19. člen
(medsebojni strokovni pregled)
(1)
Pristojni nacionalni organ lahko z namenom učenja iz skupnih izkušenj, okrepitve medsebojnega zaupanja, doseganja visoke skupne ravni kibernetske varnosti ter okrepitve zmogljivosti in politike na področju kibernetske varnosti pristopi k medsebojnim strokovnim pregledom, ki jih izvajajo imenovani strokovnjaki s področja kibernetske varnosti iz drugih držav članic Evropske unije.
(2)
Medsebojni strokovni pregled iz prejšnjega odstavka vključuje vsaj eno izmed naslednjega:
(3)
Za izvajanje medsebojnih strokovnih pregledov iz prvega odstavka tega člena se uporablja metodologija Skupine za sodelovanje, pri čemer pristojni nacionalni organ to metodologijo objavi na osrednjem spletnem mestu državne uprave.
(4)
Pristojni nacionalni organ pred začetkom medsebojnega strokovnega pregleda iz prvega odstavka tega člena prek enotne kontaktne točke sodelujočim enotnim kontaktnim točkam drugih držav članic Evropske unije sporoči obseg pregleda, vključno z vidiki iz drugega odstavka tega člena.
(5)
Pristojni nacionalni organ lahko pred začetkom medsebojnega strokovnega pregleda izvede samooceno vidikov, ki bodo pregledani ob upoštevanju metodologije za samoocenjevanje držav članic Evropske unije, ki jo Skupina za sodelovanje določi ob pomoči Evropske komisije in agencije ENISA. Rezultate samoocene nato pošlje imenovanim strokovnjakom za kibernetsko varnost.
(6)
Medsebojni strokovni pregledi obsegajo fizične ali virtualne obiske na kraju samem in izmenjave na daljavo. V primerih iz prvega odstavka tega člena pristojni nacionalni organ ne glede na 4. člen tega zakona in v zaščito temeljnih državnih funkcij, kot je nacionalna varnost, ob upoštevanju načela dobrega sodelovanja imenovanim strokovnjakom za kibernetsko varnost zagotovi informacije, potrebne za njihovo oceno.
(7)
Vse informacije, pridobljene v okviru medsebojnega strokovnega pregleda, se uporabljajo izključno v ta namen. Strokovnjaki za kibernetsko varnost, ki sodelujejo pri medsebojnem strokovnem pregledu, občutljivih ali zaupnih informacij, pridobljenih med zadevnim pregledom, ne smejo razkriti tretjim osebam. Kot podlago za delovne metode strokovnjakov za kibernetsko varnost upoštevajo tudi kodekse ravnanja, ki jih je pripravila Skupina za sodelovanje in jih je pristojni nacionalni organ objavil na osrednjem spletnem mestu državne uprave.
(8)
Pristojni nacionalni organ z namenom sodelovanja pri izvajanju medsebojnih strokovnih pregledov v drugih državah članicah Evropske unije imenuje strokovnjake za kibernetsko varnost na podlagi meril iz metodologije iz tretjega odstavka tega člena. V zvezi z imenovanimi strokovnjaki za kibernetsko varnost državam članicam Evropske unije, skupini za sodelovanje, Evropski komisiji in agenciji ENISA pred začetkom postopka medsebojnega strokovnega pregleda razkrije vsa tveganja nasprotja interesov v zvezi s strokovnjaki za kibernetsko varnost na način iz četrtega odstavka tega člena.
(9)
V primerih iz prvega odstavka tega člena pristojni nacionalni organ lahko nasprotuje imenovanju posameznih strokovnjakov za kibernetsko varnost iz druge države članice Evropske unije in jo o tem obvesti na način iz prejšnjega odstavka. Pri tem pristojni nacionalni organ sporoči razloge za nasprotovanje imenovanju posameznih strokovnjakov, razen če so razlogi povezani z nacionalno varnostjo.
(10)
Strokovnjaki za kibernetsko varnost, ki sodelujejo v medsebojnih strokovnih pregledih, pripravijo poročila o ugotovitvah in sklepih medsebojnih strokovnih pregledov. Poročila vsebujejo priporočila za izboljšanje vidikov, vključenih v medsebojni strokovni pregled. Poročila se predložijo Skupini za sodelovanje in po potrebi mreži skupin CSIRT.
(11)
Pristojni nacionalni organ lahko predloži pripombe na osnutek poročila, ki se nanaša na primere iz prvega odstavka tega člena. Pristojni nacionalni organ se v primerih iz prvega odstavka tega člena lahko odloči, da poročilo na osrednjem spletnem mestu državne uprave objavi v celoti ali njegovo redigirano različico.