NIS 2 Chapitre 3 Article 19

Article 19 – Évaluations par les pairs

  1. Le groupe de coopération établit, au plus tard le 17 janvier 2025, avec l’aide de la Commission et de l’ENISA et, s’il y a lieu, du réseau des CSIRT, la méthodologie et les aspects organisationnels des évaluations par les pairs en vue de tirer des enseignements des expériences partagées, de renforcer la confiance mutuelle, de parvenir à un niveau élevé commun de cybersécurité, ainsi que de renforcer les capacités et les politiques des États membres en matière de cybersécurité qui sont nécessaires à la mise en œuvre de la présente directive. La participation aux évaluations par les pairs s’effectue à titre volontaire. Les évaluations par les pairs sont effectuées par des experts en cybersécurité. Ces experts en cybersécurité sont désignés par au moins deux États membres différents de l’État membre faisant l’objet de l’évaluation.

    Les évaluations par les pairs portent au moins sur l’un des points suivants:

    1. le niveau de mise en œuvre des mesures de gestion des risques en matière de cybersécurité et des obligations d’information prévues aux articles 21 et 23;
    2. le niveau des capacités, y compris les ressources financières, techniques et humaines disponibles, et l’efficacité de l’exercice des tâches des autorités compétentes;
    3. les capacités opérationnelles des CSIRT;
    4. le niveau de mise en œuvre de l’assistance mutuelle visée à l’article 37;
    5. le niveau de mise en œuvre des accords de partage d’informations en matière de cybersécurité visés à l’article 29;
    6. des questions spécifiques de nature transfrontière ou transsectorielle.
  2. La méthodologie visée au paragraphe 1 comprend des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent les experts en cybersécurité habilités à effectuer les évaluations par les pairs. La Commission et l’ENISA participent en tant qu’observateurs aux évaluations par les pairs.
  3. Les États membres peuvent définir des questions spécifiques visées au paragraphe 1, point f), aux fins d’une évaluation par les pairs.
  4. Avant d’entamer l’évaluation par les pairs visée au paragraphe 1, les États membres en notifient la portée, en ce compris les questions définies en vertu du paragraphe 3, aux États membres qui y participent.
  5. Avant le début de l’évaluation par les pairs, les États membres peuvent procéder à une autoévaluation des aspects évalués et fournir celle-ci aux experts en cybersécurité désignés. Le groupe de coopération établit, avec l’aide de la Commission et de l’ENISA, la méthode pour l’autoévaluation des États membres.
  6. Les évaluations par les pairs comportent des visites sur place physiques ou virtuelles et des échanges d’information hors site. Conformément au principe de bonne coopération, l’État membre faisant l’objet de l’évaluation par les pairs fournit aux experts en cybersécurité désignés les informations nécessaires à l’évaluation, sans préjudice du droit de l’Union ou du droit national concernant la protection des informations confidentielles ou classifiées, ni de la préservation des fonctions essentielles de l’État, telles que la sécurité nationale. Le groupe de coopération, en coopération avec la Commission et l’ENISA, élabore des codes de conduite appropriés qui sous-tendent les méthodes de travail des experts en cybersécurité désignés. Toute information obtenue durant l’évaluation par les pairs n’est utilisée qu’à cet effet. Les experts en cybersécurité participant à l’évaluation par les pairs ne divulguent à aucun tiers les informations sensibles ou confidentielles obtenues au cours de cette évaluation par les pairs.
  7. Une fois qu’ils ont fait l’objet d’une évaluation par les pairs dans un État membre, les mêmes aspects ne font pas l’objet d’une nouvelle évaluation par les pairs dans cet État membre au cours des deux années suivant la conclusion de l’évaluation par les pairs, sauf si l’État membre le demande ou si une proposition en ce sens du groupe de coopération est approuvée.
  8. Les États membres veillent à ce que tout risque de conflit d’intérêts concernant les experts en cybersécurité désignés soit révélé aux autres États membres, au groupe de coopération, à la Commission et à l’ENISA, avant le début de l’évaluation par les pairs. L’État membre faisant l’objet de l’évaluation par les pairs peut s’opposer à la désignation de certains experts en cybersécurité pour des raisons dûment motivées communiquées à l’État membre qui les a désignés.
  9. Les experts en cybersécurité participant aux évaluations par les pairs rédigent des rapports sur les résultats et les conclusions des évaluations par les pairs. Les États membres qui font l’objet d’une évaluation par les pairs peuvent formuler des observations sur les projets de rapport les concernant et ces observations sont jointes aux rapports. Les rapports contiennent des recommandations permettant d’améliorer les aspects sur lesquels l’évaluation par les pairs a porté. Les rapports sont soumis, s’il y a lieu, au groupe de coopération et au réseau des CSIRT. Un État membre qui a fait l’objet d’une évaluation par les pairs peut décider de rendre public le rapport le concernant ou une version expurgée de celui-ci.