Articulo 19 ciberseguridad en la Unión

1. El Grupo de Cooperación, a más tardar el 17 de enero de 2025, establecerá, con la ayuda de la Comisión y de la ENISA y, cuando proceda, de la red de CSIRT, la metodología y los aspectos organizativos de las revisiones interpares con vistas a aprender de las experiencias compartidas, reforzar la confianza mutua, lograr un elevado nivel común de ciberseguridad y mejorar las capacidades y políticas de ciberseguridad de los Estados miembros necesarias para la aplicación de la presente Directiva. La participación en las revisiones interpares será voluntaria. Las revisiones interpares serán realizadas por expertos en ciberseguridad. Los expertos en ciberseguridad serán designados por al menos dos Estados miembros distintos del Estado miembro objeto de revisión.

Las revisiones interpares abarcarán, por lo menos, uno de los siguientes aspectos:

a) el nivel de aplicación de las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación establecidas en los artículos 21 y 23;

b) el nivel de capacidades, incluidos los recursos financieros, técnicos y humanos disponibles, y la eficacia con que las autoridades competentes han llevado a cabo sus cometidos;

c) las capacidades operativas de los CSIRT;

d) el nivel de aplicación de la asistencia mutua a que se refiere el artículo 37;

e) el nivel de aplicación de los mecanismos para el intercambio de información sobre ciberseguridad a que se refiere el artículo 29;

f) problemas específicos de carácter transfronterizo o intersectorial.

2. La metodología contemplada en el apartado 1 abarcará criterios objetivos, no discriminatorios, justos y transparentes que los Estados miembros utilizarán para designar los expertos en ciberseguridad admisibles para realizar las revisiones interpares. La Comisión y la ENISA participarán en las revisiones interpares en calidad de observadores.

3. Los Estados miembros podrán definir los problemas específicos mencionados en el apartado 1, letra f), a los fines de la revisión interpares.

4. Antes del inicio de la revisión interpares como se menciona en el apartado 1, los Estados miembros comunicarán a los Estados miembros participantes su alcance, incluidos los problemas específicos definidos en virtud del apartado 3.

5. Antes del inicio de la revisión interpares, los Estados miembros podrán llevar a cabo una autoevaluación de los aspectos revisados y facilitarla a los expertos en ciberseguridad designados. El Grupo de Cooperación, con la asistencia de la Comisión y de la ENISA, establecerá la metodología para la autoevaluación de los Estados miembros.

6. Las revisiones interpares conllevarán visitas in situ presenciales o virtuales e intercambios de información a distancia. En consonancia con el principio de buena cooperación, el Estado miembro objeto de la revisión interpares facilitará a los expertos en ciberseguridad designados la información necesaria para la evaluación, sin perjuicio del Derecho de la Unión o nacional relativo a la protección de la información confidencial o clasificada ni de la salvaguardia de las funciones esenciales del Estado, como la seguridad nacional. El Grupo de Cooperación, en cooperación con la Comisión y la ENISA, elaborará códigos de conducta adecuados que sustenten los métodos de trabajo de los expertos en ciberseguridad designados. Cualquier información obtenida a través de la revisión interpares se utilizará exclusivamente para tal finalidad. Los expertos en ciberseguridad que participen en la revisión interpares no divulgarán a terceros ninguna información sensible o confidencial obtenida en el transcurso de dicha revisión interpares.

7. Una vez sean objeto de una revisión interpares, los mismos aspectos revisados en un Estado miembro no serán objeto de una revisión interpares ulterior en ese Estado miembro durante los dos años siguientes a la conclusión de la revisión interpares, a menos que lo solicite el Estado miembro o se acuerde tras una propuesta del Grupo de Cooperación.

8. Los Estados miembros velarán por que cualquier riesgo de conflicto de intereses que afecte a los expertos en ciberseguridad designados se comunique a los otros Estados miembros, al Grupo de Cooperación, a la Comisión y a la ENISA antes del inicio de la revisión interpares. El Estado miembro objeto de la revisión interpares podrá oponerse a la designación de determinados expertos en ciberseguridad por motivos debidamente justificados que se comunicarán al Estado miembro que los designe.

9. Los expertos en ciberseguridad que participen en revisiones interpares elaborarán informes sobre las constataciones y conclusiones de las revisiones. Los Estados miembros objeto de revisión interpares podrán formular observaciones sobre los proyectos de informe que les conciernan, que se adjuntarán a los informes. Los informes incluirán recomendaciones que permitan la mejora de los aspectos que abarque la revisión interpares. Los informes se remitirán al Grupo de Cooperación y la red de CSIRT cuando proceda. Un Estado miembro objeto de revisión interpares podrá decidir poner a disposición del público su informe, o una versión editada del mismo.