34Α.-(1)(α) Η Αρχή συμμετέχει σε αξιολογήσεις από ομότιμους και η συμμετοχή της σε αυτές είναι προαιρετική.
(β) Οι αξιολογήσεις από ομότιμους διενεργούνται δυνάμει των διατάξεων του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555, από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας.
(γ) Οι εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας ορίζονται από τουλάχιστον δύο (2) κράτη μέλη, διαφορετικά από το κράτος μέλος που εξετάζεται.
(2) Οι αξιολογήσεις από ομότιμους καλύπτουν τουλάχιστον ένα από τα ακόλουθα:
(α) το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων κοινοποίησης περιστατικών που προβλέπονται στα άρθρα 21 και 23 της Οδηγίας (ΕΕ) 2022/2555·
(β) το επίπεδο των ικανοτήτων, συμπεριλαμβανομένων των διαθέσιμων οικονομικών, τεχνικών και ανθρώπινων πόρων και την αποτελεσματικότητα της άσκησης των καθηκόντων εκ μέρους των αρμόδιων αρχών·
(γ) τις επιχειρησιακές ικανότητες των CSIRT·
(δ) το επίπεδο υλοποίησης της αμοιβαίας συνδρομής που προβλέπεται στο άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555·
(ε) το επίπεδο υλοποίησης των ρυθμίσεων ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας που προβλέπεται στο άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555· και
(στ) ειδικά ζητήματα διασυνοριακού ή διατομεακού χαρακτήρα.
(3)(α) Η Αρχή ορίζει εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας προς επιλογή για τη διενέργεια των αξιολογήσεων από ομότιμους βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων σύμφωνα με τη μεθοδολογία που αναπτύσσεται από την Ομάδα Συνεργασίας, όπως προνοείται στην παράγραφο (1) του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555.
(β) Η Επιτροπή και ο ENISA συμμετέχουν ως παρατηρητές στις αξιολογήσεις από ομότιμους.
(4) Η Αρχή μπορεί να προσδιορίσει συγκεκριμένα ζητήματα όπως αναφέρεται στην παράγραφο (στ) του εδαφίου (2) για τους σκοπούς της αξιολόγησης από ομότιμους.
(5) Πριν από την έναρξη της αξιολόγησης από ομότιμους, όπως αυτή προβλέπεται στις διατάξεις του εδαφίου (1), η Αρχή κοινοποιεί στα συμμετέχοντα κράτη μέλη το πεδίο εφαρμογής της αξιολόγησης, μεταξύ άλλων και τα συγκεκριμένα ζητήματα που προσδιορίζονται βάσει του εδαφίου (4).
(6)(α) Πριν από την έναρξη της αξιολόγησης από ομότιμους, η Αρχή δύναται να διενεργεί αυτοαξιολόγηση (self-assessment) των αξιολογούμενων πτυχών και να παρέχει την εν λόγω αυτοαξιολόγηση στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας.
(β) Η Αρχή εφαρμόζει τη μεθοδολογία για την αυτοαξιολόγηση ως αυτή καθορίζεται από την Ομάδα Συνεργασίας, με τη συνδρομή της Επιτροπής και του ENISA.
(7)(α) Οι αξιολογήσεις από ομότιμους περιλαμβάνουν φυσικές ή εικονικές επιτόπιες επισκέψεις και ανταλλαγές πληροφοριών εκτός των εγκαταστάσεων (off-site exchanges of information).
(β) Με γνώμονα την αρχή της καλής συνεργασίας, η Αρχή όταν αξιολογείται από ομότιμους παρέχει στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας τις πληροφορίες που είναι αναγκαίες για την αξιολόγηση, με την επιφύλαξη του ενωσιακού δικαίου ή της κείμενης νομοθεσίας σχετικά με την προστασία εμπιστευτικών ή διαβαθμισμένων πληροφοριών και τη διασφάλιση ουσιωδών λειτουργιών του κράτους, όπως η εθνική ασφάλεια.
(γ) Κάθε πληροφορία που λαμβάνεται μέσω της αξιολόγησης από ομότιμους χρησιμοποιείται αποκλειστικά για τον σκοπό αυτό.
(δ) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν στην αξιολόγηση από ομότιμους δεν αποκαλύπτουν σε τρίτους τυχόν ευαίσθητες ή εμπιστευτικές πληροφορίες που απέκτησαν κατά τη διάρκεια της εν λόγω αξιολόγησης από ομότιμους:
(8) Τα σημεία που αξιολογήθηκαν από τους ομότιμους δεν υποβάλλονται σε περαιτέρω αξιολόγηση από ομότιμους για διάστημα δύο (2) ετών μετά την ολοκλήρωση της αξιολόγησης, εκτός εάν αποφασιστεί διαφορετικά από τον αξιολογούμενο ή συμφωνηθεί μετά από πρόταση της Ομάδας Συνεργασίας.
(9)(α) Η Αρχή μεριμνά για τη γνωστοποίηση οποιουδήποτε κινδύνου σύγκρουσης συμφερόντων που αφορά τους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας στα άλλα κράτη μέλη, στην Ομάδα Συνεργασίας, στην Επιτροπή και στον ENISA, πριν από την έναρξη της αξιολόγησης από ομότιμους.
(β) Η Αρχή όταν υπόκειται σε αξιολόγηση από ομότιμους μπορεί να αντιταχθεί στον ορισμό συγκεκριμένων εμπειρογνωμόνων για δεόντως αιτιολογημένους λόγους τους οποίους κοινοποιεί στο κράτος μέλος που ορίζει τον εμπειρογνώμονα.
(10)(α) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν σε αξιολογήσεις από ομότιμους συντάσσουν εκθέσεις με τα ευρήματα και τα συμπεράσματα των αξιολογήσεων, οι οποίες περιλαμβάνουν συστάσεις που επιτρέπουν τη βελτίωση των πτυχών που καλύπτονται από την αξιολόγηση από ομότιμους.
(β) Η Αρχή δύναται να υποβάλλει παρατηρήσεις σχετικά με τα σχέδια εκθέσεων που την αφορούν και τα σχόλια αυτά επισυνάπτονται στις εκθέσεις.
(γ) Οι εκθέσεις υποβάλλονται στην Ομάδα Συνεργασίας και στο Δίκτυο CSIRT, κατά περίπτωση.
(δ) Η Αρχή δύναται να δημοσιοποιήσει την έκθεσή που την αφορά ή μια αναδιατυπωμένη έκδοσή της.