1. Ogni Stato membro adotta un strategia nazionale di cybersicurezzaStrategia nazionale di sicurezza informatica Si intende un quadro coerente di uno Stato membro che fornisce obiettivi e priorità strategiche nel settore della cibersicurezza e la governance per raggiungerli in tale Stato membro. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) che prevede gli obiettivi strategici, le risorse necessarie per raggiungere tali obiettivi e le misure politiche e normative appropriate, al fine di raggiungere e mantenere un elevato livello di qualità. sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881;. La strategia nazionale di cybersecurity comprende:
(a) gli obiettivi e le priorità della strategia di cibersicurezza dello Stato membro, in particolare nei settori di cui agli allegati I e II;
(b) un quadro di governance per realizzare gli obiettivi e le priorità di cui alla lettera a) del presente paragrafo, comprese le politiche di cui al paragrafo 2;
(c) un quadro di governance che chiarisca i ruoli e le responsabilità delle parti interessate a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le autorità competenti, gli sportelli unici e i CSIRT ai sensi della presente direttiva, nonché del coordinamento e della cooperazione tra tali organismi e le autorità competenti ai sensi degli atti giuridici dell'Unione specifici del settore;
(d) un meccanismo per identificare le attività rilevanti e una valutazione dei rischi in quello Stato membro;
(e) l'identificazione delle misure che garantiscono la preparazione, la risposta e il recupero dagli incidenti, compresa la cooperazione tra i settori pubblico e privato;
(f) un elenco delle varie autorità e parti interessate coinvolte nell'attuazione della strategia nazionale di cibersicurezza;
(g) un quadro politico per un coordinamento rafforzato tra le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2557 ai fini della condivisione delle informazioni su rischi, minacce e incidenti informatici nonché su rischi, minacce e incidenti non informatici e dell'esercizio dei compiti di vigilanza, se del caso;
(h) un piano, comprendente le misure necessarie, per migliorare il livello generale di consapevolezza della sicurezza informatica tra i cittadini.
2. Nell'ambito della strategia nazionale di cibersicurezza, gli Stati membri adottano in particolare politiche:
(a) affrontare la sicurezza informatica nella catena di approvvigionamento dei prodotti e dei servizi TIC utilizzati dagli enti per la fornitura dei loro servizi;
(b) sull'inclusione e la specificazione dei requisiti di sicurezza informatica per i prodotti e i servizi TIC negli appalti pubblici, anche in relazione alla certificazione di sicurezza informatica, alla crittografia e all'uso di prodotti di sicurezza informatica open-source;
(c) la gestione delle vulnerabilità, che comprende la promozione e l'agevolazione di un'azione coordinata vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) divulgazione ai sensi dell'articolo 12, paragrafo 1;
(d) relativi a sostenere la disponibilità generale, l'integrità e la riservatezza del nucleo pubblico dell'Internet aperto, compresa, se del caso, la sicurezza informatica dei cavi di comunicazione sottomarini;
(e) promuovere lo sviluppo e l'integrazione di tecnologie avanzate pertinenti, al fine di attuare una sicurezza informatica all'avanguardia rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)-Misure di gestione;
(f) promuovere e sviluppare l'istruzione e la formazione sulla sicurezza informatica, le competenze in materia di sicurezza informatica, le iniziative di sensibilizzazione e di ricerca e sviluppo, nonché gli orientamenti sulle buone pratiche e sui controlli di igiene informatica, rivolti ai cittadini, alle parti interessate e agli enti;
(g) sostenere gli istituti accademici e di ricerca per sviluppare, migliorare e promuovere la diffusione di strumenti di sicurezza informatica e di infrastrutture di rete sicure;
(h) includere procedure pertinenti e strumenti appropriati di condivisione delle informazioni per sostenere la condivisione volontaria delle informazioni sulla cibersicurezza tra gli enti in conformità al diritto dell'Unione;
(i) rafforzare la resilienza informatica e l'igiene informatica di base delle piccole e medie imprese, in particolare di quelle escluse dall'ambito di applicazione della presente direttiva, fornendo orientamenti e assistenza facilmente accessibili per le loro esigenze specifiche;
(j) promuovere la protezione informatica attiva.
3. Gli Stati membri notificano alla Commissione le loro strategie nazionali di cibersicurezza entro tre mesi dalla loro adozione. Gli Stati membri possono escludere da tali notifiche le informazioni relative alla loro sicurezza nazionale.
4. Gli Stati membri valutano le loro strategie nazionali di cibersicurezza su base regolare e almeno ogni cinque anni sulla base di indicatori chiave di prestazione e, se necessario, le aggiornano. L'ENISA assiste gli Stati membri, su loro richiesta, nell'elaborazione o nell'aggiornamento di una strategia nazionale di cibersicurezza e di indicatori chiave di prestazione per la valutazione di tale strategia, al fine di allinearla ai requisiti e agli obblighi stabiliti nella presente direttiva.