La Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat
. estableix els criteris i procediments per a la notificació per part de les entitats que formen part dels àmbits subjectius d'aplicació de les lleis 39/2015 i 40/2015 al Centre Criptològic Nacional (CCN) d'aquells incidents que tinguin un impacte significatiu en la seguretat de la informació que manegen i els serveis que presten en relació amb la categoria del sistema, a fi de poder donar adequada resposta al mandat del Capítol VII, Resposta a incidents de seguretat, del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS).
En esta ITS, tras el objeto y el ámbito de aplicación, se tratan cuestiones tales como los criterios de determinación del nivel de impacto, la notificación obligatoria de los incidentes con nivel de impacto Alto, Muy alto y Crítico, las evidencias a entregar en el caso de incidentes nivel Alto, Muy alto y Crítico, la obligación de remisión de estadísticas de incidentes, la notificación de impactos recibidos, el desarrollo de herramientas automatizadas para facilitar las notificaciones, el régimen legal de las notificaciones y comunicación de información, más una disposición adicional con precisiones sobre la notificación cuando el incidente afecte a datos personales. Sus aspectos más relevantes son los siguientes:
- L'apartat tercer estableix els criteris que permeten determinar el nivell d'impacte de l'incident.
- L'apartat quart determina els casos en què, pel nivell d'impacte, és obligatori notificar l'incident de seguretat al CCN-CERT.
- L'apartat cinc estableix les evidències que podrà recaptar el CCN-CERT per a la recerca d'incidents de seguretat significatius.
- El apartado seis recoge la obligación de las Administraciones Públicas de elaborar estadísticas de incidentes de seguridad y remitirlas al CCN-CERT, junto con el resto de información enviada respecto a los incidentes.
- L'apartat set està dedicat a la notificació de l'impacte al CCN-CERT quan el seu nivell d'impacte ho requereix.
- L'apartat vuit descriu les eines automatitzades disponibles per realitzar les notificacions previstes en aquesta Instrucció Tècnica de Seguretat. En particular, se cita l'eina LUCIA , Llistat Unificat de Coordinació d'Incidents i Amenaces) desenvolupada pel CCN amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat, d'acord a l'establert en Guia CCN-STIC 817 .
- L'apartat nou recull el marc legal aplicable a les notificacions i comunicacions d'informacions descrites en aquesta Instrucció.
- El apartado diez añade una disposición adicional en la que se recogen varios aspectos relativos a la protección de datos y en previsión de la entrada en vigor del Reglament General de Protecció de Dades (Reglament (UE) 2016/679) . De forma que cuando el incidente afecte a datos personales la notificación a la autoridad de control competente se realizará con independencia del nivel de impacto del incidente en el Esquema Nacional de Seguridad.
L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat com a elements essencials per aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures recollits en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.
