Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 14 Groupe de coopération
Summary What does Article 14 of the NIS 2 directive say?
This is a notably detailed article that establishes the Cooperation Group, a key strategic body designed to foster trust and information sharing among Member States on cybersecurity matters.
Composed of Member State representatives, the Commission, and ENISA, the Group serves as the central forum for aligning national approaches to implementing the Directive.
Its mandate is broad, covering everything from guidance on transposition and vulnerability disclosure policies, to coordinated supply chain risk assessments, peer review methodology, and regular engagement with private stakeholders.
The article also connects the Cooperation Group directly to other bodies established under the Directive, namely the CSIRTs network and EU-CyCLONe, to which it provides strategic guidance, as well as to the Critical Entities Resilience Group under Directive (EU) 2022/2557, with which it must meet at least annually.
Important points:
- The Cooperation Group is composed of Member State representatives, the Commission, and ENISA, with the Commission providing the secretariat and the ability to adopt implementing acts on the Group's procedural arrangements.
- The Cooperation Group operates on biennial work programmes, established by 1 February 2024 and every two years thereafter.
- Member States are required to ensure effective, efficient and secure cooperation of their representatives within the Cooperation Group.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Un groupe de coopération est institué afin de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres et de renforcer la confiance.
Le groupe de coopération exécute ses tâches en s’appuyant sur les programmes de travail bisannuels visés au paragraphe 7.
Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le Service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités européennes de surveillance (AES) et les autorités compétentes en vertu du règlement (UE) 2022/2554 peuvent participer aux activités du groupe de coopération conformément à l’article 47, paragraphe 1, dudit règlement.
Si besoin est, le groupe de coopération peut inviter le Parlement européen et des représentants des acteurs concernés à participer à ses travaux.
Le secrétariat est assuré par la Commission.
Le groupe de coopération est chargé des tâches suivantes:
la fourniture d’orientations aux autorités compétentes en rapport avec la transposition et la mise en œuvre de la présente directive;
la fourniture d’orientations aux autorités compétentes en ce qui concerne l’élaboration et la mise en œuvre des politiques de divulgation coordonnée des vulnérabilités visées à l’article 7, paragraphe 2, point c);
l’échange des meilleures pratiques et d’informations relatives à la mise en œuvre de la présente directive, notamment en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les incidents évités, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités, les normes et les spécifications techniques ainsi que l’identification des entités essentielles et importantes en vertu de l’article 2, paragraphe 2, points b) à e);
l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité et la cohérence globale des exigences sectorielles en matière de cybersécurité;
l’échange de conseils et la coopération avec la Commission sur les projets d’actes délégués ou d’actes d’exécution adoptés en vertu de la présente directive;
l’échange de bonnes pratiques et d’informations avec les institutions, organes et organismes compétents de l’Union;
l’échange de vues sur la mise en œuvre d’actes juridiques sectoriels de l’Union contenant des dispositions en matière de cybersécurité;
le cas échéant, la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 19, paragraphe 9, et l’élaboration de conclusions et de recommandations;
la réalisation d’évaluations coordonnées des risques pour la sécurité des chaînes d’approvisionnement critiques, conformément à l’article 22, paragraphe 1;
la discussion portant sur les cas d’assistance mutuelle, y compris les expériences et les résultats des activités de contrôle transfrontières visées à l’article 37;
à la demande d’un ou de plusieurs États membres concernés, la discussion portant sur les demandes spécifiques d’assistance mutuelle visées à l’article 37;
l’indication d’une orientation stratégique au réseau des CSIRT et au réseau UE-CyCLONe sur des questions spécifiques émergentes;
l’échange de vues sur la politique relative aux mesures prises à la suite d’incidents de cybersécurité majeurs et de crises, sur la base des enseignements tirés du réseau des CSIRT et d’EU-CyCLONe;
la contribution aux capacités en matière de cybersécurité dans l’ensemble de l’Union via la facilitation de l’échange de fonctionnaires nationaux grâce à un programme de renforcement des capacités impliquant le personnel des autorités compétentes ou des CSIRT;
l’organisation régulière de réunions conjointes avec les parties intéressées privées, de toute l’Union, en vue de discuter des activités menées par le groupe de coopération et de recueillir des informations sur les nouveaux défis politiques;
la discussion portant sur les travaux entrepris en relation avec les exercices de cybersécurité, y compris les travaux effectués par l’ENISA;
la mise au point de la méthodologie et des aspects organisationnels des évaluations par les pairs visées à l’article 19, paragraphe 1, ainsi que la définition de la méthode d’autoévaluation pour les États membres conformément à l’article 19, paragraphe 4, avec l’aide de la Commission et de l’ENISA, et l’élaboration, en coopération avec la Commission et l’ENISA, des codes de conduite sous-tendant les méthodes de travail des experts en cybersécurité désignés conformément à l’article 19, paragraphe 6;
l’élaboration, aux fins de la révision visée à l’article 40, de rapports sur l’expérience acquise au niveau stratégique et à partir des évaluations par les pairs;
l’examen et l’évaluation, de manière régulière, de l’état de la situation en matière de cybermenaces ou d’incidents, comme les rançongiciels.
