Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава III. Сотрудничество на уровне союза и на международном уровне
- Статья 19. Экспертные оценки
Статья 19. Экспертные оценки
Статья 19
Экспертные оценки
1. Семнадцатого января 2025 г. Группа по сотрудничеству при содействии Европейской Комиссии и ENISA, а также, в соответствующих случаях, сети CSIRTs должна разработать методику и организационные аспекты экспертных оценок с целью извлечения уроков из обмена опытом, укрепления взаимного доверия, достижения высокого общего уровня кибербезопасности, а также с целью усиления потенциальных возможностей государств-членов ЕС в области кибербезопасности и политических принципов, необходимых для имплементации настоящей Директивы. Участие в экспертных оценках является добровольным. Экспертные оценки должны проводиться экспертами по кибербезопасности. Эксперты по кибербезопасности должны назначаться как минимум двумя государствами-членами ЕС, отличными от государств-членов ЕС, в отношении которых осуществляется проверка.
Экспертные оценки должны охватывать как минимум одно из следующего:
(a) уровень реализации мер по управлению рисками в области кибербезопасности и обязательств по представлению отчетности, установленных в Статьях 21 и 23;
(b) уровень возможностей, включая доступные финансовые, технические и кадровые ресурсы, и эффективность выполнения задач компетентных органов;
(c) оперативные возможности CSIRTs;
(d) уровень осуществления взаимной помощи согласно Статье 37;
(e) уровень реализации соглашений об обмене информацией в области кибербезопасности согласно Статье 29;
(f) определенные вопросы трансграничного или межотраслевого характера.
2. Методика, указанная в параграфе 1, должна включать в себя объективные, недискриминационные, справедливые и прозрачные критерии, на основе которых государства-члены ЕС назначают экспертов по кибербезопасности, которые имеют право проводить экспертные оценки. Европейская Комиссия и ENISA должны принимать участие в экспертных оценках в качестве наблюдателей.
3. Государства-члены ЕС могут установить определенные проблемы, указанные в пункте (f) параграфа 1, для целей экспертной оценки.
4. Перед началом экспертной оценки, указанной в параграфе 1, государства-члены ЕС должны уведомить участвующие государства-члены ЕС о сфере ее действия, в том числе об определенных вопросах, установленных согласно параграфу 3.
5. До начала экспертной оценки государства-члены ЕС могут провести самостоятельную оценку рассматриваемых аспектов и предоставить результаты указанной самооценки назначенным экспертам по кибербезопасности. Группа по сотрудничеству при содействии Европейской Комиссии и ENISA должна разработать методику для самооценки государств-членов ЕС.
6. Экспертные оценки должны включать в себя физические или виртуальные посещения объектов и обмены информацией за пределами объектов. В соответствии с принципом добросовестного сотрудничества подлежащее экспертной оценке государство-член ЕС должно предоставить назначенным экспертам по кибербезопасности информацию, необходимую для оценки, без ущерба законодательству Союза или национальному законодательству о защите конфиденциальной или закрытой информации и без ущерба обеспечению основных государственных функций, таких как национальная безопасность. Группа по сотрудничеству совместно с Европейской Комиссией и ENISA должна разработать соответствующие нормы поведения, лежащие в основе методов работы назначенных экспертов по кибербезопасности. Любая информация, полученная в результате экспертной оценки, должна использоваться исключительно для данной цели. Эксперты по кибербезопасности, участвующие в экспертной оценке, не должны раскрывать секретную и конфиденциальную информацию, полученную в ходе указанной экспертной оценки, любым третьим сторонам.
7. После прохождения экспертной оценки те же самые аспекты, рассмотренные в государстве-члене ЕС, не подлежат дальнейшей экспертной оценке в указанном государстве-члене ЕС в течение двух лет после завершения экспертной оценки, кроме случаев, когда государство-член ЕС запрашивает иное или когда иное согласовано после предложения Группы по сотрудничеству.
8. Государства-члены ЕС должны гарантировать, что до начала экспертной оценки другим государствам-членам ЕС, Группе по сотрудничеству, Европейской Комиссии и ENISA сообщается о любом риске конфликта интересов, касающемся назначенных экспертов по кибербезопасности. Государство-член ЕС, подпадающее под экспертную оценку, может обжаловать назначение определенных экспертов по кибербезопасности на должным образом обоснованных основаниях, доведенных до сведения назначающего государства-члена ЕС.
9. Эксперты по кибербезопасности, участвующие в экспертных оценках, должны подготавливать отчеты о выводах и заключениях экспертных оценок. Государства-члены ЕС, подпадающие под экспертную оценку, могут представлять замечания на касающиеся их проекты отчетов, и такие замечания должны прилагаться к отчетам. Отчеты должны включать в себя рекомендации, позволяющие достичь улучшений аспектов, охватываемых экспертной оценкой. В предусмотренных случаях отчеты должны быть представлены Группе по сотрудничеству и сети CSIRTs. Государство-член ЕС, подлежащее экспертной оценке, может принять решение о размещении своего отчета или его отредактированной версии в открытом доступе.