Article 7

Stratégie nationale en matière de cybersécurité

1.   Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend:

a)

les objectifs et priorités de la stratégie de l’État membre en matière de cybersécurité, couvrant en particulier les secteurs visés aux annexes I et II;

b)

un cadre de gouvernance visant à atteindre les objectifs et priorités visés au point a) du présent paragraphe, y compris les politiques visées au paragraphe 2;

c)

un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées au niveau national, et sur lequel reposent la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT en vertu de la présente directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union;

d)

un mécanisme visant à déterminer les actifs pertinents et une évaluation des risques dans cet État membre;

e)

un inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé;

f)

une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité;

g)

un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) 2022/2557 aux fins du partage d’informations relatives aux risques, aux menaces et aux incidents dans les domaines cyber et non cyber et de l’exercice des tâches de supervision, le cas échéant;

h)

un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.

2.   Dans le cadre de la stratégie nationale en matière de cybersécurité, les États membres adoptent notamment des politiques portant sur les éléments suivants:

a)

la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités pour la fourniture de leurs services;

b)

l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris concernant la certification de cybersécurité, le chiffrement et l’utilisation de produits de cybersécurité en sources ouvertes;

c)

la gestion des vulnérabilités, y compris la promotion et la facilitation de la divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1;

d)

le maintien de la disponibilité générale, de l’intégrité et de la confidentialité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins;

e)

la promotion du développement et de l’intégration de technologies avancées pertinentes visant à mettre en œuvre des mesures de pointe dans la gestion des risques en matière de cybersécurité;

f)

la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités;

g)

le soutien aux institutions universitaires et de recherche visant à développer, améliorer et promouvoir le déploiement des outils de cybersécurité et à sécuriser les infrastructures de réseau;

h)

la mise en place de procédures pertinentes et d’outils de partage d’informations appropriés visant à soutenir le partage volontaire d’informations sur la cybersécurité entre les entités conformément au droit de l’Union;

i)

le renforcement des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente directive, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques;

j)

la promotion d’une cyberprotection active.

3.   Les États membres notifient leur stratégie nationale en matière de cybersécurité à la Commission dans un délai de trois mois suivant leur adoption. Les États membres peuvent exclure de ces notifications les informations relatives à leur sécurité nationale.

4.   Les États membres évaluent régulièrement leur stratégie nationale en matière de cybersécurité, et au moins tous les cinq ans, sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’ENISA aide les États membres, à leur demande, à élaborer ou actualiser une stratégie nationale en matière de cybersécurité et des indicateurs clés de performance aux fins de l’évaluation de cette stratégie, afin de l’aligner sur les exigences et les obligations prévues par la présente directive.

FAQ

Une stratégie nationale de cybersécurité est un plan officiel établi par chaque pays membre de l’Union européenne visant à garantir un haut niveau de sécurité numérique. Elle définit clairement les objectifs principaux, les moyens nécessaires pour atteindre ces objectifs, les responsabilités des acteurs concernés, ainsi que les actions et politiques précises à mettre en œuvre pour répondre efficacement aux menaces en ligne et sécuriser ainsi les citoyens, les services publics et privés face aux risques cybernétiques.
La stratégie implique divers acteurs comme les autorités compétentes nationales, les équipes de réponse aux incidents (CSIRT), les points de contact officiels ainsi que les entreprises privées et les citoyens eux-mêmes. Ces parties prenantes jouent chacune un rôle précis dans la prévention, la gestion des incidents et la récupération après une attaque, et une bonne coordination entre tous ces acteurs est indispensable pour garantir une protection efficace contre les cybermenaces.
La stratégie prévoit un soutien particulier aux petites et moyennes entreprises (PME), qui peuvent être vulnérables aux risques cyber mais ne sont pas toujours couvertes par les règles. Ce soutien comprend des conseils pratiques, des recommandations adaptées, des informations claires et facilement accessibles afin d’aider concrètement ces PME à améliorer leur protection numérique, à développer de bonnes habitudes de sécurité et à renforcer ainsi leur résistance face aux attaques informatiques.
Il est très important d’évaluer régulièrement cette stratégie, au moins tous les cinq ans, afin qu’elle reste efficace face aux nouvelles menaces qui évoluent sans cesse. Ces évaluations périodiques aident le pays à mesurer les résultats obtenus grâce à des indicateurs précis, à détecter les lacunes éventuelles, à adapter au besoin les objectifs fixés et à garantir ainsi une protection optimale et actualisée des citoyens, des services, et des infrastructures critiques contre les cybermenaces.

Formation NIS2

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!