Artículo 19, Revisiones inter pares

1. El Grupo de Cooperación establecerá, el 17 de enero de 2025, con la asistencia de la Comisión y de la ENISA y, en su caso, de la red de CSIRT, la metodología y los aspectos organizativos de las revisiones inter pares con vistas a aprender de las experiencias compartidas, reforzar la confianza mutua, alcanzar un alto nivel común de ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881;así como mejorar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para aplicar esta Directiva. La participación en las evaluaciones inter pares es voluntaria. Las evaluaciones inter pares serán llevadas a cabo por expertos en ciberseguridad. Los expertos en ciberseguridad serán designados por al menos dos Estados miembros, distintos del Estado miembro objeto de la revisión.

Las revisiones inter pares abarcarán al menos uno de los siguientes aspectos:

(a) el nivel de aplicación de la ciberseguridad riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)-medidas de gestión y obligaciones de información establecidas en los artículos 21 y 23;

(b) el nivel de capacidades, incluidos los recursos financieros, técnicos y humanos disponibles, y la eficacia del ejercicio de las funciones de las autoridades competentes;

(c) las capacidades operativas de los CSIRT;

(d) el nivel de aplicación de la asistencia mutua a que se refiere el artículo 37;

(e) el nivel de aplicación de los acuerdos de intercambio de información sobre ciberseguridad a que se refiere el artículo 29;

(f) cuestiones específicas de carácter transfronterizo o intersectorial.

2. La metodología a que se refiere el apartado 1 incluirá criterios objetivos, no discriminatorios, equitativos y transparentes con arreglo a los cuales los Estados miembros designarán a los expertos en ciberseguridad elegibles para llevar a cabo las evaluaciones inter pares. La Comisión y la ENISA participarán como observadores en las evaluaciones inter pares.

3. Los Estados miembros podrán identificar las cuestiones específicas a que se refiere el apartado 1, letra f), a efectos de una revisión inter pares.

4. Antes de iniciar la revisión inter pares a que se refiere el apartado 1, los Estados miembros notificarán a los Estados miembros participantes su ámbito de aplicación, incluidas las cuestiones específicas identificadas de conformidad con el apartado 3.

5. Antes del inicio de la revisión inter pares, los Estados miembros podrán llevar a cabo una autoevaluación de los aspectos revisados y facilitar dicha autoevaluación a los expertos en ciberseguridad designados. El Grupo de Cooperación, con la asistencia de la Comisión y de la ENISA, establecerá la metodología para la autoevaluación de los Estados miembros.

6. Las evaluaciones inter pares implicarán visitas físicas o virtuales in situ e intercambios de información ex situ. En consonancia con el principio de buena cooperación, el Estado miembro objeto de la evaluación inter pares facilitará a los expertos en ciberseguridad designados la información necesaria para la evaluación, sin perjuicio del Derecho de la Unión o nacional relativo a la protección de la información confidencial o clasificada y a la salvaguardia de las funciones esenciales del Estado, como la seguridad nacional.

El Grupo de Cooperación, en cooperación con la Comisión y la ENISA, elaborará códigos de conducta adecuados que sustenten los métodos de trabajo de los expertos en ciberseguridad designados. Toda información obtenida a través de la revisión inter pares se utilizará exclusivamente a tal efecto. Los expertos en ciberseguridad que participen en la revisión inter pares no revelarán a terceros ninguna información sensible o confidencial obtenida en el curso de dicha revisión inter pares.

7. Una vez sometidos a una revisión inter pares, los mismos aspectos revisados en un Estado miembro no serán objeto de otra revisión inter pares en dicho Estado miembro durante los dos años siguientes a la conclusión de la revisión inter pares, salvo que el Estado miembro solicite lo contrario o se acuerde lo contrario a propuesta del Grupo de cooperación.

8. Los Estados miembros velarán por que cualquier riesgo de conflicto de intereses en relación con los expertos en ciberseguridad designados sea revelado a los demás Estados miembros, al Grupo de Cooperación, a la Comisión y a la ENISA, antes del inicio de la revisión inter pares. El Estado miembro sujeto a la revisión inter pares podrá oponerse a la designación de determinados expertos en ciberseguridad por motivos debidamente justificados y comunicados al Estado miembro designante.

9. Los expertos en ciberseguridad que participen en las revisiones inter pares redactarán informes sobre los resultados y conclusiones de las revisiones inter pares. Los Estados miembros sometidos a una revisión inter pares podrán formular observaciones sobre los proyectos de informe que les conciernan y dichas observaciones se adjuntarán a los informes. Los informes incluirán recomendaciones que permitan mejorar los aspectos cubiertos por la revisión inter pares. Los informes se presentarán al Grupo de Cooperación y a la red de CSIRT cuando proceda. Un Estado miembro sujeto a la revisión inter pares podrá decidir hacer público su informe o una versión redactada del mismo.