La Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat
. establix els criteris i procediments per a la notificació per part de les entitats que formen part dels àmbits subjectius d'aplicació de les lleis 39/2015 i 40/2015 al Centre Criptològic Nacional (CCN) d'aquells incidents que tinguen un impacte significatiu en la seguretat de la informació que manegen i els servicis que presten en relació amb la categoria del sistema, a fi de poder donar adequada resposta al mandat del Capítol VII, Resposta a incidents de seguretat, del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS).
En esta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com els criteris de determinació del nivell d'impacte, la notificació obligatòria dels incidents amb nivell d'impacte Alt, Molt alt i Crític, les evidències a entregar en el cas d'incidents nivell Alt, Molt alt i Crític, l'obligació de remissió d'estadístiques d'incidents, la notificació d'impactes rebuts, el desenvolupament de ferramentes automatitzades per a facilitar les notificacions, el règim legal de les notificacions i comunicació d'informació, més una disposició addicional amb precisions sobre la notificació quan l'incident afecte a dades personals. Els seus aspectes més rellevants són els següents:
- L'apartat tercer establix els criteris que permeten determinar el nivell d'impacte de l'incident.
- L'apartat quart determina els casos en què, pel nivell d'impacte, és obligatori notificar l'incident de seguretat al CCN-CERT.
- L'apartat cinc establix les evidències que podrà recaptar el CCN-CERT per a la investigació d'incidents de seguretat significatius.
- L'apartat sis arreplega l'obligació de les Administracions Públiques d'elaborar estadístiques d'incidents de seguretat i remetre-les al CCN-CERT, juntament amb la resta d'informació enviada respecte als incidents.
- L'apartat set està dedicat a la notificació de l'impacte al CCN-CERT quan el seu nivell d'impacte ho requerix.
- L'apartat huit descriu les ferramentes automatitzades disponibles per a realitzar les notificacions previstes en esta Instrucció Tècnica de Seguretat. En particular, se cita la ferramenta LUCIA , Llistat Unificat de Coordinació d'Incidents i Amenaces) desenvolupada pel CCN amb el propòsit d'automatitzar els mecanismes de notificació, comunicació i intercanvi d'informació sobre incidents de seguretat, d'acord a l'establit en Guia CCN-STIC 817 .
- L'apartat nou arreplega el marc legal aplicable a les notificacions i comunicacions d'informacions descrites en esta Instrucció.
- L'apartat deu afig una disposició addicional en la qual s'arrepleguen diversos aspectes relatius a la protecció de dades i en previsió de l'entrada en vigor del Reglament General de Protecció de Dades (Reglament (UE) 2016/679) . De manera que quan l'incident afecte a dades personals la notificació a l'autoritat de control competent es realitzarà amb independència del nivell d'impacte de l'incident en l'Esquema Nacional de Seguretat.
L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat com a elements essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.
