1. Os Estados-Membros devem designar ou criar uma ou várias autoridades competentes responsáveis pela gestão de crises e de incidentes de cibersegurança em grande escala (autoridades de gestão de cibercrises). Os Estados-Membros devem assegurar que essas autoridades dispõem dos recursos necessários para desempenhar, de forma eficaz e eficiente, as suas funções. Os Estados-Membros devem assegurar a coerência com os quadros existentes de gestão geral de crises a nível nacional.
2. Caso um Estado-Membro designe ou crie mais do que uma autoridade de gestão de cibercrises referida no n.o 1, deve indicar claramente qual dessas autoridades assume o papel de coordenadora para a gestão de crises e de incidentes de cibersegurança em grande escala.
3. Cada Estado-Membro deve identificar capacidades, ativos e procedimentos passíveis de utilização em caso de crise, para os efeitos da presente diretiva.
4. Cada Estado-Membro deve adotar um plano nacional de resposta a crises e a incidentes de cibersegurança em grande escala que estabeleça os objetivos e as modalidades de gestão de crises e de incidentes de cibersegurança em grande escala. Esse plano deve estabelecer, nomeadamente:
|
a) |
Os objetivos das atividades e medidas nacionais de preparação; |
|
b) |
As funções e responsabilidades das autoridades de gestão de cibercrises; |
|
c) |
Os procedimentos de gestão de cibercrises, incluindo a sua integração no quadro geral de gestão de crises e canais de intercâmbio de informações; |
|
d) |
Medidas nacionais de preparação, incluindo exercícios e atividades de formação; |
|
e) |
As partes interessadas pertinentes dos setores público e privado e infraestruturas envolvidas; |
|
f) |
Os procedimentos nacionais e acordos entre as autoridades e os organismos nacionais competentes para assegurar o apoio do Estado-Membro e a sua participação efetiva na gestão coordenada de crises e incidentes de cibersegurança em grande escala a nível da União. |
5. No prazo de três meses a contar da designação ou criação da autoridade de gestão de cibercrises a que se refere o n.o 1, cada Estado-Membro deve notificar a Comissão da identidade da sua autoridade e de quaisquer alterações subsequentes da mesma. Os Estados-Membros devem apresentar à Comissão e à Rede Europeia de Organizações de Coordenação de Cibercrises (UE-CyCLONe) informações pertinentes sobre os requisitos do n.o 4 sobre os respetivos planos nacionais de resposta a crises e incidentes de cibersegurança em grande escala no prazo de três meses a contar da adoção desses planos. Os Estados-Membros podem excluir informações, na medida em que essa exclusão seja necessária para salvaguardar a sua segurança nacional.
