                               Art. 21 
 
                   Procedura di revisione tra pari 
 
  1. L'Autorita'  nazionale  competente  NIS  puo'  partecipare  alla
procedura di  revisione  tra  pari,  di  cui  all'articolo  19  della
direttiva  (UE)  2022/2555,  nel  quadro  della  metodologia  di  cui
all'articolo 18, comma 4, lettera m), del presente decreto: 
    a)  richiedendo  l'esecuzione  di  una  revisione  tra  pari   in
relazione all'attuazione della direttiva  (UE)  2022/2555  a  livello
nazionale; 
    b) indicando  uno  o  piu'  rappresentanti  dell'Agenzia  per  la
cybersicurezza nazionale o  delle  Autorita'  di  settore  NIS  quali
esperti di sicurezza informatica, di cui all'articolo  19,  paragrafo
2, della direttiva (UE) 2022/2555, per eseguire  revisioni  tra  pari
presso altri  Stati  membri,  su  richiesta  di  questi  ultimi,  nel
rispetto dei codici di condotta di  cui  all'articolo  18,  comma  4,
lettera m), del presente decreto. Eventuali rischi  di  conflitto  di
interessi riguardanti gli esperti di sicurezza informatica  designati
sono condivisi con gli altri Stati membri, il Gruppo di  cooperazione
NIS,  la  Commissione  europea  e  l'ENISA  prima  dell'inizio  della
revisione tra pari. 
  2. Ai fini di cui al comma 1,  lettera  a),  l'Autorita'  nazionale
competente NIS, con le modalita' di cui  all'articolo  40,  comma  5,
alinea: 
    a) provvede a identificare almeno un aspetto da  sottoporre  alla
revisione tra pari tra i seguenti: 
      1) il livello di attuazione degli obblighi in materia di misure
di gestione del rischio e di notifica degli  incidenti  di  cui  agli
articoli 24 e 25; 
      2) il livello delle capacita', comprese le risorse finanziarie,
tecniche e umane disponibili, e  l'efficacia  dello  svolgimento  dei
compiti dell'Autorita' medesima; 
      3) le capacita' operative del CSIRT Italia; 
      4) lo stato di  attuazione  dell'assistenza  reciproca  di  cui
all'articolo 39; 
      5) lo stato di attuazione degli  accordi  per  la  condivisione
delle  informazioni  in  materia  di  sicurezza  informatica  di  cui
all'articolo 17; 
      6)  questioni   specifiche   di   natura   transfrontaliera   o
intersettoriale; 
    b) notifica, prima dell'inizio della  revisione  tra  pari,  agli
Stati membri partecipanti, l'ambito di applicazione  della  medesima,
comprese le questioni specifiche individuate; 
    c)  effettua,  se  del  caso,  un'autovalutazione  degli  aspetti
oggetto della revisione; 
    d) seleziona, tra gli esperti di sicurezza  informatica  indicati
dagli  altri  Stati  membri  partecipanti,  gli  esperti  idonei   da
designare. Qualora l'Autorita' nazionale competente  NIS  si  opponga
alla designazione di uno o piu' esperti indicati, comunica allo Stato
membro indicante i motivi debitamente giustificati; 
    e) fornisce, se del caso, l'autovalutazione di cui  alla  lettera
c) agli esperti designati di cui alla lettera d); 
    f) fornisce agli esperti designati di  cui  alla  lettera  d)  le
informazioni necessarie per la valutazione, anche con visite in  loco
fisiche o virtuali, nonche' scambi di informazioni a distanza; 
    g) formula, se del caso, osservazioni sulla  relazione  elaborata
dagli esperti designati di cui alla lettera d); 
    h) puo' decidere di rendere pubblica la relazione elaborata dagli
esperti designati di cui alla lettera d), alla quale  sono  allegate,
in tutto o in parte, le osservazioni di cui alla lettera g). 
  3. Ai fini di cui al comma 1, lettera b), gli esperti di  sicurezza
informatica indicati dall'Autorita' nazionale competente NIS: 
    a) non divulgano a terzi le eventuali  informazioni  sensibili  o
riservate  ottenute  nel  corso  delle  revisioni  tra  pari  a   cui
partecipano; 
    b) partecipano alle attivita' necessarie allo  svolgimento  delle
revisioni tra pari tramite visite in loco fisiche o virtuali e scambi
di informazioni a distanza; 
    c) contribuiscono all'elaborazione delle relazioni sui  risultati
e sulle conclusioni delle revisioni tra pari. 
  4.  La  condivisione  delle  informazioni  ai  sensi  del  presente
articolo e' effettuata nel rispetto della  legislazione  nazionale  o
dell'Unione europea in materia di tutela delle informazioni  protette
da  classifica  di  segretezza  e  di  salvaguardia  delle   funzioni
essenziali dello Stato, ivi inclusa la sicurezza nazionale.

          Note all'art. 21: 
              - Per  i  riferimenti  alla  direttiva  (UE)  2022/2555
          misure per un  livello  comune  elevato  di  cibersicurezza
          nell'Unione,  recante  modifica  del  regolamento  (UE)  n.
          910/2014 e della direttiva (UE) 2018/1972 e che  abroga  la
          direttiva (UE) 2016/1148 (direttiva NIS 2)  si  veda  nelle
          note alle premesse.