1. Cada Estado-Membro adota uma estratégia nacional de cibersegurança que estabeleça os objetivos estratégicos, os recursos necessários para atingir esses objetivos e as medidas políticas e regulamentares adequadas, com vista a alcançar e a manter um elevado nível de cibersegurança. A estratégia nacional de cibersegurança inclui:
|
a) |
Os objetivos e prioridades da estratégia de cibersegurança do Estado-Membro, abrangendo, em especial, os setores referidos nos anexos I e II; |
|
b) |
Um quadro de governação para cumprir os objetivos e prioridades referidos na alínea a) do presente número, incluindo as políticas referidas no n.o 2; |
|
c) |
Um quadro de governação que clarifique as funções e responsabilidades das partes interessadas pertinentes a nível nacional, que consolide a cooperação e coordenação a nível nacional entre as autoridades competentes, os pontos de contacto únicos e as CSIRT ao abrigo da presente diretiva, bem como a coordenação e cooperação entre esses organismos e as autoridades competentes ao abrigo de atos jurídicos setoriais da União; |
|
d) |
Um mecanismo para identificar ativos pertinentes e uma avaliação dos riscos nesse Estado-Membro; |
|
e) |
A identificação das medidas de preparação, de resposta e de recuperação em caso de incidentes, incluindo a cooperação entre os setores público e privado; |
|
f) |
Uma lista das diversas autoridades e partes interessadas envolvidas na execução da estratégia nacional de cibersegurança; |
|
g) |
Um quadro político para o reforço da cooperação entre as autoridades competentes nos termos da presente diretiva e as autoridades competentes nos termos da Diretiva (UE) 2022/2557 para efeitos de partilha de informações sobre riscos, ciberameaças, e incidentes, bem como riscos, ameaças e incidentes não cibernéticos, e do exercício de funções de supervisão, conforme adequado; |
|
h) |
Um plano, incluindo as medidas necessárias, para reforçar o nível geral de sensibilização dos cidadãos para a cibersegurança. |
2. No âmbito da estratégia nacional de cibersegurança, os Estados-Membros devem adotar, em especial, políticas:
|
a) |
Sobre a cibersegurança na cadeia de abastecimento de produtos de TIC e serviços de TIC utilizados pelas entidades na prestação dos seus serviços; |
|
b) |
Sobre a inclusão e a especificação de requisitos em matéria de cibersegurança aplicáveis a produtos de TIC e serviços de TIC nos procedimentos de contratação pública, incluindo no que respeita à certificação de cibersegurança, à cifragem e à utilização de produtos de cibersegurança de fonte aberta; |
|
c) |
Que assegurem a gestão das vulnerabilidades, incluindo a promoção e a facilitação da divulgação coordenada de vulnerabilidades nos termos do artigo 12.o, n.o 1; |
|
d) |
Sobre a manutenção da disponibilidade geral, da integridade e da confidencialidade do núcleo público da Internet aberta, incluindo, quando pertinente, a cibersegurança dos cabos submarinos de comunicações; |
|
e) |
Que promovam o desenvolvimento e a integração de tecnologias avançadas relevantes que visem a aplicação de medidas de vanguarda em matéria de gestão dos riscos de cibersegurança; |
|
f) |
Que promovam e desenvolvam a educação e a formação em cibersegurança, as competências no domínio da cibersegurança, a sensibilização e as iniciativas de investigação e desenvolvimento no domínio da cibersegurança, bem como orientações sobre boas práticas e controlos em matéria de ciber-higiene, destinadas aos cidadãos, às partes interessadas e às entidades; |
|
g) |
Que apoiem as instituições académicas e de investigação no desenvolvimento, na melhoria e na promoção da implantação de ferramentas de cibersegurança e de infraestruturas de redes seguras; |
|
h) |
Que incluam procedimentos relevantes e ferramentas adequadas de partilha de informações para apoiar a partilha voluntária de informações sobre cibersegurança entre as entidades, em conformidade com o direito da União; |
|
i) |
Que reforcem a ciber-resiliência e a base de referência em matéria de ciber-higiene das pequenas e médias empresas, especialmente das que estão excluídas do âmbito da presente diretiva, através da disponibilização de orientações e assistência facilmente acessíveis e adaptados às suas necessidades específicas; |
|
j) |
Que promovam a ciberproteção ativa. |
3. Os Estados-Membros devem notificar as suas estratégias nacionais de cibersegurança à Comissão no prazo de três meses a contar da sua adoção. Os Estados-Membros podem excluir informações relacionadas com a sua segurança nacional dessas notificações.
4. Os Estados-Membros devem avaliar as suas estratégias nacionais de cibersegurança com regularidade e, pelo menos, de cinco em cinco anos com base em indicadores-chave de desempenho e, quando necessário, devem atualizá-las. A pedido dos Estados-Membros, a ENISA deve ajudá-los a formular ou a atualizar a estratégia nacional de cibersegurança e indicadores-chave de desempenho para a avaliação dessa estratégia, a fim de a alinhar com os requisitos e obrigações estabelecidos na presente diretiva.
