A Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade . establece os criterios e procedementos para a notificación por parte das entidades que forman parte dos ámbitos subxectivos de aplicación das leis 39/2015 e 40/2015 ao Centro Criptolóxico Nacional (CCN) daqueles incidentes que teñan un impacto significativo na seguridade da información que manexan e os servizos que prestan en relación coa categoría do sistema, co obxecto de poder dar adecuada resposta ao mandato do Capítulo VII, Respuesta a incidentes de seguridade, do Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (ENS).
Nesta ITS, tras o obxecto e o ámbito de aplicación, trátanse cuestións tales como os criterios de determinación do nivel de impacto, a notificación obrigatoria dos incidentes con nivel de impacto Alto, Muy alto e Crítico, as evidencias a entregar no caso de incidentes nivel Alto, Muy alto e Crítico, a obriga de remisión de estatísticas de incidentes, a notificación de impactos recibidos, o desenvolvemento de ferramentas automatizadas para facilitar as notificacións, o réxime legal das notificacións e comunicación de información, máis unha disposición adicional con precisións sobre a notificación cando o incidente afecte a datos persoais. Os seus aspectos máis relevantes son os seguintes:
- O apartado terceiro establece os criterios que permiten determinar o nivel de impacto do incidente.
- O apartado cuarto determina os casos en que, polo nivel de impacto, é obrigatorio notificar o incidente de seguridade ao CCN-CERT.
- O apartado cinco establece as evidencias que poderá solicitar o CCN-CERT para a investigación de incidentes de seguridade significativos.
- O apartado seis recolle a obriga das Administracións Públicas de elaborar estatísticas de incidentes de seguridade e remitilas ao CCN-CERT, xunto co resto de información enviada respecto dos incidentes.
- O apartado sete está dedicado á notificación do impacto ao CCN-CERT cando o seu nivel de impacto requíreo.
- O apartado oito describe as ferramentas automatizadas dispoñibles para realizar as notificacións previstas nesta Instrución Técnica de Seguridade. En particular, cítase a ferramenta LUCIA , Listaxe Unificada de Coordinación de Incidentes e Ameazas) desenvolvida polo CCN co propósito de automatizar os mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridade, de acordo ao establecido en Guíaa Guía CCN-STIC 817 .
- O apartado nove recolle o marco legal aplicable ás notificacións e comunicacións de informacións descritas nesta Instrución.
- O apartado dez engade unha disposición adicional na que se recollen varios aspectos relativos á protección de datos e en previsión da entrada en vigor do Reglamento General de Protección de Datos (Regulamento (UE) 2016/679) . De forma que cando o incidente afecte a datos persoais a notificación á autoridade de control competente realizarase con independencia do nivel de impacto do incidente no Esquema Nacional de Seguridade.
O ENS prevé, no seu artigo 29, apartado 2, as instrucións técnicas de seguridade como elementos esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no mesmo. Ditas instrucións técnicas de seguridade regulan aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; Notificación de Incidentes de Seguridade; Auditoría da Seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de Produtos de Seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados.