1. Cada Estado miembro adoptará una estrategia nacional de ciberseguridad en la que se establecerán los objetivos estratégicos, los recursos necesarios para alcanzar esos objetivos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de ciberseguridad. La estrategia nacional de ciberseguridad incluirá:
|
a) |
objetivos y prioridades de la estrategia de ciberseguridad del Estado miembro que abarque, en particular, los sectores mencionados en los anexos I y II; |
|
b) |
un marco de gobernanza para lograr los objetivos y prioridades mencionados en la letra a) del presente apartado, incluidas las políticas a que se refiere el apartado 2; |
|
c) |
un marco de gobernanza que aclare las funciones y responsabilidades de las partes interesadas pertinentes a nivel nacional, que sustente la cooperación y la coordinación a nivel nacional entre las autoridades competentes, los puntos de contacto únicos y los CSIRT con arreglo a la presente Directiva, así como la coordinación y la cooperación entre dichos organismos y las autoridades competentes con arreglo a actos jurídicos sectoriales de la Unión; |
|
d) |
un mecanismo para identificar los activos pertinentes y una evaluación de los riesgos de ciberseguridad en ese Estado miembro; |
|
e) |
una identificación de las medidas para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes, incluida la cooperación entre los sectores público y privado; |
|
f) |
una lista de las diversas partes interesadas y autoridades que participan en la ejecución de la estrategia nacional de ciberseguridad; |
|
g) |
un marco político para la coordinación reforzada entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 a efectos del intercambio de información sobre riesgos, ciberamenazas e incidentes así como sobre riesgos, amenazas e incidentes no relacionados con la ciberseguridad y el ejercicio de las funciones de supervisión, según proceda; |
|
h) |
un plan, incluidas las medidas necesarias, para elevar el nivel general de concienciación de los ciudadanos en materia de ciberseguridad. |
2. En el marco de la estrategia nacional de ciberseguridad, los Estados miembros adoptarán, en particular, políticas:
|
a) |
para abordar la ciberseguridad en la cadena de suministro de productos y servicios de TIC utilizados por las entidades para la prestación de sus servicios; |
|
b) |
sobre la inclusión y especificación de los requisitos en materia de ciberseguridad aplicables a los productos de TIC y los servicios de TIC en la contratación pública, incluidos los requisitos relativos a la certificación de ciberseguridad, al cifrado y al uso de productos de ciberseguridad de código abierto; |
|
c) |
de gestión de las vulnerabilidades, incluidas la promoción y facilitación de una divulgación coordinada de vulnerabilidades con arreglo al artículo 12, apartado 1; |
|
d) |
para mantener la disponibilidad general, la integridad y la confidencialidad del núcleo público de la internet abierta, incluida la ciberseguridad, cuando proceda, de los cables submarinos de comunicaciones; |
|
e) |
de promoción del desarrollo y la integración de las tecnologías avanzadas pertinentes destinadas a aplicar medidas de gestión de riesgos de ciberseguridad de última generación; |
|
f) |
de promoción y desarrollo de la educación y la formación en materia de ciberseguridad, capacidades de ciberseguridad, sensibilización e iniciativas de investigación y desarrollo, así como orientaciones sobre buenas prácticas y controles en materia de ciberhigiene, destinadas a los ciudadanos, las partes interesadas y las entidades; |
|
g) |
de apoyo a las instituciones académicas y de investigación para el desarrollo, la mejora y la implantación de herramientas de ciberseguridad e infraestructuras de red seguras; |
|
h) |
sobre los procedimientos pertinentes y las herramientas apropiadas para compartir información en apoyo del intercambio voluntario de información sobre ciberseguridad entre las entidades, de conformidad con el Derecho de la Unión; |
|
i) |
de refuerzo de la ciberresiliencia y la base de referencia en materia de ciberhigiene de las pequeñas y medianas empresas, especialmente de las excluidas del ámbito de aplicación de la presente Directiva, proporcionando orientaciones y apoyo de fácil acceso para sus necesidades específicas; |
|
j) |
de promoción de la ciberprotección activa. |
3. Los Estados miembros notificarán sus estrategias nacionales de ciberseguridad a la Comisión en el plazo de tres meses a partir de su adopción. Los Estados miembros podrán excluir de tal notificación información relativa a su seguridad nacional.
4. Los Estados miembros evaluarán sus estrategias nacionales de ciberseguridad periódicamente y al menos cada cinco años en función de unos indicadores de rendimiento clave, y las actualizarán cuando proceda. La ENISA prestará asistencia los Estados miembros, cuando estos así lo soliciten, a la hora de elaborar o actualizar una estrategia nacional de ciberseguridad y de indicadores clave de rendimiento para su evaluación, con el fin de adaptarla a los requisitos y obligaciones establecidos en la presente Directiva.
