Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава II. Согласованные рамки кибербезопасности
- Статья 7. Национальная стратегия кибербезопасности
Статья 7. Национальная стратегия кибербезопасности
Статья 7
Национальная стратегия кибербезопасности
1. Каждое государство-член ЕС должно принять национальную стратегию кибербезопасности, предусматривающую стратегические цели, ресурсы, необходимые для достижения указанных целей, а также соответствующие политические и регулятивные меры для достижения и поддержания высокого уровня кибербезопасности. Национальная стратегия кибербезопасности должна включать:
(a) цели и приоритеты стратегии кибербезопасности государства-члена ЕС, охватывающей, в частности, сектора, указанные в Приложениях I и II;
(b) рамочную структуру управления для достижения целей и приоритетов, указанных в пункте (a) настоящего параграфа, включая принципы и правила, указанные в параграфе 2;
(c) рамочную структуру управления, разъясняющую роли и обязанности соответствующих заинтересованных сторон на национальном уровне, лежащую в основе сотрудничества и координации на национальном уровне между компетентными органами, едиными контактными центрами и CSIRTs согласно настоящей Директиве, а также координации и сотрудничества между указанными органами и компетентными органами согласно отраслевым правовым актам Союза;
(d) механизм выявления соответствующих активов и оценку рисков в указанном государстве-члене ЕС;
(e) определение мер, гарантирующих готовность к инцидентам, реагирование на них и восстановление после них, включая сотрудничество между государственным и частным секторами;
(f) перечень различных органов и заинтересованных сторон, участвующих в реализации национальной стратегии кибербезопасности;
(g) политический механизм для усиления согласованности между компетентными органами согласно настоящей Директиве и компетентными органами согласно Директиве (ЕС) 2022/2557 в целях обмена информацией о рисках, угрозах киберпространству и инцидентах, а также о рисках, угрозах и инцидентах, не связанных с киберпространством, и в целях выполнения задач по надзору, соответственно;
(h) план, в том числе необходимые меры, по повышению общего уровня осведомленности граждан о кибербезопасности.
2. В рамках национальной стратегии кибербезопасности государства-члены ЕС, в частности, должны принять принципы и меры:
(a) по обеспечению кибербезопасности в цепочке поставок продуктов ICT и услуг ICT, используемых организациями для предоставления своих услуг;
(b) о включении и спецификации связанных с кибербезопасностью требований к продуктам ICT и услугам ICT в сфере государственных закупок, в том числе в отношении сертификации кибербезопасности, шифрования и использования продуктов для обеспечения кибербезопасности с открытым исходным кодом;
(c) по управлению уязвимостями, охватывающие содействие согласованному раскрытию информации об уязвимости согласно Статье 12(1);
(d) в отношении поддержания общей доступности, целостности и конфиденциальности общедоступного ядра открытого интернета, включая, по мере необходимости, кибербезопасность подводных кабелей связи;
(e) по содействию разработке и интеграции соответствующих передовых технологий, направленных на имплементацию самых современных мер по управлению рисками в области кибербезопасности;
(f) по содействию и развитию образования и обучения по вопросам кибербезопасности, навыков в области кибербезопасности, повышения осведомленности и научно-исследовательских инициатив, а также рекомендации по надлежащей практике и контролю в области кибергигиены, предназначенные для граждан, заинтересованных лиц и организаций;
(g) по содействию академическим и научно-исследовательским институтам в разработке, совершенствовании и продвижении внедрения инструментов кибербезопасности и безопасной сетевой инфраструктуры;
(h) в том числе соответствующие процедуры и надлежащие инструменты по обмену информацией для содействия добровольному обмену информацией в области кибербезопасности между организациями в соответствии с законодательством Союза;
(i) по повышению устойчивости к угрозам кибербезопасности и исходных показателей кибергигиены малых и средних предприятий, в частности, тех, которые исключены из сферы применения настоящей Директивы, путем предоставления легкодоступных руководящих указаний и помощи в удовлетворении их конкретных потребностей;
(j) по содействию активной киберзащите.
3. Государства-члены ЕС должны уведомить о своих национальных стратегиях кибербезопасности Европейскую Комиссию в течение трех месяцев с момента их принятия. Государства-члены ЕС могут исключить из указанных уведомлений информацию, которая относится к их национальной безопасности.
4. Государства-члены ЕС должны оценивать свои национальные стратегии кибербезопасности на регулярной основе и как минимум каждые пяти лет на основе ключевых показателей эффективности и должны, при необходимости, обновлять их. ENISA должно оказывать государствам-членам ЕС, по их запросу, помощь в разработке или обновлении национальной стратегии кибербезопасности и ключевых показателей эффективности для оценки указанной стратегии, чтобы привести ее в соответствие с требованиями и обязательствами, установленными в настоящей Директиве.