Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 13 Coopération au niveau national
Summary What does Article 13 of the NIS 2 directive say?
This article is about internal coordination and cross-regulatory cooperation.
It establishes that the various national bodies responsible for implementing the Directive — competent authorities, single points of contact, and CSIRTs — must work together and keep each other informed.
Beyond internal coordination, it reaches outward, requiring Member States to foster cooperation between these bodies and a broad range of other national and EU-level authorities, including law enforcement, data protection authorities, and regulators under several other EU frameworks such as DORA and the Critical Entities Resilience Directive.
This cross-regulatory linkage reflects the Directive's recognition that cybersecurity incidents do not sit neatly within a single regulatory silo.
Important points:
- Member States are required to ensure their national cybersecurity bodies — competent authorities, single points of contact, and CSIRTs — cooperate with each other and share notifications of incidents, cyber threats, and near misses.
- Member States must ensure cooperation between their NIS2 competent authorities and those under a range of other EU frameworks, including Directive (EU) 2022/2557, Regulation (EU) 2022/2554, Regulation (EU) No 910/2014, and Directive (EU) 2018/1972, with regular information exchange on incidents and cyber threats.
- Member States must simplify reporting through technical means for the notifications required under Articles 23 and 30.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Lorsqu’ils sont distincts, les autorités compétentes, le point de contact unique et les CSIRT d’un même État membre coopèrent les uns avec les autres afin de respecter les obligations énoncées dans la présente directive.
Les États membres veillent à ce que leurs CSIRT ou, le cas échéant, leurs autorités compétentes reçoivent les notifications relatives aux incidents importants conformément à l’article 23, et aux incidents, aux cybermenaces et aux incidents évités conformément à l’article 30.
Les États membres veillent à ce que leurs CSIRT ou, le cas échéant, leurs autorités compétentes informent leurs points de contact uniques des notifications d’incidents, de cybermenaces et d’incidents évités soumises en application de la présente directive.
Afin de veiller à ce que les tâches et obligations des autorités compétentes, des points de contact uniques et des CSIRT soient exécutées efficacement, les États membres assurent, dans la mesure du possible, une coopération appropriée entre ces organes et les autorités répressives, les autorités chargées de la protection des données, les autorités nationales en vertu des règlements (CE) no 300/2008 et (UE) 2018/1139, les organes de contrôle au titre du règlement (UE) no 910/2014, les autorités compétentes en vertu du règlement (UE) 2022/2554, les autorités de régulation nationales en vertu de la directive (UE) 2018/1972, les autorités compétentes en vertu de la directive (UE) 2022/2557, ainsi que les autorités compétentes en vertu d’autres actes juridiques sectoriels de l’Union, dans cet État membre.
Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive et leurs autorités compétentes en vertu de la directive (UE) 2022/2557 coopèrent et échangent régulièrement des informations sur le recensement des entités critiques, les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non cyber qui touchent les entités essentielles recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, et sur les mesures prises pour faire face à ces risques, menaces et incidents. Les États membres veillent également à ce que leurs autorités compétentes en vertu de la présente directive et leurs autorités compétentes en vertu du règlement (UE) no 910/2014, du règlement (UE) 2022/2554 et de la directive (UE) 2018/1972 échangent régulièrement des informations pertinentes, y compris en ce qui concerne les incidents et les cybermenaces concernés.
Les États membres simplifient la communication d’informations par des moyens techniques pour les notifications visées aux articles 23 et 30.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
risque
(En. risk)
Definition
incident
Definition
cybermenace
(En. cyber threat)