- Cada Estado miembro designará o establecerá una o varias autoridades competentes responsables de la gestión de incidentes y crisis de ciberseguridad a gran escala (autoridades de gestión de crisis de ciberseguridad). Los Estados miembros velarán por que esas autoridades dispongan de los recursos adecuados para llevar a cabo los cometidos que les son asignados de forma efectiva y eficiente. Los Estados miembros velarán por la coherencia con los marcos nacionales generales de gestión de crisis vigentes.
- Cuando un Estado miembro designe o establezca más de una autoridad de gestión de crisis de ciberseguridad en virtud del apartado 1, indicará claramente cuál de dichas autoridades servirá de coordinador para la gestión de incidentes y crisis de ciberseguridad a gran escala.
- Cada Estado miembro determinará las capacidades, los activos y los procedimientos que se pueden desplegar en caso de que se produzca una crisis a los efectos de la presente Directiva.
- Cada Estado miembro adoptará un plan nacional de respuesta a incidentes y crisis de ciberseguridad a gran escala en el que se fijen los objetivos y las disposiciones de la gestión de los incidentes y las crisis de ciberseguridad a gran escala. Dicho plan establecerá, en particular:
- los objetivos de las medidas y actividades nacionales en materia de preparación;
- las funciones y responsabilidades de las autoridades de gestión de crisis de ciberseguridad;
- los procedimientos de gestión de crisis de ciberseguridad, incluida su integración en el marco nacional general de gestión de crisis, y los canales para el intercambio de información;
- las medidas nacionales de preparación, incluidos los ejercicios y las actividades de formación;
- las partes interesadas públicas y privadas pertinentes y la infraestructura implicada;
- los procedimientos y mecanismos nacionales entre las autoridades y los organismos nacionales pertinentes para garantizar la participación efectiva del Estado miembro en la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel de la Unión y su apoyo a ella.
- En el plazo de tres meses a partir de la designación o el establecimiento de la autoridad de gestión de crisis de ciberseguridad a que se refiere el apartado 1, cada Estado miembro notificará a la Comisión la identidad de su autoridad y cualquier modificación posterior de esta. Los Estados miembros presentarán a la Comisión y a la red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe, por sus siglas en inglés) información pertinente relativa a los requisitos del apartado 4 sobre sus planes nacionales de respuesta a incidentes y crisis de ciberseguridad a gran escala en un plazo de tres meses a partir de la adopción de dichos planes. Los Estados miembros podrán excluir información cuando y en la medida en que sea necesario para su seguridad nacional.