1. Le 17 janvier 2025, le groupe de coopération établit, avec l'aide de la Commission et de l'ENISA et, le cas échéant, du réseau des CSIRT, la méthodologie et les aspects organisationnels des évaluations par les pairs en vue de tirer des enseignements des expériences partagées, de renforcer la confiance mutuelle, d'atteindre un niveau commun élevé de qualité et d'améliorer l'efficacité de l'évaluation par les pairs. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ;La participation à l'examen par les pairs est facultative, car elle permet aux États membres d'améliorer leurs capacités et leurs politiques en matière de cybersécurité. La participation aux évaluations par les pairs est volontaire. Les évaluations par les pairs sont effectuées par des experts en cybersécurité. Les experts en cybersécurité sont désignés par au moins deux États membres, différents de l'État membre faisant l'objet de l'examen.
Les évaluations par les pairs couvrent au moins l'un des éléments suivants :
(a) le niveau de mise en œuvre de la cybersécurité risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)-Les mesures de gestion et les obligations de déclaration prévues aux articles 21 et 23 ;
(b) le niveau des capacités, y compris les ressources financières, techniques et humaines disponibles, et l'efficacité de l'exercice des tâches des autorités compétentes ;
(c) les capacités opérationnelles des CSIRT ;
(d) le niveau de mise en œuvre de l'assistance mutuelle visée à l'article 37 ;
(e) le niveau de mise en œuvre des accords de partage d'informations en matière de cybersécurité visés à l'article 29 ;
(f) les questions spécifiques de nature transfrontalière ou intersectorielle.
2. La méthodologie visée au paragraphe 1 comprend des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent les experts en cybersécurité habilités à effectuer les évaluations par les pairs. La Commission et l'ENISA participent aux évaluations par les pairs en tant qu'observateurs.
3. Les États membres peuvent identifier des questions spécifiques visées au paragraphe 1, point f), aux fins d'un examen par les pairs.
4. Avant d'entamer l'examen par les pairs visé au paragraphe 1, les États membres notifient aux États membres participants la portée de cet examen, y compris les questions spécifiques recensées conformément au paragraphe 3.
5. Avant le début de l'examen par les pairs, les États membres peuvent procéder à une auto-évaluation des aspects examinés et fournir cette auto-évaluation aux experts en cybersécurité désignés. Le groupe de coopération définit, avec l'aide de la Commission et de l'ENISA, la méthodologie de l'auto-évaluation des États membres.
6. Les examens par les pairs comportent des visites physiques ou virtuelles sur place et des échanges d'informations hors site. Conformément au principe de bonne coopération, l'État membre soumis à l'examen par les pairs fournit aux experts en cybersécurité désignés les informations nécessaires à l'évaluation, sans préjudice du droit de l'Union ou du droit national concernant la protection des informations confidentielles ou classifiées et la sauvegarde des fonctions essentielles de l'État, telles que la sécurité nationale.
Le groupe de coopération, en coopération avec la Commission et l'ENISA, élabore des codes de conduite appropriés pour étayer les méthodes de travail des experts en cybersécurité désignés. Toute information obtenue dans le cadre de l'examen par les pairs est utilisée uniquement à cette fin. Les experts en cybersécurité participant à l'examen par les pairs ne divulguent à des tiers aucune information sensible ou confidentielle obtenue dans le cadre de cet examen.
7. Une fois soumis à un examen par les pairs, les mêmes aspects examinés dans un État membre ne font pas l'objet d'un nouvel examen par les pairs dans cet État membre pendant les deux années qui suivent la conclusion de l'examen par les pairs, sauf demande contraire de l'État membre ou accord après une proposition du groupe de coopération.
8. Les États membres veillent à ce que tout risque de conflit d'intérêts concernant les experts en cybersécurité désignés soit révélé aux autres États membres, au groupe de coopération, à la Commission et à l'ENISA avant le début de l'examen par les pairs. L'État membre soumis à l'examen par les pairs peut s'opposer à la désignation d'experts en cybersécurité particuliers pour des motifs dûment justifiés communiqués à l'État membre qui a procédé à la désignation.
9. Les experts en cybersécurité participant aux examens par les pairs rédigent des rapports sur les constatations et les conclusions des examens par les pairs. Les États membres soumis à un examen par les pairs peuvent formuler des observations sur les projets de rapports les concernant et ces observations sont jointes aux rapports. Les rapports contiennent des recommandations visant à améliorer les aspects couverts par l'examen par les pairs. Les rapports sont soumis au groupe de coopération et au réseau des CSIRT, le cas échéant. Un État membre soumis à l'examen par les pairs peut décider de rendre son rapport, ou une version expurgée de celui-ci, accessible au public.