Le groupe de coopération soumet les rapports visés au premier alinéa, point r), à la Commission, au Parlement européen et au Conseil.
Les États membres font en sorte que leurs représentants au sein du groupe de coopération puissent coopérer de manière effective, efficace et sécurisée.
Le groupe de coopération peut demander au réseau des CSIRT d’élaborer un rapport technique sur des sujets choisis.
Au plus tard le 1, puis tous les deux ans, le groupe de coopération établit un programme de travail concernant les actions à entreprendre pour mettre en œuvre ses objectifs et ses tâches.
La Commission peut adopter des actes d’exécution fixant les modalités de procédure nécessaires au fonctionnement du groupe de coopération.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 39, paragraphe 2.
La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d’actes d’exécution visés au premier alinéa du présent paragraphe conformément au paragraphe 4, point e).
Le groupe de coopération se réunit régulièrement et en tout état de cause au moins une fois par an avec le groupe sur la résilience des entités critiques institué par la directive (UE) 2022/2557 afin de promouvoir et de faciliter la coopération stratégique et l’échange d’informations.
Relevant recitals
Considérant 64 The Cooperation Group
Le groupe de coopération devrait soutenir et faciliter la coopération stratégique ainsi que l’échange d’informations, et renforcer la confiance entre les États membres. Le groupe de coopération devrait élaborer un programme de travail tous les deux ans. Le programme de travail devrait inclure les actions que le groupe de coopération doit réaliser afin de mettre en œuvre ses objectifs et ses tâches. Le calendrier d’élaboration du premier programme de travail adopté au titre de la présente directive devrait être aligné sur le calendrier du dernier programme de travail adopté au titre de la directive (UE) 2016/1148 afin d’éviter de perturber les travaux du groupe de coopération.
Considérant 65 Guidance from the Cooperation Group
Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques, notamment en vue de faciliter l’alignement de la transposition de la présente directive entre les États membres, auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération pourrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique à travers l’Union. Cela est tout particulièrement pertinent pour les secteurs qui ont un caractère international ou transfrontière.
Considérant 66 Ways of working for the Cooperation Group
Le groupe de coopération devrait demeurer un forum souple et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il pourrait organiser régulièrement des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe de coopération et de recueillir des données et des informations sur les nouveaux défis politiques. En outre, le groupe de coopération devrait procéder à une évaluation régulière de l’état d’avancement des cybermenaces ou incidents, tels que les rançongiciels. Afin d’améliorer la coopération au niveau de l’Union, le groupe de coopération devrait envisager d’inviter les institutions, organes et organismes de l’Union pertinents participant à la politique de cybersécurité, comme le Parlement européen, Europol, le Comité européen de la protection des données, l’Agence de l’Union européenne pour la sécurité aérienne, établie par le règlement (UE) 2018/1139, et l’Agence de l’Union européenne pour le programme spatial, établie par le règlement (UE) 2021/696 du Parlement européen et du Conseil(14), à participer à ses travaux.
Considérant 134 Cooperation and assistance via the Cooperation Group
Afin de garantir le respect par les entités des obligations qui leur incombent en vertu de la présente directive, les États membres devraient coopérer et se prêter mutuellement assistance en ce qui concerne les mesures de supervision et d’exécution, en particulier lorsqu’une entité fournit des services dans plus d’un État membre ou lorsque son réseau et ses systèmes d’information sont situés dans un État membre autre que celui où elle fournit des services. Lorsqu’une autorité compétente fournit une assistance qui lui est demandée, elle devrait prendre des mesures de supervision ou d’exécution conformément au droit national. Afin d’assurer le bon fonctionnement de l’assistance mutuelle au titre de la présente directive, les autorités compétentes devraient faire appel au groupe de coopération pour examiner les divers cas et les demandes d’assistance particulières.
Considérant 139 Implementing acts on the Cooperation Group, measures and reporting
Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques en matière de cybersécurité, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents, de cybermenaces et d’incidents évités et des communications relatives aux cybermenaces importantes, ainsi que les cas dans lesquels un incident doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil(23).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
incident de cybersécurité majeur
(En. large-scale cybersecurity incident)
Definition
norme
(En. standard)
Definition
entité fournissant des services d’enregistrement de noms de domaine
(En. entity providing domain name registration services)
Definition
spécification technique
(En. technical specification)
Definition
risque
(En. risk)
Definition
fournisseur de services gérés
(En. managed service provider)
Definition
moteur de recherche en ligne
(En. online search engine)
Definition
fournisseur de services de sécurité gérés
(En. managed security service provider)
Definition
plateforme de services de réseaux sociaux
(En. social networking services platform)
Definition
cybersécurité
(En. cybersecurity)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
service numérique
(En. digital service)
Definition
fournisseur de services DNS
(En. DNS service provider)
- des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou
- des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;
Definition
service de centre de données
(En. data centre service)
Definition
incident
Definition
réseau de diffusion de contenu
(En. content delivery network)
Definition
entité
(En. entity)
Definition
cybermenace
(En. cyber threat)
Definition
représentant
(En. representative)
Definition
place de marché en ligne
(En. online marketplace)
Definition
registre de noms de domaine de premier niveau
(En. top-level domain name registry)
Footnote 23
Footnote 14