Capitulo 2 ciberseguridad en la Unión

Artículo 7 Estrategia nacional de ciberseguridad

1. Cada Estado miembro adoptará una estrategia nacional de ciberseguridad en la que se establecerán los objetivos estratégicos, los recursos necesarios para alcanzar esos objetivos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de ciberseguridad. La estrategia nacional de ciberseguridad incluirá:

a) objetivos y prioridades de la estrategia de ciberseguridad del Estado miembro que abarque, en particular, los sectores mencionados en los anexos I y II;

b) un marco de gobernanza para lograr los objetivos y prioridades mencionados en la letra a) del presente apartado, incluidas las políticas a que se refiere el apartado 2;

c) un marco de gobernanza que aclare las funciones y responsabilidades de las partes interesadas pertinentes a nivel nacional, que sustente la cooperación y la coordinación a nivel nacional entre las autoridades competentes, los puntos de contacto únicos y los CSIRT con arreglo a la presente Directiva, así como la coordinación y la cooperación entre dichos organismos y las autoridades competentes con arreglo a actos jurídicos sectoriales de la Unión;

d) un mecanismo para identificar los activos pertinentes y una evaluación de los riesgos de ciberseguridad en ese Estado miembro;

e) una identificación de las medidas para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes, incluida la cooperación entre los sectores público y privado;

f) una lista de las diversas partes interesadas y autoridades que participan en la ejecución de la estrategia nacional de ciberseguridad;

g) un marco político para la coordinación reforzada entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2557 a efectos del intercambio de información sobre riesgos, ciberamenazas e incidentes así como sobre riesgos, amenazas e incidentes no relacionados con la ciberseguridad y el ejercicio de las funciones de supervisión, según proceda;

h) un plan, incluidas las medidas necesarias, para elevar el nivel general de concienciación de los ciudadanos en materia de ciberseguridad.

2. En el marco de la estrategia nacional de ciberseguridad, los Estados miembros adoptarán, en particular, políticas:

a) para abordar la ciberseguridad en la cadena de suministro de productos y servicios de TIC utilizados por las entidades para la prestación de sus servicios;

b) sobre la inclusión y especificación de los requisitos en materia de ciberseguridad aplicables a los productos de TIC y los servicios de TIC en la contratación pública, incluidos los requisitos relativos a la certificación de ciberseguridad, al cifrado y al uso de productos de ciberseguridad de código abierto;

c) de gestión de las vulnerabilidades, incluidas la promoción y facilitación de una divulgación coordinada de vulnerabilidades con arreglo al artículo 12, apartado 1;

d) para mantener la disponibilidad general, la integridad y la confidencialidad del núcleo público de la internet abierta, incluida la ciberseguridad, cuando proceda, de los cables submarinos de comunicaciones;

e) de promoción del desarrollo y la integración de las tecnologías avanzadas pertinentes destinadas a aplicar medidas de gestión de riesgos de ciberseguridad de última generación;

f) de promoción y desarrollo de la educación y la formación en materia de ciberseguridad, capacidades de ciberseguridad, sensibilización e iniciativas de investigación y desarrollo, así como orientaciones sobre buenas prácticas y controles en materia de ciberhigiene, destinadas a los ciudadanos, las partes interesadas y las entidades;

g) de apoyo a las instituciones académicas y de investigación para el desarrollo, la mejora y la implantación de herramientas de ciberseguridad e infraestructuras de red seguras;

h) sobre los procedimientos pertinentes y las herramientas apropiadas para compartir información en apoyo del intercambio voluntario de información sobre ciberseguridad entre las entidades, de conformidad con el Derecho de la Unión;

i) de refuerzo de la ciberresiliencia y la base de referencia en materia de ciberhigiene de las pequeñas y medianas empresas, especialmente de las excluidas del ámbito de aplicación de la presente Directiva, proporcionando orientaciones y apoyo de fácil acceso para sus necesidades específicas;

j) de promoción de la ciberprotección activa.

3. Los Estados miembros notificarán sus estrategias nacionales de ciberseguridad a la Comisión en el plazo de tres meses a partir de su adopción. Los Estados miembros podrán excluir de tal notificación información relativa a su seguridad nacional.

4. Los Estados miembros evaluarán sus estrategias nacionales de ciberseguridad periódicamente y al menos cada cinco años en función de unos indicadores de rendimiento clave, y las actualizarán cuando proceda. La ENISA prestará asistencia los Estados miembros, cuando estos así lo soliciten, a la hora de elaborar o actualizar una estrategia nacional de ciberseguridad y de indicadores clave de rendimiento para su evaluación, con el fin de adaptarla a los requisitos y obligaciones establecidos en la presente Directiva.