Codice della cybersicurezza

Quadri coordinati in materia di
cibersicurezza

Art. 7. Strategia nazionale per la cibersicurezza. – 1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che prevede gli obiettivi strategici e le ri- sorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende: a) gli obiettivi e le priorità della strategia per la cibersi- curezza dello Stato membro, che riguardano in particolare i settori di cui agli allegati I e II; b) un quadro di governance per la realizzazione degli obiettivi e delle priorità di cui alla lettera a) del presente paragrafo, comprendente le misure strategiche di cui al paragrafo 2; c) un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livel- lo nazionale, a sostegno della cooperazione e del coordi- namento a livello nazionale tra le autorità competenti, i punti di contatto unici e i CSIRT ai sensi della presente direttiva, nonché il coordinamento e la cooperazione tra tali organismi e le autorità competenti ai sensi degli atti giuridici settoriali dell’Unione; d) un meccanismo per individuare le risorse e una valutazione dei rischi nello Stato membro in questione; e) l’individuazione delle misure volte a garantire la preparazione e la risposta agli incidenti e il successivo re- cupero dagli stessi, inclusa la collaborazione tra i settori pubblico e privato; f) un elenco delle diverse autorità e dei diversi portatori Destinatari della disciplina Sezione Seconda 230 di interessi coinvolti nell’attuazione della strategia nazio- nale per la cibersicurezza; g) un quadro strategico per il rafforzamento del coordi- namento tra le autorità competenti a norma della presente direttiva e le autorità competenti a norma della direttiva (UE) 2022/2557 ai fini della condivisione delle informa- zioni sui rischi, le minacce e gli incidenti sia informatici che non informatici e dello svolgimento di compiti di vigilanza, se del caso; h) un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei citta- dini in materia di cibersicurezza. 2. Nell’ambito della strategia nazionale per la cibersi- curezza, gli Stati membri adottano in particolare misure strategiche riguardanti: a) la cibersicurezza nella catena di approvvigionamento dei prodotti e dei servizi TIC utilizzati da soggetti per la fornitura dei loro servizi; b) l’inclusione e la definizione di requisiti concernenti la cibersicurezza per i prodotti e i servizi TIC negli appal- ti pubblici, compresi i requisiti relativi alla certificazione della cibersicurezza, alla cifratura e l’utilizzo di prodotti di cibersicurezza open source; c) la gestione delle vulnerabilità, ivi comprese la pro- mozione e l’agevolazione della divulgazione coordinata delle vulnerabilità ai sensi dell’articolo 12, paragrafo 1; d) il sostegno della disponibilità generale, dell’integrità e della riservatezza del nucleo pubblico della rete internet aperta, compresa, se del caso, la cibersicurezza dei cavi di comunicazione sottomarini; e) la promozione dello sviluppo e dell’integrazione di tecnologie avanzate pertinenti miranti ad attuare misure di avanguardia nella gestione dei rischi di cibersicurezza; f) la promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di ini- ziative di ricerca e sviluppo in materia di cibersicurezza, nonché orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica, destinati ai cittadini, ai portatori di interessi e ai soggetti; g) il sostegno agli istituti accademici e di ricerca volto a sviluppare, rafforzare e promuovere la diffusione di stru- menti di cibersicurezza e di infrastrutture di rete sicure; h) la messa a punto di procedure pertinenti e strumenti adeguati di condivisione delle informazioni per sostenere la condivisione volontaria di informazioni sulla cibersi- curezza tra soggetti, nel rispetto del diritto dell’Unione; i) il rafforzamento dei valori di riferimento relativi alla ciberresilienza e all’igiene informatica delle PMI, in par- ticolare quelle escluse dall’ambito di applicazione della presente direttiva, fornendo orientamenti e sostegno fa- cilmente accessibili per le loro esigenze specifiche; j) la promozione di una protezione informatica attiva. 3. Gli Stati membri notificano le loro strategie na- zionali per la cibersicurezza alla Commissione entro tre mesi dall’adozione. Gli Stati membri possono omettere dalla notifica informazioni relative alla propria sicurezza nazionale. 4. Gli Stati membri valutano le proprie strategie nazio- nali per la cibersicurezza periodicamente e almeno ogni cinque anni sulla base di indicatori chiave di prestazione e, se necessario, le aggiornano. L’ENISA assiste gli Stati membri, su richiesta di questi ultimi, nell’elaborazione o aggiornamento di una strategia nazionale per la cibersi- curezza e di indicatori chiave di prestazione per la relativa valutazione, onde allinearla ai requisiti e agli obblighi di cui alla presente direttiva.