La Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad . establece los criterios y procedimientos para la notificación por parte de las entidades que forman parte de los ámbitos subjetivos de aplicación de las leyes 39/2015 y 40/2015 al Centro Criptológico Nacional (CCN) de aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y los servicios que prestan en relación con la categoría del sistema, al objeto de poder dar adecuada respuesta al mandato del Capítulo VII, Respuesta a incidentes de seguridad, del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
En esta ITS, tras el objeto y el ámbito de aplicación, se tratan cuestiones tales como los criterios de determinación del nivel de impacto, la notificación obligatoria de los incidentes con nivel de impacto Alto, Muy alto y Crítico, las evidencias a entregar en el caso de incidentes nivel Alto, Muy alto y Crítico, la obligación de remisión de estadísticas de incidentes, la notificación de impactos recibidos, el desarrollo de herramientas automatizadas para facilitar las notificaciones, el régimen legal de las notificaciones y comunicación de información, más una disposición adicional con precisiones sobre la notificación cuando el incidente afecte a datos personales. Sus aspectos más relevantes son los siguientes:
- El apartado tercero establece los criterios que permiten determinar el nivel de impacto del incidente.
- El apartado cuarto determina los casos en que, por el nivel de impacto, es obligatorio notificar el incidente de seguridad al CCN-CERT.
- El apartado cinco establece las evidencias que podrá recabar el CCN-CERT para la investigación de incidentes de seguridad significativos.
- El apartado seis recoge la obligación de las Administraciones Públicas de elaborar estadísticas de incidentes de seguridad y remitirlas al CCN-CERT, junto con el resto de información enviada respecto a los incidentes.
- El apartado siete está dedicado a la notificación del impacto al CCN-CERT cuando su nivel de impacto lo requiere.
- El apartado ocho describe las herramientas automatizadas disponibles para realizar las notificaciones previstas en esta Instrucción Técnica de Seguridad. En particular, se cita la herramienta LUCIA , Listado Unificado de Coordinación de Incidentes y Amenazas) desarrollada por el CCN con el propósito de automatizar los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad, de acuerdo a lo establecido en la Guía CCN-STIC 817 .
- El apartado nueve recoge el marco legal aplicable a las notificaciones y comunicaciones de informaciones descritas en esta Instrucción.
- El apartado diez añade una disposición adicional en la que se recogen varios aspectos relativos a la protección de datos y en previsión de la entrada en vigor del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) . De forma que cuando el incidente afecte a datos personales la notificación a la autoridad de control competente se realizará con independencia del nivel de impacto del incidente en el Esquema Nacional de Seguridad.
El ENS prevé, en su artículo 29, apartado 2, las instrucciones técnicas de seguridad como elementos esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el mismo. Dichas instrucciones técnicas de seguridad regulan aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificación de Incidentes de Seguridad; Auditoría de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de Productos de Seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados.