1. O mais tardar a 17 de janeiro de 2025, o grupo de cooperação estabelece, com a assistência da Comissão e da ENISA e, quando pertinente, da rede de CSIRT, a metodologia e os aspetos organizacionais das avaliações pelos pares, com vista a retirar ensinamentos das experiências partilhadas, reforçar a confiança mútua, alcançar um elevado nível comum de cibersegurança e reforçar as capacidades e políticas de cibersegurança dos Estados-Membros necessárias à aplicação da presente diretiva. A participação nas avaliações pelos pares é voluntária. As avaliações pelos pares devem ser realizadas por peritos em cibersegurança. Os peritos em cibersegurança são designados por, pelo menos, dois Estados-Membros, diferentes do Estado-Membro avaliado.
As avaliações pelos pares devem incidir, no mínimo, num dos seguintes aspetos:
|
a) |
O nível de aplicação das medidas de gestão dos riscos de cibersegurança e das obrigações de notificação previstos nos artigos 21.o e 23.o; |
|
b) |
O nível de capacidades, incluindo os recursos financeiros, técnicos e humanos disponíveis, e a eficácia das autoridades competentes no desempenho das suas funções; |
|
c) |
As capacidades operacionais das CSIRT; |
|
d) |
O nível de aplicação da assistência mútua a que se refere o artigo 37.o; |
|
e) |
O nível de aplicação dos acordos de partilha de informações em matéria de cibersegurança a que se refere o artigo 29.o; |
|
f) |
Questões específicas de natureza transfronteiriça ou intersetorial. |
2. A metodologia referida no n.o 1 deve incluir critérios objetivos, não discriminatórios, equitativos e transparentes com base nos quais os Estados-Membros designam os peritos em cibersegurança elegíveis para realizarem as avaliações pelos pares. A Comissão e a ENISA participam nas avaliações pelos pares na qualidade de observadores.
3. Os Estados-Membros podem identificar questões específicas referidas no n.o 1, alínea f), para efeitos de avaliação pelos pares.
4. Antes de iniciar uma avaliação pelos pares como referido no n.o 1, os Estados Membros notificam os Estados-Membros participantes do âmbito da referida avaliação, incluindo as questões específicas identificadas nos termos do n.o 3.
5. Antes do início da avaliação pelos pares, os Estados-Membros podem efetuar uma autoavaliação dos aspetos analisados e facultar essa autoavaliação aos peritos em cibersegurança designados. O grupo de cooperação estabelece, com a assistência da Comissão e da ENISA, a metodologia para a autoavaliação pelos Estados-Membros.
6. As avaliações pelos pares devem incluir visitas virtuais ou físicas aos locais e intercâmbios de informação fora do local. Tendo em conta o princípio da boa cooperação, os Estados-Membros que sejam objeto da avaliação pelos pares devem facultar aos peritos em cibersegurança designados as informações que sejam necessárias para a avaliação, sem prejuízo do direito da União ou nacional relacionado com a proteção de informações confidenciais ou classificadas e com a salvaguarda de funções essenciais do Estado, tais como a segurança nacional. O grupo de cooperação, em cooperação com a Comissão e a ENISA, deve elaborar códigos de conduta adequados nos quais devem assentar os métodos de trabalho dos peritos em cibersegurança designados. As informações obtidas durante a avaliação pelos pares devem ser utilizadas exclusivamente para esse fim. Os peritos em cibersegurança que participam na avaliação pelos pares não podem divulgar a terceiros quaisquer informações sensíveis ou confidenciais obtidas no decurso da referida avaliação.
7. Os aspetos que tenham sido objeto de uma avaliação pelos pares num Estado-Membro não serão objeto de uma nova avaliação pelos pares nesse Estado-Membro nos dois anos seguintes à conclusão da avaliação pelos pares, salvo em caso de pedido em contrário do Estado-Membro ou de decisão nesse sentido na sequência de uma proposta do grupo de cooperação.
8. Os Estados-Membros devem assegurar que qualquer risco de conflito de interesses respeitante aos peritos em cibersegurança designados é revelado, antes do início da avaliação pelos pares, aos outros Estados-Membros, ao grupo de cooperação, à Comissão e à ENISA. O Estado-Membro que é objeto de uma avaliação pelos pares pode opor-se à designação de determinados peritos em cibersegurança por motivos devidamente fundamentados comunicados ao Estado-Membro que os designa.
9. Os peritos em cibersegurança que participam nas avaliações pelos pares devem elaborar relatórios sobre as constatações e conclusões dessas avaliações pelos pares. Os Estados-Membros que são objeto de avaliação pelos pares podem apresentar observações sobre os projetos de relatório que lhes digam respeito, devendo essas observações ser anexadas aos relatórios. Os relatórios devem incluir recomendações que permitam melhorar os aspetos abrangidos pela avaliação pelos pares. Os relatórios devem ser apresentados ao grupo de cooperação e à rede de CSIRT, quando pertinente. Um Estado-Membro objeto de avaliação pelos pares pode decidir tornar público o seu relatório ou uma versão expurgada do mesmo.
