网络与信息安全指令2 2023

一旦事件被宣布，将与相关第三方协调执行事件响应计划。标准：1。根据《NIS法令》第25条，本计划用于管理网络安全事件并通知意大利计算机安全响应小组（CSIRT Italy），包括至少以下内容：a) 管理和通报事件的阶段和程序，并指明各自的角色和责任；b) 根据 NIS 法令第 25 条第 5 款 c)、d) 和 e) 项所述，报告的准备和传输程序；c) 报告事件的联系方式；d) 内部沟通的方法，包括涉及行政和执行机构的情况，以及外部沟通；e) 用于记录事件的报告。| 2.第1点提到的计划由行政和执行机构批准。| 3.第1点提到的计划应定期审查，并在适当情况下进行更新，至少每两年一次，并且每当发生重大事件时，也应更新，以吸取经验教训，或应对威胁暴露和相关风险的变化。

内部和外部利益相关者被告知事件。标准：1. 根据措施 RS 中提到的事件管理计划。MA-01，已记录并采用程序以在适当情况下并在可能时，在咨询意大利CSIRT后，或根据NIS法令第37条第3款g)和h)项国家网络安全局的要求时，及时进行沟通：a) 向其服务的接收方通报可能对该等服务的提供产生不利影响的重大事件；b) 向可能受到重大网络威胁影响的服务接收者，提供他们可采取的纠正或缓解措施或行动以应对该威胁，以及该威胁的性质。| 2.已制定并采纳程序，以便在国家网络安全机构根据《NIS法令》第37条第3款i项的要求时，向公众通报已发生的事件。