1. Elke lidstaat stelt een nationale strategie voor cyberbeveiligingNationale strategie voor cyberbeveiliging Een samenhangend kader van een lidstaat met strategische doelstellingen en prioriteiten op het gebied van cyberbeveiliging en de governance om deze in die lidstaat te verwezenlijken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) dat voorziet in de strategische doelstellingen, de middelen die nodig zijn om die doelstellingen te verwezenlijken en passende beleids- en regelgevende maatregelen, met het oog op het bereiken en handhaven van een hoog niveau van kwaliteit, veiligheid en milieu. cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881;. De nationale strategie inzake cyberbeveiliging omvat:
(a) doelstellingen en prioriteiten van de cyberbeveiligingsstrategie van de lidstaat die met name de in de bijlagen I en II genoemde sectoren bestrijkt;
(b) een bestuurskader om de onder a) van dit lid bedoelde doelstellingen en prioriteiten te verwezenlijken, met inbegrip van het in lid 2 bedoelde beleid;
(c) een governancekader ter verduidelijking van de taken en verantwoordelijkheden van de belanghebbenden op nationaal niveau, ter onderbouwing van de samenwerking en coördinatie op nationaal niveau tussen de bevoegde autoriteiten, de centrale aanspreekpunten en de CSIRT's in het kader van deze richtlijn, alsmede de coördinatie en samenwerking tussen die instanties en de bevoegde autoriteiten in het kader van sectorspecifieke rechtshandelingen van de Unie;
(d) een mechanisme om relevante activa te identificeren en een beoordeling van de risico's in die lidstaat;
(e) een identificatie van de maatregelen die zorgen voor paraatheid voor, reactievermogen bij en herstel na incidenten, met inbegrip van samenwerking tussen de publieke en private sector;
(f) een lijst van de verschillende autoriteiten en belanghebbenden die betrokken zijn bij de uitvoering van de nationale strategie voor cyberbeveiliging;
(g) een beleidskader voor versterkte coördinatie tussen de bevoegde autoriteiten in het kader van deze richtlijn en de bevoegde autoriteiten in het kader van Richtlijn (EU) 2022/2557 met het oog op de uitwisseling van informatie over risico's, cyberdreigingen en incidenten, alsook over niet-cyberrisico's, -dreigingen en -incidenten en de uitoefening van toezichttaken, voor zover van toepassing;
(h) een plan, met inbegrip van de nodige maatregelen, om het algemene niveau van bewustzijn inzake cyberbeveiliging onder burgers te verhogen.
2. Als onderdeel van de nationale strategie voor cyberbeveiliging nemen de lidstaten met name beleidsmaatregelen aan:
(a) aanpakken van cyberbeveiliging in de toeleveringsketen voor ICT-producten en ICT-diensten die door entiteiten worden gebruikt voor het verlenen van hun diensten;
(b) over het opnemen en specificeren van eisen inzake cyberbeveiliging voor ICT-producten en ICT-diensten in overheidsopdrachten, onder meer met betrekking tot certificering van cyberbeveiliging, encryptie en het gebruik van open source-cyberbeveiligingsproducten;
(c) kwetsbaarheidsbeheer, met inbegrip van het bevorderen en faciliteren van gecoördineerde kwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) openbaarmaking krachtens artikel 12, lid 1;
(d) in verband met de instandhouding van de algemene beschikbaarheid, integriteit en vertrouwelijkheid van de openbare kern van het open internet, met inbegrip van, voor zover relevant, de cyberbeveiliging van onderzeese communicatiekabels;
(e) het bevorderen van de ontwikkeling en integratie van relevante geavanceerde technologieën met het oog op de toepassing van geavanceerde cyberbeveiliging risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn)-beheersmaatregelen;
(f) het bevorderen en ontwikkelen van onderwijs en opleiding op het gebied van cyberbeveiliging, cyberbeveiligingsvaardigheden, bewustmakings- en onderzoeks- en ontwikkelingsinitiatieven, alsmede richtsnoeren voor goede praktijken en controles op het gebied van cyberhygiëne, gericht op burgers, belanghebbenden en entiteiten;
(g) het ondersteunen van academische en onderzoeksinstellingen bij het ontwikkelen, verbeteren en bevorderen van de inzet van instrumenten voor cyberbeveiliging en veilige netwerkinfrastructuur;
(h) relevante procedures en passende instrumenten voor informatie-uitwisseling ter ondersteuning van vrijwillige uitwisseling van informatie over cyberbeveiliging tussen entiteiten overeenkomstig het recht van de Unie;
(i) het versterken van de cyberweerbaarheid en de baseline inzake cyberhygiëne van kleine en middelgrote ondernemingen, met name die welke van het toepassingsgebied van deze richtlijn zijn uitgesloten, door gemakkelijk toegankelijke richtsnoeren en bijstand te verstrekken voor hun specifieke behoeften;
(j) actieve cyberbescherming bevorderen.
3. De lidstaten stellen de Commissie binnen drie maanden na de vaststelling van hun nationale strategieën voor cyberbeveiliging in kennis van deze strategieën. De lidstaten kunnen informatie die betrekking heeft op hun nationale veiligheid van dergelijke kennisgevingen uitsluiten.
4. De lidstaten beoordelen hun nationale strategieën voor cyberbeveiliging regelmatig en ten minste om de vijf jaar op basis van prestatiekernindicatoren en werken deze zo nodig bij. Het ENISA helpt de lidstaten, op hun verzoek, bij de ontwikkeling of actualisering van een nationale strategie inzake cyberbeveiliging en van prestatiekernindicatoren voor de beoordeling van die strategie, teneinde deze in overeenstemming te brengen met de in deze richtlijn vastgestelde eisen en verplichtingen.