Capo III
Art. 21
Procedura di revisione tra pari
In vigore dal 16 ott 2024
1. L'Autorità nazionale competente NIS può partecipare alla procedura di revisione tra pari, di cui all' della direttiva (UE) 2022/2555, nel quadro della metodologia di cui all', comma 4, lettera m), del presente decreto:
a) richiedendo l'esecuzione di una revisione tra pari in relazione all'attuazione della direttiva (UE) 2022/2555 a livello nazionale;
b) indicando uno o più rappresentanti dell'Agenzia per la cybersicurezza nazionale o delle Autorità di settore NIS quali esperti di sicurezza informatica, di cui all', paragrafo 2, della direttiva (UE) 2022/2555, per eseguire revisioni tra pari presso altri Stati membri, su richiesta di questi ultimi, nel rispetto dei codici di condotta di cui all', comma 4, lettera m), del presente decreto. Eventuali rischi di conflitto di interessi riguardanti gli esperti di sicurezza informatica designati sono condivisi con gli altri Stati membri, il Gruppo di cooperazione NIS, la Commissione europea e l'ENISA prima dell'inizio della revisione tra pari.
2. Ai fini di cui al comma 1, lettera a), l'Autorità nazionale competente NIS, con le modalità di cui all', comma 5, alinea:
a) provvede a identificare almeno un aspetto da sottoporre alla revisione tra pari tra i seguenti:
1) il livello di attuazione degli obblighi in materia di misure di gestione del rischio e di notifica degli incidenti di cui agli ;
2) il livello delle capacità, comprese le risorse finanziarie, tecniche e umane disponibili, e l'efficacia dello svolgimento dei compiti dell'Autorità medesima;
3) le capacità operative del CSIRT Italia;
4) lo stato di attuazione dell'assistenza reciproca di cui all';
5) lo stato di attuazione degli accordi per la condivisione delle informazioni in materia di sicurezza informatica di cui all';
6) questioni specifiche di natura transfrontaliera o intersettoriale;
b) notifica, prima dell'inizio della revisione tra pari, agli Stati membri partecipanti, l'ambito di applicazione della medesima, comprese le questioni specifiche individuate;
c) effettua, se del caso, un'autovalutazione degli aspetti oggetto della revisione;
d) seleziona, tra gli esperti di sicurezza informatica indicati dagli altri Stati membri partecipanti, gli esperti idonei da designare. Qualora l'Autorità nazionale competente NIS si opponga alla designazione di uno o più esperti indicati, comunica allo Stato membro indicante i motivi debitamente giustificati;
e) fornisce, se del caso, l'autovalutazione di cui alla lettera c) agli esperti designati di cui alla lettera d);
f) fornisce agli esperti designati di cui alla lettera d) le informazioni necessarie per la valutazione, anche con visite in loco fisiche o virtuali, nonché scambi di informazioni a distanza;
g) formula, se del caso, osservazioni sulla relazione elaborata dagli esperti designati di cui alla lettera d);
h) può decidere di rendere pubblica la relazione elaborata dagli esperti designati di cui alla lettera d), alla quale sono allegate, in tutto o in parte, le osservazioni di cui alla lettera g).
3. Ai fini di cui al comma 1, lettera b), gli esperti di sicurezza informatica indicati dall'Autorità nazionale competente NIS:
a) non divulgano a terzi le eventuali informazioni sensibili o riservate ottenute nel corso delle revisioni tra pari a cui partecipano;
b) partecipano alle attività necessarie allo svolgimento delle revisioni tra pari tramite visite in loco fisiche o virtuali e scambi di informazioni a distanza;
c) contribuiscono all'elaborazione delle relazioni sui risultati e sulle conclusioni delle revisioni tra pari.
4. La condivisione delle informazioni ai sensi del presente articolo è effettuata nel rispetto della legislazione nazionale o dell'Unione europea in materia di tutela delle informazioni protette da classifica di segretezza e di salvaguardia delle funzioni essenziali dello Stato, ivi inclusa la sicurezza nazionale.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.legislativo:2024-09-04;138#art-21