Art. 40. 1. CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowe i minister właściwy do spraw informatyzacji przetwarzają informacje stanowiące tajemnice prawnie chronione, w tym stanowiące tajemnicę przedsiębiorstwa, gdy jest to konieczne dla realizacji zadań, o których mowa w ustawie. 2. CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe przekazują informacje, o których mowa w ust. 1, organom ścigania w związku z incydentem wyczerpującym znamiona przestępstwa. 3. CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe obowiązane są do zachowania w tajemnicy informacji, w tym informacji stanowiących tajemnice prawnie chronione, uzyskanych w związku z realizacją zadań, o których mowa w ustawie.

Art. 40a. 1. CSIRT MON, CSIRT NASK, CSIRT GOV, CSIRT sektorowy i organy właściwe do spraw cyberbezpieczeństwa mogą, w porozumieniu z Pełnomocnikiem, uczestniczyć w procesie oceny wzajemnej, w celu wymiany doświadczeń, zwiększania wzajemnego zaufania pomiędzy organami z różnych państw, osiągnięcia wysokiego, wspólnego poziomu cyberbezpieczeństwa, a także zwiększenia kluczowych zdolności państw członkowskich Unii Europejskiej w zakresie cyberbezpieczeństwa i doskonalenia ich polityki w tej dziedzinie. 2. Ocena wzajemna jest przeprowadzana przez ekspertów do spraw cyberbezpieczeństwa wyznaczonych na podstawie metodyki obejmującej obiektywne, niedyskryminacyjne, sprawiedliwe i przejrzyste kryteria jako uprawnionych do prowadzenia ocen wzajemnych. 3. Ocena wzajemna może obejmować:
1) stopień wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązków dotyczących zgłaszania incydentów;
2) poziom zdolności, w tym dostępne zasoby finansowe, techniczne i ludzkie, oraz skuteczność wykonywania zadań przez właściwe organy;
3) zdolność operacyjną CSIRT;
4) poziom wdrożenia wzajemnej pomocy;
5) poziom wdrożenia ustaleń dotyczących mechanizmów wymiany informacji na temat cyberbezpieczeństwa;
6) szczególne zagadnienia transgraniczne lub międzysektorowe. 4. W ramach procesu oceny wzajemnej podmioty, o których mowa w ust. 1, mogą przekazywać wyznaczonym przez inne państwa członkowskie Unii Europejskiej ekspertom do spraw cyberbezpieczeństwa informacje dotyczące funkcjonowania tych podmiotów, z uwzględnieniem przepisów o tajemnicach prawnie chronionych. 5. Pełnomocnik może wskazać innym państwom członkowskim Unii Europejskiej uczestniczącym w ocenie wzajemnej szczególne zagadnienia transgraniczne lub międzysektorowe, które należy uwzględnić w ocenie wzajemnej. 6. Pełnomocnik informuje inne państwa członkowskie Unii Europejskiej uczestniczące w ocenie wzajemnej o zakresie oceny wzajemnej przeprowadzanej w Rzeczypospolitej Polskiej. 7. W porozumieniu z Pełnomocnikiem podmioty, o których mowa w ust. 1, mogą przeprowadzić ocenę, o której mowa w ust. 3, dotyczącą krajowego systemu cyberbezpieczeństwa i przedstawić jej wyniki ekspertom z innych państw uczestniczących w ocenie wzajemnej. Ocenę tę przeprowadza się zgodnie z metodyką przyjętą przez Grupę Współpracy. 8. Oceny wzajemnej nie przeprowadza się w terminie 2 lat od sporządzenia sprawozdania z poprzedniej oceny wzajemnej, jeżeli dotyczy tego samego zakresu. Ocena wzajemna dotycząca tego samego zakresu może być przeprowadzona, jeżeli Pełnomocnik zwróci się o to do innego państwa członkowskiego Unii Europejskiej lub państwa członkowskie Unii Europejskiej uzgodnią to w ramach Grupy Współpracy. 9. Pełnomocnik może sprzeciwić się przeprowadzeniu oceny wzajemnej przez konkretnych ekspertów z innego państwa członkowskiego Unii Europejskiej, jeżeli występuje konflikt interesów. 10. Eksperci do spraw cyberbezpieczeństwa, wyznaczeni przez podmioty, o których mowa w ust. 1, uczestniczący w ocenie wzajemnej sporządzają sprawozdanie z oceny wzajemnej, które zatwierdza Pełnomocnik. Sprawozdanie zawiera podsumowanie czynności podjętych w ramach oceny wzajemnej oraz zalecenia. Sprawozdanie udostępnia się innym państwom członkowskim Unii Europejskiej uczestniczącym w ocenie wzajemnej oraz organom właściwym do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK i CSIRT GOV. 11. Pełnomocnik może udostępnić sprawozdanie Grupie Współpracy lub Sieci CSIRT. Sprawozdanie to może zostać opublikowane w Biuletynie Informacji Publicznej Pełnomocnika w zakresie, w jakim nie zawiera informacji stanowiących tajemnice prawnie chronione. Rozdział 8 Organy właściwe do spraw cyberbezpieczeństwa