- Chaque État membre désigne ou établit une ou plusieurs autorités compétentes qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises (ci-après dénommées «autorités de gestion des crises cyber»). Les États membres veillent à ce que ces autorités disposent de ressources suffisantes pour s’acquitter, de manière effective et efficace, des tâches qui leur sont dévolues. Les États membres veillent à la cohérence avec les cadres nationaux existants pour la gestion générale des crises.
- Lorsqu’un État membre désigne ou établit plus d’une autorité de gestion des crises cyber conformément au paragraphe 1, il indique clairement laquelle de ces autorités fera office de coordinateur pour la gestion des incidents de cybersécurité majeurs et des crises.
- Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise aux fins de la présente directive.
- Chaque État membre adopte un plan national de réaction aux crises et incidents de cybersécurité majeurs dans lequel sont définis les objectifs et les modalités de gestion des incidents de cybersécurité majeurs et des crises. Ce plan établit notamment les éléments suivants:
- les objectifs des mesures et activités nationales de préparation;
- les tâches et responsabilités des autorités de gestion des crises cyber;
- les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations;
- les mesures de préparation nationales, y compris des exercices et des activités de formation;
- les parties prenantes et les infrastructures des secteurs public et privé concernées;
- les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents de cybersécurité majeurs et des crises au niveau de l’Union.
- Dans un délai de trois mois à compter de la désignation ou de la mise en place de l’autorité de gestion des crises cyber visée au paragraphe 1, chaque État membre notifie à la Commission l’identité de son autorité et toute modification ultérieure dans ce cadre. Les États membres soumettent à la Commission et au réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) les informations pertinentes relatives aux prescriptions du paragraphe 4 concernant leurs plans nationaux d’intervention en cas d’incident de cybersécurité majeurs et de crise dans un délai de trois mois suivant l’adoption de ces plans. Les États membres peuvent exclure certaines informations si et dans la mesure où cette exclusion est nécessaire pour préserver la sécurité nationale.