Stratégie nationale en matière de cybersécurité | Advisera

Se connecter

Accueil
Ressources
NIS 2
Stratégie nationale en matière de cybersécurité

Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend:
1. les objectifs et priorités de la stratégie de l’État membre en matière de cybersécurité, couvrant en particulier les secteurs visés aux annexes I et II;
2. un cadre de gouvernance visant à atteindre les objectifs et priorités visés au point a) du présent paragraphe, y compris les politiques visées au paragraphe 2;
3. un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées au niveau national, et sur lequel reposent la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT en vertu de la présente directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union;
4. un mécanisme visant à déterminer les actifs pertinents et une évaluation des risques dans cet État membre;
5. un inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé;
6. une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité;
7. un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) 2022/2557 aux fins du partage d’informations relatives aux risques, aux menaces et aux incidents dans les domaines cyber et non cyber et de l’exercice des tâches de supervision, le cas échéant;
8. un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.
Dans le cadre de la stratégie nationale en matière de cybersécurité, les États membres adoptent notamment des politiques portant sur les éléments suivants:
1. la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités pour la fourniture de leurs services;
2. l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris concernant la certification de cybersécurité, le chiffrement et l’utilisation de produits de cybersécurité en sources ouvertes;
3. la gestion des vulnérabilités, y compris la promotion et la facilitation de la divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1;
4. le maintien de la disponibilité générale, de l’intégrité et de la confidentialité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins;
5. la promotion du développement et de l’intégration de technologies avancées pertinentes visant à mettre en œuvre des mesures de pointe dans la gestion des risques en matière de cybersécurité;
6. la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités;
7. le soutien aux institutions universitaires et de recherche visant à développer, améliorer et promouvoir le déploiement des outils de cybersécurité et à sécuriser les infrastructures de réseau;
8. la mise en place de procédures pertinentes et d’outils de partage d’informations appropriés visant à soutenir le partage volontaire d’informations sur la cybersécurité entre les entités conformément au droit de l’Union;
9. le renforcement des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente directive, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques;
10. la promotion d’une cyberprotection active.
Les États membres notifient leur stratégie nationale en matière de cybersécurité à la Commission dans un délai de trois mois suivant leur adoption. Les États membres peuvent exclure de ces notifications les informations relatives à leur sécurité nationale.
Les États membres évaluent régulièrement leur stratégie nationale en matière de cybersécurité, et au moins tous les cinq ans, sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’ENISA aide les États membres, à leur demande, à élaborer ou actualiser une stratégie nationale en matière de cybersécurité et des indicateurs clés de performance aux fins de l’évaluation de cette stratégie, afin de l’aligner sur les exigences et les obligations prévues par la présente directive.