REGOLAMENTO DI ESECUZIONE (UE) 2025/2540 DELLA COMMISSIONE

del 9 dicembre 2025

recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda la definizione del piano per la valutazione inter pares

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (1), in particolare l’articolo 59, paragrafo 5,

considerando quanto segue:

(1)

A norma dell’articolo 59, paragrafo 4, del regolamento (UE) 2019/881, le valutazioni inter pares delle autorità nazionali di certificazione della cibersicurezza (National Cybersecurity Certification Authorities — NCCA) devono essere effettuate da due NCCA di altri Stati membri e dalla Commissione. Al fine di ottenere norme equivalenti relativamente ai certificati europei di cibersicurezza e alle dichiarazioni UE di conformità, la Commissione dovrebbe monitorare gli aspetti relativi alla conformità al presente regolamento e garantire che le valutazioni inter pares siano effettuate in modo coerente in tutta l’Unione. Al fine di contribuire a individuare le buone pratiche, le sfide e gli insegnamenti tratti dall’attuazione dei sistemi europei di certificazione della cibersicurezza, l’Agenzia dell’Unione europea per la cibersicurezza (European Union Agency for Cybersecurity — ENISA) dovrebbe avere la possibilità di partecipare alle valutazioni inter pares in qualità di osservatrice. Per sostenere l’attuazione armonizzata delle disposizioni del presente regolamento, l’ENISA, in cooperazione con la Commissione e il gruppo europeo per la certificazione della cibersicurezza (European Cybersecurity Certification Group — ECCG), dovrebbe essere autorizzata anche a produrre modelli.

(2)

Al fine di garantire una pianificazione prevedibile e un’allocazione efficiente delle risorse, le valutazioni inter pares di ciascuna NCCA dovrebbero essere effettuate secondo un calendario stabilito. In circostanze eccezionali, quali carenze inaspettate di personale o casi di forza maggiore, una NCCA dovrebbe avere la possibilità di chiedere di ritardare la propria valutazione inter pares. A tal fine è necessario stabilire le modalità di valutazione di tale richiesta, facendo in modo che il calendario generale sia mantenuto e che gli obiettivi del meccanismo di valutazione inter pares non siano compromessi.

(3)

Affinché tutti gli Stati membri contribuiscano all’attuazione del meccanismo di valutazione inter pares e possano beneficiare dell’apprendimento tra pari, le NCCA di ciascuno Stato membro dovrebbero effettuare due valutazioni inter pares nell’arco di cinque anni. È pertanto opportuno istituire un sistema di rotazione che consenta alle NCCA di tutti gli Stati membri di organizzare la propria partecipazione. È altresì necessario stabilire i criteri di cui le NCCA dovrebbero tenere conto per la selezione dei rappresentanti incaricati di effettuare le valutazioni inter pares, con l’obiettivo di garantire una perizia e una competenza adeguate. Le NCCA dovrebbero inoltre essere autorizzate a partecipare alle valutazioni inter pares in qualità di osservatrici, per monitorare il processo e trarne insegnamento. In tali casi non è necessario che il proprio rappresentante possegga la stessa perizia e competenza che ci si attende dai rappresentanti delle NCCA che effettuano le valutazioni inter pares.

(4)

Per fare in modo che una NCCA sia sottoposta a valutazione inter pares da parte di almeno una NCCA che utilizza lo stesso approccio per il rilascio di certificati di livello «elevato», l’ENISA, quando invita le NCCA a manifestare il proprio interesse a effettuare valutazioni inter pares, dovrebbe indicare se la NCCA sottoposta a valutazione inter pares rilascia direttamente certificati di livello «elevato», si avvale del modello di previa approvazione di cui all’articolo 56, paragrafo 6, lettera a), del regolamento (UE) 2019/881, concede una delega generale conformemente al medesimo paragrafo, lettera b), o presenta una combinazione di tali caratteristiche.

(5)

Al fine di garantire criteri e procedure di valutazione comuni per il funzionamento delle valutazioni inter pares in tutta l’Unione, ogni valutazione inter pares dovrebbe sempre comprendere un questionario di autovalutazione, un esame della documentazione e una visita in loco, completata da colloqui. Dopo la visita in loco, il gruppo incaricato della valutazione inter pares dovrebbe discuterne i risultati con la NCCA sottoposta a valutazione inter pares, preparare un progetto di relazione e presentarlo alla NCCA sottoposta a valutazione inter pares per eventuali osservazioni, al fine di garantire, ove possibile, un consenso. Il gruppo incaricato della valutazione inter pares dovrebbe presentare all’ECCG la relazione finale, che può comprendere orientamenti o raccomandazioni finalizzati al miglioramento della NCCA sottoposta a valutazione inter pares. Su proposta del gruppo incaricato della valutazione inter pares, l’ECCG dovrebbe inoltre approvare una relazione di sintesi che deve essere resa pubblica.

