1. Il 17 gennaio 2025 il gruppo di cooperazione stabilisce, con l'assistenza della Commissione e dell'ENISA e, se del caso, della rete dei CSIRT, la metodologia e gli aspetti organizzativi delle revisioni paritetiche al fine di apprendere dalle esperienze condivise, rafforzare la fiducia reciproca, raggiungere un elevato livello comune di sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881;nonché di rafforzare le capacità e le politiche di sicurezza informatica degli Stati membri necessarie per attuare la direttiva. La partecipazione alle revisioni paritetiche è volontaria. Le valutazioni inter pares sono effettuate da esperti di cibersicurezza. Gli esperti di cibersicurezza sono designati da almeno due Stati membri, diversi dallo Stato membro sottoposto a revisione.
Le revisioni paritetiche devono riguardare almeno uno dei seguenti aspetti:
(a) il livello di attuazione della cybersecurity rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)-Le misure di gestione e gli obblighi di comunicazione di cui agli articoli 21 e 23;
(b) il livello di capacità, comprese le risorse finanziarie, tecniche e umane disponibili, e l'efficacia dell'esercizio dei compiti delle autorità competenti;
(c) le capacità operative dei CSIRT;
(d) il livello di attuazione dell'assistenza reciproca di cui all'articolo 37;
(e) il livello di attuazione degli accordi di condivisione delle informazioni sulla cibersicurezza di cui all'articolo 29;
(f) questioni specifiche di natura transfrontaliera o intersettoriale.
2. La metodologia di cui al paragrafo 1 comprende criteri oggettivi, non discriminatori, equi e trasparenti in base ai quali gli Stati membri designano gli esperti in materia di cibersicurezza idonei a effettuare le verifiche inter pares. La Commissione e l'ENISA partecipano alle verifiche inter pares in qualità di osservatori.
3. Gli Stati membri possono individuare questioni specifiche di cui al paragrafo 1, lettera f), ai fini di una revisione paritaria.
4. Prima di iniziare una revisione paritetica di cui al paragrafo 1, gli Stati membri notificano agli Stati membri partecipanti il suo ambito di applicazione, comprese le questioni specifiche individuate ai sensi del paragrafo 3.
5. Prima dell'inizio della valutazione inter pares, gli Stati membri possono effettuare un'autovalutazione degli aspetti esaminati e fornire tale autovalutazione agli esperti di cibersicurezza designati. Il gruppo di cooperazione, con l'assistenza della Commissione e dell'ENISA, stabilisce la metodologia per l'autovalutazione degli Stati membri.
6. Le peer review comportano visite fisiche o virtuali in loco e scambi di informazioni fuori sede. In linea con il principio di buona cooperazione, lo Stato membro soggetto alla revisione paritetica fornisce agli esperti di cibersicurezza designati le informazioni necessarie per la valutazione, fatto salvo il diritto dell'Unione o nazionale relativo alla protezione delle informazioni riservate o classificate e alla salvaguardia di funzioni statali essenziali, come la sicurezza nazionale.
Il gruppo di cooperazione, in collaborazione con la Commissione e l'ENISA, elabora codici di condotta adeguati per i metodi di lavoro degli esperti di cibersicurezza designati. Tutte le informazioni ottenute attraverso la valutazione inter pares sono utilizzate esclusivamente a tale scopo. Gli esperti di cibersicurezza che partecipano alla valutazione inter pares non divulgano a terzi le informazioni sensibili o riservate ottenute nel corso della valutazione inter pares.
7. Una volta sottoposti a revisione paritaria, gli stessi aspetti esaminati in uno Stato membro non saranno oggetto di un'ulteriore revisione paritaria in quello Stato membro per i due anni successivi alla conclusione della revisione paritaria, a meno che lo Stato membro non chieda diversamente o si decida in seguito a una proposta del gruppo di cooperazione.
8. Gli Stati membri assicurano che qualsiasi rischio di conflitto di interessi relativo agli esperti in materia di cibersicurezza designati sia rivelato agli altri Stati membri, al gruppo di cooperazione, alla Commissione e all'ENISA prima dell'inizio della revisione paritetica. Lo Stato membro soggetto alla revisione inter pares può opporsi alla designazione di determinati esperti in materia di cibersicurezza per motivi debitamente motivati comunicati allo Stato membro designante.
9. Gli esperti di cibersicurezza che partecipano alle revisioni paritetiche redigono relazioni sui risultati e sulle conclusioni delle revisioni paritetiche. Gli Stati membri oggetto di una revisione paritetica possono fornire osservazioni sulle bozze di relazione che li riguardano e tali osservazioni sono allegate alle relazioni. Le relazioni contengono raccomandazioni per consentire il miglioramento degli aspetti oggetto della revisione paritetica. Le relazioni sono presentate al gruppo di cooperazione e alla rete dei CSIRT, se del caso. Uno Stato membro soggetto alla peer review può decidere di rendere pubblico il proprio rapporto, o una sua versione ridotta.