1. Januar 2025 mit Unterstützung der Kommission und der ENISA und gegebenenfalls des CSIRT-Netzes die Methodik und die organisatorischen Aspekte von Peer Reviews, um aus gemeinsamen Erfahrungen zu lernen, das gegenseitige Vertrauen zu stärken und ein hohes gemeinsames Niveau an CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881;sowie die Verbesserung der Fähigkeiten und Strategien der Mitgliedstaaten im Bereich der Cybersicherheit, die zur Umsetzung dieser Richtlinie erforderlich sind. Die Teilnahme an den Peer-Reviews ist freiwillig. Die gegenseitigen Begutachtungen werden von Cybersicherheitsexperten durchgeführt. Die Cybersicherheitsexperten werden von mindestens zwei Mitgliedstaaten benannt, die nicht mit dem zu überprüfenden Mitgliedstaat identisch sind.
Die Peer-Reviews müssen sich auf mindestens einen der folgenden Punkte beziehen:
(a) den Stand der Umsetzung der Cybersicherheitsmaßnahmen RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)-Verwaltungsmaßnahmen und Berichterstattungspflichten gemäß den Artikeln 21 und 23;
(b) das Niveau der Fähigkeiten, einschließlich der verfügbaren finanziellen, technischen und personellen Ressourcen, und die Effizienz der Aufgabenwahrnehmung der zuständigen Behörden;
(c) die operativen Fähigkeiten der CSIRTs;
(d) den Stand der Durchführung der Amtshilfe nach Artikel 37;
(e) den Stand der Umsetzung der Vereinbarungen über den Austausch von Informationen zur Cybersicherheit nach Artikel 29;
(f) spezifische Fragen mit grenz- oder sektorübergreifendem Charakter.
2. Die in Absatz 1 genannte Methodik umfasst objektive, nichtdiskriminierende, faire und transparente Kriterien, auf deren Grundlage die Mitgliedstaaten Cybersicherheitsexperten benennen, die für die Durchführung der gegenseitigen Begutachtungen in Frage kommen. Die Kommission und die ENISA nehmen als Beobachter an den gegenseitigen Begutachtungen teil.
3. (4) Die Mitgliedstaaten können für die Zwecke einer Peer-Review spezifische Fragen gemäß Absatz 1 Buchstabe f festlegen.
4. (4) Vor Beginn einer Überprüfung durch Fachkollegen gemäß Absatz 1 unterrichten die Mitgliedstaaten die teilnehmenden Mitgliedstaaten über den Umfang der Überprüfung, einschließlich der gemäß Absatz 3 ermittelten spezifischen Fragen.
5. Vor Beginn der gegenseitigen Begutachtung können die Mitgliedstaaten eine Selbstbewertung der überprüften Aspekte vornehmen und diese Selbstbewertung den benannten Cybersicherheitsexperten vorlegen. Die Kooperationsgruppe legt mit Unterstützung der Kommission und der ENISA die Methodik für die Selbstbewertung der Mitgliedstaaten fest.
6. Die gegenseitigen Begutachtungen umfassen physische oder virtuelle Besuche vor Ort und einen Informationsaustausch außerhalb des Standorts. Im Einklang mit dem Grundsatz der guten Zusammenarbeit stellt der Mitgliedstaat, der der gegenseitigen Überprüfung unterzogen wird, den benannten Cybersicherheitsexperten die für die Bewertung erforderlichen Informationen zur Verfügung, unbeschadet des Unionsrechts oder des nationalen Rechts zum Schutz vertraulicher oder als Verschlusssache eingestufter Informationen und zur Wahrung wesentlicher staatlicher Funktionen, wie der nationalen Sicherheit.
Die Kooperationsgruppe entwickelt in Zusammenarbeit mit der Kommission und der ENISA geeignete Verhaltenskodizes zur Untermauerung der Arbeitsmethoden der benannten Cybersicherheitsexperten. Alle durch die gegenseitige Begutachtung gewonnenen Informationen werden ausschließlich zu diesem Zweck verwendet. Die an der gegenseitigen Begutachtung teilnehmenden Cybersicherheitsexperten geben keine sensiblen oder vertraulichen Informationen, die sie im Rahmen dieser Begutachtung erhalten haben, an Dritte weiter.
7. Die in einem Mitgliedstaat überprüften Aspekte werden zwei Jahre nach Abschluss der Überprüfung durch Fachkollegen keiner weiteren Überprüfung durch Fachkollegen in diesem Mitgliedstaat unterzogen, es sei denn, der Mitgliedstaat beantragt etwas anderes oder es wird auf Vorschlag der Kooperationsgruppe etwas anderes vereinbart.
8. Die Mitgliedstaaten stellen sicher, dass jedes Risiko eines Interessenkonflikts bei den benannten Cybersicherheitsexperten den anderen Mitgliedstaaten, der Kooperationsgruppe, der Kommission und der ENISA vor Beginn der gegenseitigen Begutachtung mitgeteilt wird. Der Mitgliedstaat, der der gegenseitigen Begutachtung unterliegt, kann gegen die Benennung bestimmter Cybersicherheitsexperten Einspruch erheben, wenn er dem benennenden Mitgliedstaat hinreichend begründete Einwände mitteilt.
9. Die an den gegenseitigen Begutachtungen teilnehmenden Cybersicherheitsexperten erstellen Berichte über die Ergebnisse und Schlussfolgerungen der gegenseitigen Begutachtungen. Die Mitgliedstaaten, die einer gegenseitigen Begutachtung unterzogen werden, können zu den sie betreffenden Berichtsentwürfen Stellung nehmen; diese Stellungnahmen werden den Berichten beigefügt. Die Berichte enthalten Empfehlungen zur Verbesserung der in der Peer Review behandelten Aspekte. Die Berichte werden der Kooperationsgruppe und gegebenenfalls dem CSIRT-Netz vorgelegt. Ein Mitgliedstaat, der einer Peer Review unterzogen wird, kann beschließen, seinen Bericht oder eine geschwärzte Fassung des Berichts öffentlich zugänglich zu machen.