(6)

Per fare in modo che le informazioni ricavate dal processo di valutazione inter pares siano trattate in modo sicuro, il gruppo incaricato della valutazione inter pares dovrebbe garantire l’uso di canali di comunicazione sicuri, quali una piattaforma sicura per la conservazione e la condivisione di documenti, e di garanzie adeguate per i dati riservati condivisi tra i membri del gruppo incaricato della valutazione inter pares. Tenendo conto delle migliori pratiche esistenti delle NCCA, l’ENISA dovrebbe inoltre essere in grado di elaborare orientamenti su come garantire una comunicazione sicura, in particolare affinché il livello di sicurezza applicato dal gruppo incaricato della valutazione inter pares per la raccolta, la condivisione e il trattamento delle informazioni sia in linea con le esigenze di sicurezza della NCCA sottoposta a valutazione inter pares.

(7)	Al fine di agevolare la cooperazione e uno scambio di informazioni efficace tra le NCCA, l’ECCG, e in particolare il relativo sottogruppo per la valutazione inter pares, dovrebbe contribuire alla produzione di modelli e assistere la Commissione nell’attuazione del presente regolamento.

(8)

Il meccanismo di revisione tra pari costituisce un servizio pubblico digitale transeuropeo ai sensi del regolamento (UE) 2024/903 del Parlamento europeo e del Consiglio (2). Il presente regolamento introduce requisiti vincolanti nuovi che interessano tale servizio ed è pertanto soggetto all’obbligo di valutazione dell’interoperabilità di cui all’articolo 3 del regolamento (UE) 2024/903. È stata pertanto effettuata una valutazione dell’interoperabilità e la relazione risultante deve essere pubblicata sul portale «Europa interoperabile».

(9)	Nell’elaborazione del presente regolamento la Commissione ha tenuto conto dei pareri dell’ECCG, compreso il relativo sottogruppo per la valutazione inter pares.

(10)	Le misure di cui al presente regolamento sono conformi al parere del comitato istituito dall’articolo 66 del regolamento (UE) 2019/881,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

Calendario, frequenza e costo delle valutazioni inter pares

1. Le valutazioni inter pares delle autorità nazionali di certificazione della cibersicurezza (National Cybersecurity Certification Authorities — NCCA) sono effettuate conformemente al calendario di cui all’allegato I. Ogni valutazione inter pares è completata entro la data indicata in tale calendario e successivamente eseguita una volta ogni cinque anni.

2. In circostanze eccezionali una NCCA sottoposta a valutazione inter pares può presentare alla Commissione una richiesta debitamente motivata di posticipare la propria valutazione inter pares oltre la data indicata nel calendario di cui all’allegato I. In cooperazione con il gruppo europeo per la certificazione della cibersicurezza (European Cybersecurity Certification Group — ECCG) istituito dall’articolo 62 del regolamento (UE) 2019/881, la Commissione valuta la richiesta e ne comunica tempestivamente l’esito a tutte le parti interessate.

3. Se, conformemente all’articolo 58, paragrafo 1, del regolamento (UE) 2019/881, uno Stato membro ha designato:

a)	più di una NCCA nel suo territorio, tutte le NCCA di tale Stato membro sono sottoposte a valutazione inter pares in parallelo;

la NCCA o le NCCA di un altro Stato membro, tale o tali NCCA possono essere sottoposte a valutazione inter pares conformemente al calendario stabilito per lo Stato membro designante o per lo Stato membro della NCCA o delle NCCA designate per quanto riguarda i compiti di vigilanza svolti nello Stato membro designante.

4. L’Agenzia dell’Unione europea per la cibersicurezza (European Union Agency for Cybersecurity — ENISA) rende pubbliche, sul sito web sui sistemi europei di certificazione della cibersicurezza istituito a norma dell’articolo 50 del regolamento (UE) 2019/881, le informazioni seguenti:

a)	le informazioni sul calendario di cui all’allegato I;

b)	l’elenco delle NCCA che effettuano valutazioni inter pares aggiornato a norma dell’articolo 2, paragrafo 5.

