1. Cada Estado miembro adoptará un estrategia nacional de ciberseguridadEstrategia Nacional de Ciberseguridad Se refiere a un marco coherente de un Estado miembro que establece objetivos y prioridades estratégicos en el ámbito de la ciberseguridad y la gobernanza para alcanzarlos en dicho Estado miembro. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) que prevé los objetivos estratégicos, los recursos necesarios para alcanzarlos y las medidas políticas y reglamentarias adecuadas, con vistas a lograr y mantener un alto nivel de ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881;. La estrategia nacional de ciberseguridad incluirá:
(a) objetivos y prioridades de la estrategia de ciberseguridad del Estado miembro, que abarque en particular los sectores mencionados en los anexos I y II;
(b) un marco de gobernanza para alcanzar los objetivos y prioridades mencionados en la letra a) del presente apartado, incluidas las políticas mencionadas en el apartado 2;
(c) un marco de gobernanza que aclare las funciones y responsabilidades de las partes interesadas pertinentes a escala nacional, que sustente la cooperación y coordinación a escala nacional entre las autoridades competentes, las ventanillas únicas y los CSIRT en virtud de la presente Directiva, así como la coordinación y cooperación entre dichos organismos y las autoridades competentes en virtud de actos jurídicos sectoriales específicos de la Unión;
(d) un mecanismo para identificar los activos pertinentes y una evaluación de los riesgos en ese Estado miembro;
(e) una identificación de las medidas que garantizan la preparación, la capacidad de respuesta y la recuperación tras los incidentes, incluida la cooperación entre los sectores público y privado;
(f) una lista de las distintas autoridades y partes interesadas que participan en la aplicación de la estrategia nacional de ciberseguridad;
(g) un marco político para mejorar la coordinación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 a efectos del intercambio de información sobre riesgos, amenazas cibernéticas e incidentes, así como sobre riesgos, amenazas e incidentes no cibernéticos y el ejercicio de las tareas de supervisión, según proceda;
(h) un plan, que incluya las medidas necesarias, para mejorar el nivel general de concienciación de los ciudadanos en materia de ciberseguridad.
2. En el marco de la estrategia nacional de ciberseguridad, los Estados miembros adoptarán, en particular, políticas:
(a) abordar la ciberseguridad en la cadena de suministro de productos y servicios de TIC utilizados por las entidades para la prestación de sus servicios;
(b) sobre la inclusión y especificación de requisitos relacionados con la ciberseguridad para los productos y servicios de TIC en la contratación pública, incluso en relación con la certificación de ciberseguridad, el cifrado y el uso de productos de ciberseguridad de código abierto;
(c) la gestión de la vulnerabilidad, que incluye la promoción y facilitación de medidas coordinadas de vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) divulgación en virtud del apartado 1 del artículo 12;
(d) relacionadas con el mantenimiento de la disponibilidad general, la integridad y la confidencialidad del núcleo público de la Internet abierta, incluida, cuando proceda, la ciberseguridad de los cables de comunicaciones submarinos;
(e) promover el desarrollo y la integración de las tecnologías avanzadas pertinentes con el fin de aplicar la ciberseguridad más avanzada riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)-medidas de gestión;
(f) promover y desarrollar la educación y la formación en materia de ciberseguridad, las competencias en ciberseguridad, la sensibilización y las iniciativas de investigación y desarrollo, así como orientaciones sobre buenas prácticas y controles de ciberhigiene, dirigidas a los ciudadanos, las partes interesadas y las entidades;
(g) apoyar a las instituciones académicas y de investigación para que desarrollen, mejoren y promuevan el despliegue de herramientas de ciberseguridad e infraestructuras de red seguras;
(h) incluyendo los procedimientos pertinentes y las herramientas adecuadas de intercambio de información para apoyar el intercambio voluntario de información sobre ciberseguridad entre entidades de conformidad con el Derecho de la Unión;
(i) reforzar la ciberresiliencia y la base de ciberhigiene de las pequeñas y medianas empresas, en particular las excluidas del ámbito de aplicación de la presente Directiva, proporcionando orientación y asistencia fácilmente accesibles para sus necesidades específicas;
(j) promover la ciberprotección activa.
3. Los Estados miembros notificarán sus estrategias nacionales de ciberseguridad a la Comisión en un plazo de tres meses a partir de su adopción. Los Estados miembros podrán excluir de dichas notificaciones la información relacionada con su seguridad nacional.
4. Los Estados miembros evaluarán sus estrategias nacionales de ciberseguridad de forma periódica y al menos cada cinco años sobre la base de indicadores clave de rendimiento y, en caso necesario, las actualizarán. La ENISA asistirá a los Estados miembros que lo soliciten en la elaboración o actualización de una estrategia nacional de ciberseguridad y de indicadores clave de rendimiento para la evaluación de dicha estrategia, a fin de alinearla con los requisitos y obligaciones establecidos en la presente Directiva.