Член 7

Национална стратегия за киберсигурност

1.Всяка държава членка приема национална стратегия за киберсигурност, която предвижда стратегическите цели, необходимите ресурси за постигане на тези цели и подходящи мерки на политиката, както и подходящи регулаторни мерки за постигане и поддържане на високо ниво на киберсигурност. Националната стратегия за киберсигурност включва:

а) целите и приоритетите на стратегията за киберсигурност на държавата членка, като се обхващат по-специално секторите, посочени в приложения I и II;

б) рамка за управление за постигане на целите и приоритетите, посочени в буква а) от настоящия параграф, включително посочените в параграф 2 политики;

в) рамка за управление, в която се изясняват ролите и отговорностите на съответните заинтересовани страни на национално равнище и която е в основата на сътрудничеството и координацията на национално равнище между компетентните органи, единните звена за контакт и ЕРИКС съгласно настоящата директива, както и координацията и сътрудничеството между тези органи и компетентните органи съгласно специфичните за сектора правни актове на Съюза;

г) механизъм за установяване на относимите активи и оценка на рисковете в съответната държава членка;

д) набелязване на мерките, гарантиращи подготвеността, реагирането и възстановяването при инциденти, включително сътрудничеството между публичния и частния сектор;

е) списък с различните органи и заинтересовани страни, които участват в прилагането на националната стратегия за киберсигурност;

ж) рамка на политика за засилена координация между компетентните органи съгласно настоящата директива и компетентните органи съгласно Директива (ЕС) 2022/2557 за целите на обмена на информация за рискове, киберзаплахи и инциденти, както и за несвързани с киберпространството рискове, заплахи и инциденти, и упражняването на надзорни задачи, по целесъобразност;

з) план, включващ необходимите мерки за укрепване на общото равнище на осведоменост на гражданите относно киберсигурността.

2.Като част от националната стратегия за киберсигурност държавите членки по-специално приемат политики:

а) за разрешаване на въпросите с киберсигурността по веригата за доставки на ИКТ продукти и услуги, използвана от субектите за предоставянето на техните услуги;

б) относно включването и посочването на свързани с киберсигурността изисквания за ИКТ продуктите и ИКТ услугите при възлагането на обществени поръчки, включително във връзка с сертифициране в областта на киберсигурността, криптиране и използване на продукти за киберсигурност с отворен код;

в) управление на уязвимостите, включващо насърчаването и улесняването на координираното оповестяване на уязвимости съгласно член 12, параграф 1;

г) свързани с поддържането на общата наличност, цялостност и поверителност на общественото ядро на отворения интернет, включително, когато е целесъобразно, киберсигурността на подводните комуникационни кабели;

д) насърчаване на разработването и внедряването на съответните авангардни технологии, насочени към прилагане на най-съвременни мерки за управление на риска в областта на киберсигурността;

е) насърчаване и развитие на образованието и обучението в областта на киберсигурността, уменията, повишаването на осведомеността и инициативите за научноизследователска и развойна дейност в областта на киберсигурността, както и насоки за добри практики и механизми за контрол в областта на киберхигиената, насочени към гражданите, заинтересованите страни и субектите;

ж) подпомагане на академичните и научноизследователските институции за разработване, подобряване и насърчаване на внедряването на инструменти за киберсигурност и сигурна мрежова инфраструктура;

з) включване на съответни процедури и подходящи инструменти за обмен на информация, подпомагащи доброволния обмен на информация за киберсигурността между субекти в съответствие с правото на Съюза;

и) укрепване на киберустойчивостта и основните параметри за киберхигиена на малките и средните предприятия, по-специално на тези, които са изключени от обхвата на настоящата директива, чрез предоставяне на леснодостъпни насоки и помощ за техните специфични нужди;

й) насърчаване на активна киберзащита.

3.Държавите членки уведомяват Комисията за своите национални стратегии за киберсигурност в рамките на три месеца от приемането им. Държавите членки могат да изключат от тези уведомления информацията, която се отнася до тяхната национална сигурност.

4.Държавите членки извършват оценка на своите национални стратегии за киберсигурност редовно и поне на всеки пет години въз основа на ключови показатели за ефективност и при необходимост ги актуализират. ENISA подпомага държавите членки, по тяхно искане, при разработването или актуализирането на национална стратегия за киберсигурност и на ключови показатели за ефективност за оценката на тази стратегия, за да я приведе в съответствие с изискванията и задълженията, предвидени в настоящата директива.