5. Ciascuna NCCA coinvolta nel processo di valutazione inter pares sostiene i propri costi di partecipazione.

Articolo 2

Sistema di rotazione per le NCCA che effettuano valutazioni inter pares

1. Conformemente all’articolo 59, paragrafo 4, del regolamento (UE) 2019/881, ogni valutazione inter pares è effettuata da due NCCA di altri Stati membri e dalla Commissione. Le NCCA di ogni Stato membro partecipano alla valutazione inter pares di almeno due NCCA durante ciascun periodo di cui all’allegato I.

2. Le NCCA di altri Stati membri possono partecipare alla valutazione inter pares in qualità di osservatrici con uno o più rappresentanti, con il consenso della NCCA sottoposta a valutazione inter pares, delle NCCA che effettuano la valutazione inter pares e della Commissione.

3. Un rappresentante dell’ENISA può partecipare alla valutazione inter pares in qualità di osservatore. Possono partecipare anche altri rappresentanti, con il consenso della NCCA sottoposta a valutazione inter pares, delle NCCA che effettuano la valutazione inter pares e della Commissione.

4. Gli osservatori hanno accesso alle stesse informazioni degli altri membri del gruppo incaricato della valutazione inter pares, ma non svolgono compiti connessi all’esecuzione della valutazione inter pares.

5. In cooperazione con la Commissione e l’ECCG, l’ENISA propone e aggiorna l’elenco delle NCCA che effettuano le valutazioni inter pares tenute a rispettare il calendario di cui all’allegato I. Durante l’anno l’ENISA, in cooperazione con la Commissione, chiede alle NCCA di manifestare il proprio interesse a effettuare o a partecipare in qualità di osservatrici alle valutazioni inter pares delle NCCA previste nell’allegato I per l’anno successivo.

6. Qualora più di due NCCA manifestino interesse a effettuare la valutazione inter pares della stessa NCCA, la Commissione e l’ENISA consultano le NCCA interessate e scelgono i partecipanti alla valutazione inter pares.

7. Qualora in un determinato anno non vi sia un numero sufficiente di NCCA che manifesti interesse a effettuare le valutazioni inter pares, la Commissione, previa consultazione dell’ECCG, seleziona le NCCA che effettueranno le valutazioni inter pares. Per la selezione la Commissione tiene conto dell’obbligo, di cui al paragrafo 1, delle NCCA di ciascuno Stato membro di partecipare alla valutazione inter pares di almeno due NCCA.

Articolo 3

Criteri relativi alla composizione del gruppo incaricato della valutazione inter pares

1. In tempo utile prima dell’inizio della valutazione inter pares, ciascuna NCCA che effettua la valutazione inter pares designa un rappresentante che effettuerà la valutazione. Le NCCA che effettuano la valutazione inter pares possono designare più di un rappresentante se ciò è necessario per fare sì che il gruppo incaricato della valutazione inter pares disponga delle competenze necessarie per effettuare la valutazione.

2. Fatti salvi i rappresentanti delle NCCA che partecipano in qualità di osservatrici, il rappresentante delle NCCA che effettuano la valutazione inter pares soddisfa i criteri seguenti:

a)	ha almeno due anni di esperienza lavorativa per la NCCA che effettua la valutazione inter pares o ha partecipato ad almeno due valutazioni inter pares in qualità di osservatore;

b)	possiede una conoscenza sufficiente del quadro di certificazione della cibersicurezza di cui al regolamento (UE) 2019/881;

c)	ha una buona conoscenza pratica dell’inglese e, se possibile, di una o più lingue parlate nello Stato membro delle NCCA sottoposte a valutazione inter pares;

d)	opera indipendentemente dalla NCCA sottoposta a valutazione inter pares.

3. Le NCCA che effettuano la valutazione inter pares fanno in modo che qualsiasi rischio di conflitto di interessi riguardante i rappresentanti designati sia comunicato alle altre NCCA, alla Commissione e all’ENISA prima dell’avvio del processo di valutazione inter pares. La NCCA sottoposta a valutazione inter pares può opporsi alla designazione di determinati rappresentanti conformemente al paragrafo 5.

4. Le NCCA che effettuano la valutazione inter pares scelgono tra loro un rappresentante («capogruppo») incaricato di coordinare la valutazione inter pares.

5. La Commissione fornisce alla NCCA sottoposta a valutazione inter pares i nomi e i recapiti dei rappresentanti delle NCCA che effettuano la valutazione inter pares prima dell’avvio del processo di valutazione inter pares. Qualora intenda sollevare obiezioni alla nomina di uno o più rappresentanti, la NCCA sottoposta a valutazione inter pares fornisce, entro due settimane, una chiara giustificazione alla Commissione, ne informa l’ENISA e l’ECCG e chiede che la NCCA che effettua la valutazione inter pares nomini un rappresentante diverso.

6. Qualora la procedura di cui al paragrafo 5 provochi indebiti ritardi nell’avvio della valutazione inter pares a causa di circostanze eccezionali, la Commissione consulta l’ENISA e l’ECCG e decide in merito alla composizione del gruppo incaricato della valutazione inter pares.

Articolo 4

Metodologia per la valutazione inter pares

1. Con la valutazione inter pares vengono esaminati gli aspetti indicati nell’allegato II, conformemente all’articolo 59, paragrafo 3, del regolamento (UE) 2019/881.

2. In cooperazione con l’ECCG e la Commissione, l’ENISA può produrre modelli per la valutazione dei processi stabiliti dalla NCCA sottoposta a valutazione inter pares.

3. La valutazione inter pares comprende almeno gli aspetti seguenti:

a)	un questionario di autovalutazione;

b)	la valutazione della documentazione pertinente;

c)	colloqui online o di persona, o entrambi;

d)	una visita in loco.

4. La durata della valutazione inter pares può essere concordata in anticipo tra il gruppo incaricato della valutazione inter pares e la NCCA sottoposta a valutazione inter pares, a seconda delle dimensioni e della complessità delle attività della NCCA sottoposta a valutazione inter pares. La durata della visita in loco non supera i tre giorni lavorativi.

5. Se non altrimenti concordato tra il gruppo incaricato della valutazione inter pares, la NCCA sottoposta a valutazione inter pares e la Commissione, la lingua di lavoro è l’inglese. La relazione sulla valutazione inter pares di cui all’articolo 5 è redatta almeno in inglese.

6. La NCCA sottoposta a valutazione inter pares coopera e fornisce al gruppo incaricato della valutazione inter pares l’accesso alle informazioni e ai documenti necessari per effettuare la valutazione inter pares. La NCCA sottoposta a valutazione inter pares presenta il questionario di autovalutazione e l’ultima relazione sintetica annuale adottata conformemente all’articolo 58, paragrafo 7, lettera g), del regolamento (UE) 2019/881 almeno 21 giorni prima della data della visita in loco. Ulteriori documenti sono presentati su richiesta del gruppo incaricato della valutazione inter pares entro 7 giorni dal ricevimento di tali richieste.

7. I documenti sono forniti in inglese, salvo diverso accordo a norma del paragrafo 5. Se i documenti non sono forniti in inglese, il gruppo incaricato della valutazione inter pares può chiedere che i documenti necessari per effettuare la valutazione inter pares siano tradotti in inglese.

8. Prima di redigere la relazione sulla valutazione inter pares conformemente all’articolo 5, il gruppo incaricato della valutazione inter pares discute i risultati preliminari con la NCCA sottoposta a valutazione inter pares.

Articolo 5

Relazione sulla valutazione inter pares

1. Entro 21 giorni dallo svolgimento della valutazione inter pares, il gruppo incaricato della valutazione inter pares redige un progetto di relazione sulla valutazione inter pares in cui figurano i dettagli dello Stato membro della NCCA sottoposta a valutazione inter pares, delle NCCA che hanno effettuato la valutazione inter pares, della Commissione e di eventuali osservatori, nonché i risultati e le conclusioni della valutazione inter pares. Se necessario, la relazione contiene raccomandazioni che consentono di migliorare gli aspetti esaminati nella valutazione inter pares.

2. In cooperazione con la Commissione e l’ECCG, l’ENISA può produrre un modello per la relazione sulla valutazione inter pares.

3. Dopo averlo elaborato conformemente al paragrafo 1, il gruppo incaricato della valutazione inter pares trasmette il progetto di relazione sulla valutazione inter pares alla NCCA sottoposta a valutazione inter pares affinché formuli osservazioni entro 14 giorni. Il gruppo incaricato della valutazione inter pares valuta le osservazioni e, ove possibile, le integra nella relazione finale, al fine di garantire un consenso. In caso di disaccordo, la risposta della NCCA sottoposta a valutazione inter pares deve essere allegata alla relazione finale.

4. La relazione finale, comprensiva di una sintesi da pubblicarsi, è inviata all’ECCG entro due mesi dallo svolgimento della valutazione inter pares. Conformemente all’articolo 59, paragrafo 6, del regolamento (UE) 2019/881, l’ECCG esamina la relazione e ne approva la sintesi, che è pubblicata sul sito web sui sistemi europei di certificazione della cibersicurezza creato a norma dell’articolo 50 del regolamento (UE) 2019/881. La sintesi comprende anche la risposta, o relative parti, della NCCA sottoposta a valutazione inter partes, d’intesa con quest’ultima.

5. Il gruppo incaricato della valutazione inter pares rende anonimi i dati personali eventualmente raccolti durante la valutazione inter pares prima di diffondere la relazione sulla valutazione inter pares al di fuori del gruppo di valutazione inter pares.

Articolo 6

Riservatezza

1. Tutte le parti coinvolte nelle valutazioni inter pares rispettano la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività, in modo da tutelare, in particolare:

a)	i diritti di proprietà intellettuale e le informazioni commerciali riservate o i segreti commerciali di persone fisiche o giuridiche, compreso il codice sorgente, tranne i casi cui si applica l’articolo 5 della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio (3);

b)	l’efficace attuazione del presente regolamento;

c)	gli interessi di sicurezza pubblica e nazionale;

d)	l’integrità del procedimento penale o amministrativo.

2. Il gruppo incaricato della valutazione inter pares fa in modo che tutte le informazioni ottenute attraverso il processo di valutazione inter pares siano trattate in modo sicuro. Una volta redatte la relazione finale e la sintesi di cui all’articolo 5, paragrafo 4, il gruppo incaricato della valutazione inter pares, comprensivo degli eventuali osservatori, elimina o distrugge tutti i documenti, a eccezione della relazione finale e della sintesi, che sono stati raccolti o prodotti nell’ambito del processo di valutazione inter pares.

3. Tenendo conto delle migliori pratiche esistenti delle NCCA, l’ENISA può elaborare, in collaborazione con l’ECCG, orientamenti sulle comunicazioni sicure e riservate.

Articolo 7

Sviluppo delle capacità

L’ENISA analizza i risultati aggregati delle valutazioni inter pares e mette in evidenza gli insegnamenti tratti e le migliori pratiche, al fine di contribuire allo sviluppo di capacità per le NCCA e al mantenimento dei sistemi europei di certificazione della cibersicurezza. Tale analisi può comprendere, se del caso, formazione e ulteriori orientamenti per le NCCA, elaborati in collaborazione con l’ECCG.

Articolo 8

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 9 dicembre 2025

Per la Commissione

La presidente

Ursula VON DER LEYEN

(1) GU L 151 del 7.6.2019, pag. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj.

(2) Regolamento (UE) 2024/903 del Parlamento europeo e del Consiglio, del 13 marzo 2024, che stabilisce misure per un livello elevato di interoperabilità del settore pubblico nell’Unione (regolamento su un’Europa interoperabile) (GU L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).

(3) Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti (GU L 157 del 15.6.2016, pag. 1, ELI: http://data.europa.eu/eli/dir/2016/943/oj).

ALLEGATO II

Metodologia per la valutazione inter pares

II.1 Separazione tra attività di certificazione e di vigilanza

Nel valutare la separazione tra le attività di certificazione e le attività di vigilanza della NCCA sottoposta a valutazione inter pares, di cui all’articolo 59, paragrafo 3, lettera a), del regolamento (UE) 2019/881, la valutazione inter pares esamina almeno gli aspetti seguenti:

a)	una descrizione dettagliata del funzionamento della NCCA sottoposta a valutazione inter pares, che indichi chiaramente i diversi soggetti e/o dipartimenti coinvolti nell’attuazione del regolamento (UE) 2019/881;

b)	una mappatura delle attività della NCCA sottoposta a valutazione inter pares rispetto alle attività elencate all’articolo 58, paragrafo 7, del regolamento (UE) 2019/881;

c)	se la NCCA sottoposta a valutazione inter pares rilascia certificati, una spiegazione che dimostri l’assenza di interferenze tra le sue attività di certificazione e le attività di vigilanza di cui alla lettera b).

II.2 Vigilanza e applicazione delle norme per il controllo della conformità con i certificati

Nel valutare le procedure della NCCA sottoposta a valutazione inter pares per la vigilanza e l’applicazione delle regole per il controllo della conformità dei prodotti TIC, dei servizi TIC, dei processi TIC e dei servizi di sicurezza gestiti con i certificati europei di cibersicurezza di cui all’articolo 59, paragrafo 3, lettera b), del regolamento (UE) 2019/881, la valutazione inter pares esamina almeno gli aspetti seguenti:

a)	la qualità e il livello di dettaglio della descrizione di tali processi e procedure e la misura in cui sono documentati;

b)	se e in quale misura tali processi e procedure riguardano i pertinenti sistemi europei di certificazione della cibersicurezza;

c)	se la NCCA sottoposta a valutazione inter pares abbia effettivamente il potere di ispezionare gli organismi di valutazione della conformità che rilasciano certificati e, se necessario, di imporre la revoca dei certificati;

d)	la portata della cooperazione tra la NCCA sottoposta a valutazione inter pares e le pertinenti autorità di vigilanza del mercato;

se la NCCA sottoposta a valutazione inter pares dispone di un meccanismo per trattare i reclami delle persone fisiche o giuridiche, prescritto dall’articolo 58, paragrafo 7, lettera f), del regolamento (UE) 2019/881, comprese prove che dimostrino che le persone fisiche e giuridiche hanno il diritto di presentare un reclamo e di ottenere un ricorso giurisdizionale effettivo a norma, rispettivamente, degli articoli 63 e 64 di tale regolamento.

II.3 Monitoraggio e applicazione degli obblighi che incombono ai fabbricanti o ai fornitori

Nel valutare le procedure della NCCA sottoposta a valutazione inter pares per il monitoraggio e l’applicazione degli obblighi che incombono ai fabbricanti o ai fornitori che effettuano l’autovalutazione della conformità di cui all’articolo 59, paragrafo 3, lettera c), del regolamento (UE) 2019/881, la valutazione inter pares esamina almeno gli aspetti seguenti:

a)	se la NCCA sottoposta a valutazione inter pares ha istituito tali procedure e in che misura esse sono documentate, in particolare se ha istituito un meccanismo per ricevere ed elaborare informazioni da fonti esterne;

b)	se e in quale misura tali procedure riguardano i pertinenti sistemi europei di certificazione della cibersicurezza;

se e in quale misura la NCCA sottoposta a valutazione inter pares conduce le proprie indagini e se l’ambito delle indagini comprende gli obblighi dei fabbricanti di cui all’articolo 53, paragrafi 2 e 3, del regolamento (UE) 2019/881 e ai corrispondenti sistemi europei di certificazione della cibersicurezza;

d)	se esiste una procedura per lo scambio di informazioni tra le attività di certificazione e le attività di vigilanza della NCCA sottoposta a valutazione inter pares rilevanti per il monitoraggio e l’applicazione degli obblighi che incombono ai fabbricanti o ai fornitori.

II.4 Monitoraggio, autorizzazione e vigilanza degli organismi di valutazione della conformità

Nel valutare le procedure della NCCA sottoposta a valutazione inter pares per il monitoraggio, l’autorizzazione e la vigilanza delle attività degli organismi di valutazione della conformità di cui all’articolo 59, paragrafo 3, lettera d), del regolamento (UE) 2019/881, la valutazione inter pares esamina almeno gli aspetti seguenti:

a)	la qualità e il livello di dettaglio della descrizione di tali procedure e la misura in cui sono documentate, anche ai fini della cooperazione con l’organismo nazionale di accreditamento;

b)	le statistiche principali sul numero di autorizzazioni concesse, sospese o revocate, sul numero totale di organismi di valutazione della conformità in attività, sul numero di certificati rilasciati e sul numero di azioni correttive adottate dalla NCCA sottoposta a valutazione inter pares;

se la NCCA sottoposta a valutazione inter pares consente il rilascio di certificati europei di cibersicurezza di livello «elevato» previa approvazione o sulla base di una delega generale del compito di cui all’articolo 56, paragrafo 6, del regolamento (UE) 2019/881, la perizia del personale e le procedure attraverso le quali la NCCA sottoposta a valutazione inter pares monitora e vigila le attività degli organismi di valutazione della conformità.