1. De samenwerkingsgroep stelt op 17 januari 2025, met de hulp van de Commissie en het ENISA en, indien van toepassing, het CSIRT-netwerk, de methodologie en de organisatorische aspecten van collegiale toetsingen vast om te leren van gedeelde ervaringen, het wederzijds vertrouwen te versterken, een hoog gemeenschappelijk niveau van intercollegiale toetsing te bereiken en een hoog niveau van intercollegiale toetsing te waarborgen. cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881;en het verbeteren van de cyberbeveiligingscapaciteiten en het cyberbeveiligingsbeleid van de lidstaten die nodig zijn om deze richtlijn uit te voeren. Deelname aan collegiale toetsingen is vrijwillig. De collegiale toetsingen worden uitgevoerd door deskundigen op het gebied van cyberbeveiliging. De deskundigen op het gebied van cyberbeveiliging worden door ten minste twee andere lidstaten dan de beoordeelde lidstaat aangewezen.
De collegiale toetsingen hebben betrekking op ten minste een van de volgende onderwerpen:
(a) de mate van tenuitvoerlegging van de cyberbeveiliging risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)-beheersmaatregelen en rapportageverplichtingen vastgelegd in de artikelen 21 en 23;
(b) het niveau van de capaciteiten, met inbegrip van de beschikbare financiële, technische en personele middelen, en de doeltreffendheid van de uitoefening van de taken van de bevoegde autoriteiten;
(c) de operationele capaciteiten van de CSIRT's;
(d) de mate van uitvoering van de in artikel 37 bedoelde wederzijdse bijstand;
(e) het niveau van uitvoering van de in artikel 29 bedoelde regelingen voor het delen van informatie over cyberbeveiliging;
(f) specifieke kwesties van grensoverschrijdende of sectoroverschrijdende aard.
2. De in lid 1 bedoelde methodologie omvat objectieve, niet-discriminerende, eerlijke en transparante criteria op basis waarvan de lidstaten deskundigen op het gebied van cyberbeveiliging aanwijzen die in aanmerking komen om de collegiale toetsingen uit te voeren. De Commissie en ENISA nemen als waarnemers deel aan de collegiale toetsingen.
3. De lidstaten kunnen met het oog op een intercollegiale toetsing specifieke kwesties als bedoeld in lid 1, onder f), vaststellen.
4. Alvorens een in lid 1 bedoelde intercollegiale toetsing te starten, stellen de lidstaten de deelnemende lidstaten in kennis van de reikwijdte ervan, met inbegrip van de overeenkomstig lid 3 vastgestelde specifieke kwesties.
5. Vóór het begin van de collegiale toetsing kunnen de lidstaten een zelfbeoordeling uitvoeren van de beoordeelde aspecten en deze zelfbeoordeling voorleggen aan de aangewezen deskundigen op het gebied van cyberbeveiliging. De samenwerkingsgroep stelt, bijgestaan door de Commissie en het ENISA, de methodologie voor de zelfbeoordeling door de lidstaten vast.
6. Collegiale toetsingen omvatten fysieke of virtuele bezoeken ter plaatse en externe uitwisselingen van informatie. Overeenkomstig het beginsel van goede samenwerking verstrekt de lidstaat waarop de collegiale toetsing betrekking heeft de aangewezen deskundigen op het gebied van cyberbeveiliging de informatie die nodig is voor de beoordeling, onverminderd het recht van de Unie of het nationale recht inzake de bescherming van vertrouwelijke of gerubriceerde informatie en de vrijwaring van essentiële staatsfuncties, zoals de nationale veiligheid.
De samenwerkingsgroep ontwikkelt in samenwerking met de Commissie en ENISA passende gedragscodes voor de werkmethoden van de aangewezen deskundigen op het gebied van cyberbeveiliging. Alle via de collegiale toetsing verkregen informatie wordt uitsluitend voor dat doel gebruikt. De aan de collegiale toetsing deelnemende deskundigen op het gebied van cyberbeveiliging maken geen gevoelige of vertrouwelijke informatie die zij in de loop van die collegiale toetsing hebben verkregen, bekend aan derden.
7. Zodra dezelfde aspecten in een lidstaat aan een collegiale toetsing zijn onderworpen, worden zij gedurende twee jaar na afsluiting van de collegiale toetsing in die lidstaat niet opnieuw aan een collegiale toetsing onderworpen, tenzij de lidstaat anders verzoekt of dit op voorstel van de samenwerkingsgroep is overeengekomen.
8. De lidstaten zorgen ervoor dat elk risico op belangenconflicten met betrekking tot de aangewezen deskundigen op het gebied van cyberbeveiliging vóór de aanvang van de collegiale toetsing wordt meegedeeld aan de andere lidstaten, de samenwerkingsgroep, de Commissie en ENISA. De lidstaat die aan de collegiale toetsing wordt onderworpen, kan bezwaar aantekenen tegen de aanwijzing van bepaalde cyberbeveiligingsdeskundigen op naar behoren gemotiveerde gronden die aan de aanwijzende lidstaat worden meegedeeld.
9. Cyberbeveiligingsdeskundigen die deelnemen aan collegiale toetsingen stellen verslagen op over de bevindingen en conclusies van de collegiale toetsingen. De lidstaten die aan een collegiale toetsing worden onderworpen, kunnen opmerkingen maken over de ontwerpverslagen die op hen betrekking hebben en deze opmerkingen worden bij de verslagen gevoegd. De verslagen bevatten aanbevelingen om verbeteringen aan te brengen in de aspecten waarop de intercollegiale toetsing betrekking had. De verslagen worden in voorkomend geval ingediend bij de samenwerkingsgroep en het CSIRT-netwerk. Een lidstaat die aan de collegiale toetsing wordt onderworpen, kan besluiten zijn verslag of een geredigeerde versie daarvan openbaar te maken.