Член 9

Национални рамки за управление на кризи в областта на киберсигурността

1.Всяка държава членка определя или създава един или повече компетентни органи, отговарящи за управлението на мащабните киберинциденти и кризи (органи за управление на киберкризи). Държавите членки гарантират, че тези органи разполагат с адекватни ресурси за изпълнение на възложените им задачи по ефективен и ефикасен начин. Държавите членки гарантират съгласуваност със съществуващите рамки за общо управление на кризи на национално равнище.

2.Когато държава членка определи или създаде повече от един орган за управление на киберкризи съгласно параграф 1, тя ясно указва кой от тези органи ще служи като координатор за управлението на мащабни киберинциденти и кризи.

3.Всяка държава членка набелязва способности, активи и процедури, които могат да бъдат разгърнати в случай на криза за целите на настоящата директива.

4.Всяка държава членка приема национален план за реакция при мащабни киберинциденти и кризи, в който се определят целите и условията и редът за управлението на мащабни киберинциденти и кризи. По-конкретно в плана се установяват:

а) целите на националните мерки и дейности за подготвеност;

б) задачи и отговорности на органите за управление на киберкризи;

в) процедурите за управление на киберкризи, включително тяхното интегриране в общата рамка за управление на кризи на национално равнище и канали за обмен на информация;

г) националните мерки за подготвеност, включително дейности по учения и обучения;

д) съответните заинтересовани страни от публичния и частния сектор и съответната инфраструктура;

е) национални процедури и договорености между съответните национални органи и служби за осигуряване на ефективно участие и подкрепа от страна на държавата членка за координираното управление на мащабни киберинциденти и кризи на равнището на Съюза.

5.В срок от три месеца от определянето или създаването на органа за управление на киберкризи, посочен в параграф 1, всяка държава членка уведомява Комисията за самоличността на своя орган и за всички последващи промени в него. Държавите членки предоставят на Комисията и на Европейската мрежа за връзка на организациите при киберкризи (EU — CyCLONe) съответната информация, свързана с изискванията на параграф 4, относно техните национални планове за реагиране при мащабни киберинциденти и кризи в срок от три месеца от приемането на тези планове. Държавите членки може да изключат информация, когато и доколкото такова изключване е необходимо за тяхната национална сигурност.