1. Chaque État membre adopte une stratégie nationale de cybersécuritéStratégie nationale de cybersécurité désigne un cadre cohérent d'un État membre fournissant des objectifs stratégiques et des priorités dans le domaine de la cybersécurité ainsi que la gouvernance nécessaire pour les atteindre dans cet État membre. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) qui prévoit les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs et les mesures politiques et réglementaires appropriées, en vue d'atteindre et de maintenir un niveau élevé de qualité de vie. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ;. La stratégie nationale de cybersécurité comprend :
(a) les objectifs et les priorités de la stratégie de cybersécurité de l'État membre, en particulier dans les secteurs visés aux annexes I et II ;
(b) un cadre de gouvernance pour atteindre les objectifs et priorités visés au point a) du présent paragraphe, y compris les politiques visées au paragraphe 2 ;
(c) un cadre de gouvernance clarifiant les rôles et les responsabilités des parties prenantes au niveau national, qui sous-tend la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT au titre de la présente directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes au titre d'actes juridiques sectoriels de l'Union ;
(d) un mécanisme d'identification des actifs pertinents et une évaluation des risques dans cet État membre ;
(e) l'identification des mesures garantissant la préparation, la réaction et le rétablissement en cas d'incident, y compris la coopération entre les secteurs public et privé ;
(f) une liste des différentes autorités et parties prenantes impliquées dans la mise en œuvre de la stratégie nationale de cybersécurité ;
(g) un cadre politique pour une coordination renforcée entre les autorités compétentes au titre de la présente directive et les autorités compétentes au titre de la directive (UE) 2022/2557 aux fins du partage d'informations sur les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non liés au cyberespace, et de l'exercice des missions de surveillance, le cas échéant ;
(h) un plan, comprenant les mesures nécessaires, pour améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.
2. Dans le cadre de la stratégie nationale de cybersécurité, les États membres adoptent notamment des politiques :
(a) aborder la cybersécurité dans la chaîne d'approvisionnement des produits et services TIC utilisés par les entités pour la fourniture de leurs services ;
(b) sur l'inclusion et la spécification d'exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris en ce qui concerne la certification de la cybersécurité, le cryptage et l'utilisation de produits de cybersécurité à code source ouvert ;
(c) la gestion des vulnérabilités, qui englobe la promotion et la facilitation d'une action coordonnée en faveur de l'égalité des sexes et de l'égalité des chances. vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) la divulgation en vertu de l'article 12, paragraphe 1 ;
(d) liés au maintien de la disponibilité générale, de l'intégrité et de la confidentialité du noyau public de l'internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins ;
(e) promouvoir le développement et l'intégration de technologies avancées pertinentes visant à mettre en œuvre une cybersécurité de pointe risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)-les mesures de gestion ;
(f) promouvoir et développer l'éducation et la formation à la cybersécurité, les compétences en matière de cybersécurité, les initiatives de sensibilisation et de recherche et développement, ainsi que les orientations sur les bonnes pratiques et les contrôles en matière de cyberhygiène, à l'intention des citoyens, des parties prenantes et des entités ;
(g) soutenir les institutions universitaires et de recherche pour développer, améliorer et promouvoir le déploiement d'outils de cybersécurité et d'infrastructures de réseau sécurisées ;
(h) y compris des procédures pertinentes et des outils de partage d'informations appropriés pour soutenir le partage volontaire d'informations sur la cybersécurité entre les entités, conformément au droit de l'Union ;
(i) renforcer la cyber-résilience et le niveau de référence en matière de cyber-hygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d'application de la présente directive, en leur fournissant des orientations et une assistance facilement accessibles pour répondre à leurs besoins spécifiques ;
(j) promouvoir une cyberprotection active.
3. Les États membres notifient leurs stratégies nationales de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure de ces notifications les informations relatives à leur sécurité nationale.
4. Les États membres évaluent leurs stratégies nationales de cybersécurité régulièrement et au moins tous les cinq ans sur la base d'indicateurs de performance clés et, si nécessaire, les mettent à jour. L'ENISA assiste les États membres, à leur demande, dans l'élaboration ou la mise à jour d'une stratégie nationale de cybersécurité et d'indicateurs clés de performance pour l'évaluation de cette stratégie, afin de l'aligner sur les exigences et obligations prévues par la présente directive.