- ENISA — Rolle und Sekretariatsfunktion nach Verordnung (EU) 2019/881 (Rechtsakt zur Cybersicherheit)