1. Jeder Mitgliedstaat erlässt eine nationale Strategie für CybersicherheitNationale Cybersicherheitsstrategie Bezeichnet einen kohärenten Rahmen eines Mitgliedstaats, der strategische Ziele und Prioritäten im Bereich der Cybersicherheit sowie die Governance zu deren Erreichung in diesem Mitgliedstaat vorsieht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) die die strategischen Ziele, die zur Erreichung dieser Ziele erforderlichen Ressourcen und geeignete politische und regulatorische Maßnahmen vorsieht, um ein hohes Niveau an Sicherheit zu erreichen und zu erhalten CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881;. Die nationale Strategie für die Cybersicherheit umfasst Folgendes:
(a) Ziele und Prioritäten der Cybersicherheitsstrategie des Mitgliedstaats, die insbesondere die in den Anhängen I und II genannten Bereiche abdeckt;
(b) einen Governance-Rahmen zur Verwirklichung der unter Buchstabe a genannten Ziele und Prioritäten, einschließlich der in Absatz 2 genannten Politiken;
(c) einen Governance-Rahmen, der die Aufgaben und Zuständigkeiten der einschlägigen Akteure auf nationaler Ebene klärt und die Zusammenarbeit und Koordinierung auf nationaler Ebene zwischen den zuständigen Behörden, den einheitlichen Ansprechpartnern und den CSIRTs im Rahmen dieser Richtlinie sowie die Koordinierung und Zusammenarbeit zwischen diesen Stellen und den zuständigen Behörden im Rahmen sektorspezifischer Rechtsakte der Union unterstützt;
(d) einen Mechanismus zur Ermittlung relevanter Vermögenswerte und eine Bewertung der Risiken in diesem Mitgliedstaat;
(e) die Ermittlung der Maßnahmen, die die Vorbereitung auf, die Reaktion auf und die Wiederherstellung nach Zwischenfällen gewährleisten, einschließlich der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor;
(f) eine Liste der verschiedenen Behörden und Akteure, die an der Umsetzung der nationalen Cybersicherheitsstrategie beteiligt sind;
(g) einen politischen Rahmen für eine verstärkte Koordinierung zwischen den zuständigen Behörden im Rahmen dieser Richtlinie und den zuständigen Behörden im Rahmen der Richtlinie (EU) 2022/2557 zum Zwecke des Informationsaustauschs über Risiken, Cyber-Bedrohungen und -Vorfälle sowie über Nicht-Cyber-Risiken, -Bedrohungen und -Vorfälle und die Wahrnehmung von Aufsichtsaufgaben, soweit angemessen;
(h) einen Plan, einschließlich der erforderlichen Maßnahmen, zur Verbesserung des allgemeinen Niveaus der Sensibilisierung der Bürger für die Cybersicherheit.
2. Als Teil der nationalen Cybersicherheitsstrategie beschließen die Mitgliedstaaten insbesondere Maßnahmen:
(a) Berücksichtigung der Cybersicherheit in der Lieferkette für IKT-Produkte und IKT-Dienstleistungen, die von Auftraggebern für die Erbringung ihrer Dienstleistungen genutzt werden;
(b) über die Aufnahme und Spezifizierung von Anforderungen an die Cybersicherheit von IKT-Produkten und -Dienstleistungen in das öffentliche Beschaffungswesen, auch in Bezug auf die Cybersicherheitszertifizierung, die Verschlüsselung und die Verwendung von quelloffenen Cybersicherheitsprodukten;
(c) Management von Schwachstellen, einschließlich der Förderung und Erleichterung koordinierter SchwachstelleSchwachstelle Bezeichnet eine Schwäche, Anfälligkeit oder einen Fehler von IKT-Produkten oder IKT-Diensten, die durch eine Cyber-Bedrohung ausgenutzt werden können. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Offenlegung gemäß Artikel 12 Absatz 1;
(d) im Zusammenhang mit der Aufrechterhaltung der allgemeinen Verfügbarkeit, Integrität und Vertraulichkeit des öffentlichen Kerns des offenen Internets, gegebenenfalls einschließlich der Cybersicherheit von Unterseekabeln;
(e) Förderung der Entwicklung und Integration einschlägiger fortgeschrittener Technologien zur Umsetzung modernster Cybersicherheitsmaßnahmen RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)-Managementmaßnahmen;
(f) Förderung und Entwicklung von Bildungs- und Ausbildungsmaßnahmen in den Bereichen Cybersicherheit, Cybersicherheitsfähigkeiten, Sensibilisierungs-, Forschungs- und Entwicklungsinitiativen sowie von Leitlinien für gute Praktiken und Kontrollen im Bereich der Cyberhygiene, die sich an Bürger, Akteure und Einrichtungen richten;
(g) Unterstützung von Hochschul- und Forschungseinrichtungen bei der Entwicklung, Verbesserung und Förderung des Einsatzes von Instrumenten der Cybersicherheit und einer sicheren Netzinfrastruktur;
(h) einschließlich einschlägiger Verfahren und geeigneter Instrumente für den Informationsaustausch zur Unterstützung des freiwilligen Austauschs von Cybersicherheitsinformationen zwischen Einrichtungen im Einklang mit dem Unionsrecht;
(i) Stärkung der Cyber-Resilienz und der Grundlagen der Cyber-Hygiene kleiner und mittlerer Unternehmen, insbesondere derjenigen, die vom Anwendungsbereich dieser Richtlinie ausgeschlossen sind, durch Bereitstellung leicht zugänglicher Leitlinien und Unterstützung für ihre spezifischen Bedürfnisse;
(j) Förderung eines aktiven Cyberschutzes.
3. Die Mitgliedstaaten teilen der Kommission ihre nationalen Cybersicherheitsstrategien innerhalb von drei Monaten nach deren Annahme mit. Die Mitgliedstaaten können Informationen, die sich auf ihre nationale Sicherheit beziehen, von diesen Mitteilungen ausnehmen.
4. (4) Die Mitgliedstaaten bewerten ihre nationalen Cybersicherheitsstrategien regelmäßig, mindestens aber alle fünf Jahre, auf der Grundlage von zentralen Leistungsindikatoren und aktualisieren sie erforderlichenfalls. Die ENISA unterstützt die Mitgliedstaaten auf deren Ersuchen bei der Ausarbeitung oder Aktualisierung einer nationalen Cybersicherheitsstrategie und der zentralen Leistungsindikatoren für die Bewertung dieser Strategie, um sie mit den in dieser Richtlinie festgelegten Anforderungen und Verpflichtungen in Einklang zu bringen.