Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: SV

Artikel 19 Sakkunnigbedömningar

    1. Samarbetsgruppen ska med bistånd av kommissionen och Enisa och, i relevanta fall, av CSIRT-nätverket, och senast den 17 januari 2025, fastställa metoden för och de organisatoriska aspekterna av sakkunnigbedömningar i syfte att dra lärdom av delade erfarenheter, stärka det ömsesidiga förtroendet, uppnå en hög gemensam cybersäkerhetsnivå samt stärka medlemsstaternas nödvändiga cybersäkerhetskapacitet och cybersäkerhetsriktlinjer för att genomföra detta direktiv. Deltagandet i sakkunnigbedömningar är frivilligt. Sakkunnigbedömningarna ska utföras av cybersäkerhetsexperter. Experterna för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. ska utses av minst två medlemsstater, andra än den medlemsstat som granskas.

    2. Sakkunnigbedömningarna ska omfatta åtminstone ett av följande:

      1. Genomförandenivån för de riskhanteringsåtgärder för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. och rapporteringsskyldigheter som fastställs i artiklarna 21 och 23.

      2. Kapacitetsnivån, inbegripet tillgängliga ekonomiska, tekniska och mänskliga resurser, och effektiviteten i de behöriga myndigheternas arbete.

      3. CSIRT-enheternas operativa kapacitet.

      4. Genomförandenivån för det ömsesidiga bistånd som avses i artikel 37.

      5. Genomförandenivån för de arrangemang för informationsutbyte om cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881. som avses i artikel 29.

      6. Särskilda frågor av gränsöverskridande eller sektorsövergripande karaktär.

    1. Den metod som avses i punkt 1 ska innefatta objektiva, icke-diskriminerande, rättvisa och transparenta kriterier på grundval av vilka medlemsstaterna utser de cybersäkerhetsexperter som ska få utföra sakkunnigbedömningarna. Kommissionen och Enisa ska delta som observatörer i sakkunnigbedömningarna.

    1. Medlemsstaterna får identifiera sådana särskilda frågor som avses i punkt 1 f, med avseende på en sakkunnigbedömning.

    1. Innan en sakkunnigbedömning som avses i punkt 1 inleds ska medlemsstaterna meddela de deltagande medlemsstaterna omfattningen av sakkunnigbedömningen, inbegripet de särskilda frågor som identifierats i enlighet med punkt 3.

    1. Innan sakkunnigbedömningen inleds får medlemsstaterna genomföra en självbedömning av de granskade aspekterna och tillhandahålla denna självbedömning till de utsedda experterna för cybersäkerhetcybersäkerhet enligt definitionen i artikel 2.1 i förordning (EU) 2019/881.. Samarbetsgruppen ska, med bistånd av kommissionen och Enisa, fastställa metoden för medlemsstaternas självbedömning.

    1. Sakkunnigbedömningar ska inbegripa fysiska eller virtuella besök på plats och distansbaserade informationsutbyten. Med hänsyn till principen om gott samarbete ska den medlemsstat som är föremål för sakkunnigbedömningen förse de utsedda cybersäkerhetsexperterna med den information som krävs för bedömningen, utan att det påverkar unionsrätten eller nationell rätt om skydd av konfidentiella eller säkerhetsskyddsklassificerade uppgifter samt skyddet av väsentliga statliga funktioner, såsom nationell säkerhet. Samarbetsgruppen ska, i samarbete med kommissionen och Enisa, utarbeta lämpliga uppförandekoder till stöd för de utsedda cybersäkerhetsexperternas arbetsmetoder. All information som erhålls genom sakkunnigbedömningen får endast användas för dess ändamål. De cybersäkerhetsexperter som deltar i sakkunnigbedömningen får inte lämna ut känslig eller konfidentiell information som erhållits under sakkunnigbedömningen till någon tredje part.

    1. När aspekter har varit föremål för en sakkunnigbedömning i en medlemsstat ska de inte bli föremål för ytterligare sakkunnigbedömning i den medlemsstaten under de två år som följer på slutförandet av sakkunnigbedömningen, om inte annat begärs av medlemsstaten eller beslutas efter ett förslag från samarbetsgruppen.

    1. Medlemsstaterna ska säkerställa att de andra medlemsstaterna, samarbetsgruppen, kommissionen och Enisa får information om alla risker för intressekonflikter som rör utsedda cybersäkerhetsexperter innan sakkunnigbedömningen inleds. Den medlemsstat som är föremål för sakkunnigbedömningen får invända mot utnämningen av särskilda cybersäkerhetsexperter av vederbörligen motiverade skäl som meddelas den medlemsstat som utser dessa.

    1. Cybersäkerhetsexperter som deltar i sakkunnigbedömningar ska utarbeta rapporter om resultat och slutsatser av dessa. De medlemsstater som är föremål för en sakkunnigbedömning får lämna synpunkter på de utkast till rapporter som berör dem och sådana synpunkter ska bifogas rapporterna. Rapporterna ska innefatta rekommendationer som möjliggör förbättringar när det gäller de aspekter som ingår i sakkunnigbedömningen. Rapporterna ska i relevanta fall överlämnas till samarbetsgruppen och CSIRT-nätverket. En medlemsstat som är föremål för sakkunnigbedömningen får besluta att offentliggöra sin rapport eller en redigerad version av den.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod