Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 19 Évaluations par les pairs

    1. Le groupe de coopération établit, au plus tard le 17 janvier 2025, avec l’aide de la Commission et de l’ENISA et, s’il y a lieu, du réseau des CSIRT, la méthodologie et les aspects organisationnels des évaluations par les pairs en vue de tirer des enseignements des expériences partagées, de renforcer la confiance mutuelle, de parvenir à un niveau élevé commun de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que de renforcer les capacités et les politiques des États membres en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui sont nécessaires à la mise en œuvre de la présente directive. La participation aux évaluations par les pairs s’effectue à titre volontaire. Les évaluations par les pairs sont effectuées par des experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Ces experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sont désignés par au moins deux États membres différents de l’État membre faisant l’objet de l’évaluation.

    2. Les évaluations par les pairs portent au moins sur l’un des points suivants:

      1. le niveau de mise en œuvre des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information prévues aux articles 21 et 23;

      2. le niveau des capacités, y compris les ressources financières, techniques et humaines disponibles, et l’efficacité de l’exercice des tâches des autorités compétentes;

      3. les capacités opérationnelles des CSIRT;

      4. le niveau de mise en œuvre de l’assistance mutuelle visée à l’article 37;

      5. le niveau de mise en œuvre des accords de partage d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; visés à l’article 29;

      6. des questions spécifiques de nature transfrontière ou transsectorielle.

    1. La méthodologie visée au paragraphe 1 comprend des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent les experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; habilités à effectuer les évaluations par les pairs. La Commission et l’ENISA participent en tant qu’observateurs aux évaluations par les pairs.

    1. Les États membres peuvent définir des questions spécifiques visées au paragraphe 1, point f), aux fins d’une évaluation par les pairs.

    1. Avant d’entamer l’évaluation par les pairs visée au paragraphe 1, les États membres en notifient la portée, en ce compris les questions définies en vertu du paragraphe 3, aux États membres qui y participent.

    1. Avant le début de l’évaluation par les pairs, les États membres peuvent procéder à une autoévaluation des aspects évalués et fournir celle-ci aux experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; désignés. Le groupe de coopération établit, avec l’aide de la Commission et de l’ENISA, la méthode pour l’autoévaluation des États membres.

    1. Les évaluations par les pairs comportent des visites sur place physiques ou virtuelles et des échanges d’information hors site. Conformément au principe de bonne coopération, l’État membre faisant l’objet de l’évaluation par les pairs fournit aux experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; désignés les informations nécessaires à l’évaluation, sans préjudice du droit de l’Union ou du droit national concernant la protection des informations confidentielles ou classifiées, ni de la préservation des fonctions essentielles de l’État, telles que la sécurité nationale. Le groupe de coopération, en coopération avec la Commission et l’ENISA, élabore des codes de conduite appropriés qui sous-tendent les méthodes de travail des experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; désignés. Toute information obtenue durant l’évaluation par les pairs n’est utilisée qu’à cet effet. Les experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; participant à l’évaluation par les pairs ne divulguent à aucun tiers les informations sensibles ou confidentielles obtenues au cours de cette évaluation par les pairs.

    1. Une fois qu’ils ont fait l’objet d’une évaluation par les pairs dans un État membre, les mêmes aspects ne font pas l’objet d’une nouvelle évaluation par les pairs dans cet État membre au cours des deux années suivant la conclusion de l’évaluation par les pairs, sauf si l’État membre le demande ou si une proposition en ce sens du groupe de coopération est approuvée.

    1. Les États membres veillent à ce que tout risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de conflit d’intérêts concernant les experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; désignés soit révélé aux autres États membres, au groupe de coopération, à la Commission et à l’ENISA, avant le début de l’évaluation par les pairs. L’État membre faisant l’objet de l’évaluation par les pairs peut s’opposer à la désignation de certains experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour des raisons dûment motivées communiquées à l’État membre qui les a désignés.

    1. Les experts en cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; participant aux évaluations par les pairs rédigent des rapports sur les résultats et les conclusions des évaluations par les pairs. Les États membres qui font l’objet d’une évaluation par les pairs peuvent formuler des observations sur les projets de rapport les concernant et ces observations sont jointes aux rapports. Les rapports contiennent des recommandations permettant d’améliorer les aspects sur lesquels l’évaluation par les pairs a porté. Les rapports sont soumis, s’il y a lieu, au groupe de coopération et au réseau des CSIRT. Un État membre qui a fait l’objet d’une évaluation par les pairs peut décider de rendre public le rapport le concernant ou une version expurgée de celui-ci.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod