1.   Medsebojni strokovni pregledi nacionalnih certifikacijskih organov za kibernetsko varnost (v nadaljnjem besedilu: organi NCCA (national cybersecurity certification authorities)) se izvedejo v skladu s časovnim razporedom iz Priloge I. Vsak medsebojni strokovni pregled mora biti izveden do datuma, navedenega v tem razporedu, in se nato izvaja vsakih pet let.

2.   V izjemnih okoliščinah lahko NCCA, pri katerem se izvaja medsebojni strokovni pregled, Komisiji predloži ustrezno utemeljeno zahtevo za odložitev tega postopka medsebojnega strokovnega pregleda na poznejši datum, kot je naveden v razporedu iz Priloge I. Komisija v sodelovanju z evropsko certifikacijsko skupino za kibernetsko varnost, ustanovljeno s členom 62 Uredbe (EU) 2019/881, oceni zahtevo in o rezultatu pravočasno obvesti vse zadevne strani.

3.   Kadar država članica v skladu s členom 58(1) Uredbe (EU) 2019/881 imenuje:

4.   Agencija Evropske unije za kibernetsko varnost (ENISA) na spletišču o evropskih certifikacijskih shemah za kibernetsko varnost, vzpostavljenem v skladu s členom 50 Uredbe (EU) 2019/881, objavi naslednje informacije:

5.   Vsak organ NCCA, vključen v postopek medsebojnega strokovnega pregleda, krije svoje stroške sodelovanja.

1.   V skladu s členom 59(4) Uredbe (EU) 2019/881 vsak medsebojni strokovni pregled izvedeta dva organa NCCA iz drugih držav članic in Komisije. Organi NCCA vsake države članice sodelujejo pri medsebojnem strokovnem pregledu vsaj dveh organov NCCA v vsakem obdobju iz Priloge I.

2.   Organi NCCA drugih držav članic lahko pri medsebojnem strokovnem pregledu sodelujejo kot opazovalci z enim ali več predstavniki, če se s tem strinjajo organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, organa NCCA, ki izvajata medsebojni strokovni pregled, in Komisija.

3.   En predstavnik agencije ENISA lahko sodeluje pri medsebojnem strokovnem pregledu kot opazovalec. Sodelujejo lahko tudi dodatni predstavniki, če se s tem strinjajo organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, organa NCCA, ki izvajata medsebojni strokovni pregled, in Komisija.

4.   Opazovalci imajo dostop do istih informacij kot drugi člani skupine za medsebojne strokovne preglede, vendar ne izvajajo nalog, povezanih z izvajanjem medsebojnega strokovnega pregleda.

5.   ENISA v sodelovanju s Komisijo in evropsko certifikacijsko skupino za kibernetsko varnost predlaga in vodi seznam organov NCCA, ki izvajajo medsebojne strokovne preglede v skladu s časovnim razporedom iz Priloge I. V danem letu agencija ENISA v sodelovanju s Komisijo pozove organe NCCA, da izrazijo interes za izvajanje medsebojnih strokovnih pregledov organov NCCA v skladu s časovnim razporedom iz Priloge I za naslednje leto ali za sodelovanje pri njih kot opazovalci.

6.   Kadar več kot dva NCCA izrazita interes za izvedbo medsebojnega strokovnega pregleda istega organa NCCA, se Komisija in agencija ENISA posvetujeta z zainteresiranimi organi NCCA in se odločita o udeležencih medsebojnega strokovnega pregleda.

7.   Kadar v danem letu ni dovolj organov NCCA, ki bi izrazili interes za izvajanje medsebojnih strokovnih pregledov, Komisija po posvetovanju z evropsko certifikacijsko skupino za kibernetsko varnost izbere organe NCCA za izvajanje medsebojnih strokovnih pregledov. Komisija pri izbiri upošteva obveznost organov NCCA vsake države članice iz odstavka 1, da sodelujejo pri medsebojnem strokovnem pregledu vsaj dveh organov NCCA.

1.   Vsak organ NCCA, ki izvaja medsebojni strokovni pregled, pravočasno pred začetkom medsebojnega strokovnega pregleda imenuje enega predstavnika za izvajanje medsebojnega strokovnega pregleda. Organi NCCA, ki izvajajo medsebojne strokovne preglede, lahko imenujejo več predstavnikov, kadar je to potrebno za zagotovitev, da ima skupina za medsebojne strokovne preglede potrebne kompetence za izvajanje teh pregledov.

2.   Predstavnik organov NCCA, ki izvajajo medsebojne strokovne preglede, razen predstavnikov organov NCCA, ki sodelujejo kot opazovalci, izpolnjuje naslednja merila:

3.   Organi NCCA, ki izvajajo medsebojne strokovne preglede, zagotovijo, da se vsako tveganje nasprotja interesov v zvezi z imenovanimi predstavniki razkrije drugim organom NCCA, Komisiji in agenciji ENISA pred začetkom postopka medsebojnega strokovnega pregleda. Organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, lahko v skladu z odstavkom 5 nasprotuje imenovanju posameznih predstavnikov.

4.   Organa NCCA, ki izvajata medsebojni strokovni pregled, izbereta iz svojih vrst predstavnika (v nadaljnjem besedilu: vodja skupine), ki usklajuje medsebojni strokovni pregled.

5.   Komisija organu NCCA, pri katerem se izvaja medsebojni strokovni pregled, pred začetkom postopka medsebojnega strokovnega pregleda predloži imena in kontaktne podatke predstavnikov organov NCCA, ki izvajata medsebojni strokovni pregled. Kadar želi organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, nasprotovati imenovanju enega ali več predstavnikov, v dveh tednih Komisiji predloži jasno utemeljitev, o tem obvesti agencijo ENISA in evropsko certifikacijsko skupino za kibernetsko varnost ter zahteva, da organ NCCA, ki izvaja medsebojni strokovni pregled, imenuje drugega predstavnika.

6.   Kadar postopek iz odstavka 5 povzroči neupravičene zamude pri začetku medsebojnega strokovnega pregleda zaradi izjemnih okoliščin, Komisija v posvetovanju z agencijo ENISA in evropsko certifikacijsko skupino za kibernetsko varnost odloči o sestavi skupine za medsebojne strokovne preglede.

1.   Pri medsebojnem strokovnem pregledu se ocenijo vidiki iz Priloge II v skladu s členom 59(3) Uredbe (EU) 2019/881.

2.   Agencija ENISA lahko v sodelovanju z evropsko certifikacijsko skupino za kibernetsko varnost in Komisijo pripravi predloge za oceno postopkov, ki jih vzpostavi organ NCCA, pri katerem se izvaja medsebojni strokovni pregled.

3.   Medsebojni strokovni pregled vključuje naslednje:

4.   O dolžini medsebojnega strokovnega pregleda se lahko vnaprej dogovorita skupina za medsebojne strokovne preglede in organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, odvisno od obsega in zapletenosti dejavnosti organa NCCA, pri katerem se izvaja medsebojni strokovni pregled. Obisk na kraju samem ne sme trajati dlje kot tri delovne dni.

5.   Če se skupina za medsebojne strokovne preglede, organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, in Komisija ne dogovorijo drugače, je jezik sodelovanja angleščina. Poročilo o medsebojnem strokovnem pregledu iz člena 5 se pripravi vsaj v angleščini.

6.   Organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, sodeluje s skupino za medsebojne strokovne preglede in ji zagotovi dostop do informacij in dokumentov, ki so potrebni za izvedbo medsebojnega strokovnega pregleda. Organ NCCA, pri katerem se izvaja medsebojni strokovni pregled, predloži vprašalnik za samooceno in zadnje letno zbirno poročilo, sprejeto v skladu s členom 58(7), točka (g), Uredbe (EU) 2019/881, vsaj 21 dni pred datumom obiska na kraju samem. Dodatni dokumenti se na zahtevo skupine za medsebojne strokovne preglede predložijo v sedmih dneh od prejema takih zahtev.

7.   Dokumenti se predložijo v angleščini, razen če je v skladu z odstavkom 5 dogovorjeno drugače. Kadar dokumenti niso na voljo v angleščini, lahko skupina za medsebojne strokovne preglede zahteva, da se dokumenti, potrebni za izvedbo medsebojnega strokovnega pregleda, prevedejo v angleščino.

8.   Pred pripravo poročila o medsebojnem strokovnem pregledu v skladu s členom 5 se skupina za medsebojne strokovne preglede o predhodnih ugotovitvah pogovori z organom NCCA, pri katerem se izvaja medsebojni strokovni pregled.

1.   Skupina za medsebojne strokovne preglede v 21 dneh po izvedbi medsebojnega strokovnega pregleda pripravi osnutek poročila o navedenem pregledu, ki vključuje podrobnosti o državi članici organa NCCA, pri katerem je bil izveden medsebojni strokovni pregled, organih NCCA, ki sta izvedla medsebojni strokovni pregled, Komisiji in morebitnih opazovalcih ter ugotovitve in zaključke medsebojnega strokovnega pregleda. Poročila vsebujejo priporočila za izboljšanje vidikov, zajetih v medsebojnem strokovnem pregledu.

2.   Agencija ENISA lahko v sodelovanju s Komisijo in evropsko certifikacijsko skupino za kibernetsko varnost pripravi predlogo za poročilo o medsebojnem strokovnem pregledu.

3.   Skupina za medsebojne strokovne preglede po pripravi osnutka poročila o medsebojnem strokovnem pregledu v skladu z odstavkom 1 ta osnutek predloži organu NCCA, pri katerem je bil izveden medsebojni strokovni pregled, da ta v 14 dneh poda pripombe. Skupina za medsebojne strokovne preglede oceni pripombe in jih po možnosti vključi v končno poročilo, da se zagotovi soglasje. V primeru nesoglasja se odgovor NCCA, pri katerem je bil izveden medsebojni strokovni pregled, priloži končnemu poročilu.

4.   Končno poročilo se v dveh mesecih od izvedbe medsebojnega strokovnega pregleda pošlje evropski certifikacijski skupini za kibernetsko varnost, vključno s povzetkom za objavo. V skladu s členom 59(6) Uredbe (EU) 2019/881 evropska certifikacijska skupina za kibernetsko varnost pregleda poročilo in potrdi njegov povzetek, ki se objavi na spletišču o evropskih certifikacijskih shemah za kibernetsko varnost, vzpostavljenem v skladu s členom 50 Uredbe (EU) 2019/881. Povzetek vključuje tudi odgovor organa NCCA, pri katerem je bil izveden medsebojni strokovni pregled, ali dele tega odgovora v dogovoru z navedenim organom NCCA.

5.   Skupina za medsebojne strokovne preglede anonimizira osebne podatke, ki jih je morda zbrala med medsebojnim strokovnim pregledom, preden poročilo o medsebojnem strokovnem pregledu razpošlje prejemnikom, ki niso del skupine za medsebojne strokovne preglede.

1.   Vse strani, ki so vključene v medsebojne strokovne preglede, spoštujejo zaupnost informacij in podatkov, pridobljenih pri opravljanju svojih nalog in dejavnosti, tako da varujejo zlasti:

2.   Skupina za medsebojne strokovne preglede zagotovi, da se z vsemi informacijami, pridobljenimi s postopkom medsebojnega strokovnega pregleda, ravna varno. Skupina za medsebojne strokovne preglede, vključno z vsemi opazovalci, po pripravi končnega poročila in povzetka iz člena 5(4) izbriše ali uniči vse dokumente, razen končnega poročila in povzetka, ki so bili zbrani ali ustvarjeni v postopku medsebojnega strokovnega pregleda.

3.   Agencija ENISA lahko ob upoštevanju obstoječih najboljših praks organov NCCA v sodelovanju z evropsko certifikacijsko skupino za kibernetsko varnost pripravi smernice za varno in zaupno komunikacijo.