La Instrucció Tècnica de Seguretat de Notificació d'Incidents de Seguretat
. establix els criteris i procediments per a la notificació per part de les entitats que formen part dels àmbits subjectius d'aplicació de les lleis 39/2015 i 40/2015 al Centre Criptològic Nacional (CCN) d'aquells incidents que tinguen un impacte significatiu en la seguretat de la informació que manegen i els servicis que presten en relació amb la categoria del sistema, a fi de poder donar adequada resposta al mandat del Capítol VII, Respuesta a incidents de seguretat, del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS).
En esta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com els criteris de determinació del nivell d'impacte, la notificació obligatòria dels incidents amb nivell d'impacte Alt, Muy alt i Crític, les evidències a entregar en el cas d'incidents nivell Alt, Muy alt i Crític, l'obligació de remissió d'estadístiques d'incidents, la notificació d'impactes rebuts, el desenvolupament de ferramentes automatitzades per a facilitar les notificacions, el règim legal de les notificacions i comunicació d'informació, més una disposició addicional amb precisions sobre la notificació quan l'incident afecte a dades personals. Els seus aspectes més rellevants són els següents:
- L'apartat tercer establix els criteris que permeten determinar el nivell d'impacte de l'incident.
- El apartado cuarto determina los casos en que, por el nivel de impacto, es obligatorio notificar el incidente de seguridad al CCN-CERT.
- L'apartat cinc establix les evidències que podrà recaptar el CCN-CERT per a la investigació d'incidents de seguretat significatius.
- L'apartat sis arreplega l'obligació de les Administracions Públiques d'elaborar estadístiques d'incidents de seguretat i remetre-les al CCN-CERT, juntament amb la resta d'informació enviada respecte als incidents.
- El apartado siete está dedicado a la notificación del impacto al CCN-CERT cuando su nivel de impacto lo requiere.
- L'apartat huit descriu les ferramentes automatitzades disponibles per a realitzar les notificacions previstes en esta Instrucció Tècnica de Seguretat. En particular, se cita la ferramenta LUCIA , Listado Unificado de Coordinación de Incidentes y Amenazas) desarrollada por el CCN con el propósito de automatizar los mecanismos de notificación, comunicación e intercambio de información sobre incidentes de seguridad, de acuerdo a lo establecido en la Guia CCN-STIC 817 .
- L'apartat nou arreplega el marc legal aplicable a les notificacions i comunicacions d'informacions descrites en esta Instrucció.
- El apartado diez añade una disposición adicional en la que se recogen varios aspectos relativos a la protección de datos y en previsión de la entrada en vigor del Reglamento General de Protección de Datos (Reglament (UE) 2016/679) . De forma que cuando el incidente afecte a datos personales la notificación a la autoridad de control competente se realizará con independencia del nivel de impacto del incidente en el Esquema Nacional de Seguridad.
L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat com a elements essencials per a aconseguir una adequada, homogènia i coherent implantació dels requisits i mesures arreplegats en el mateix. Aquestes instruccions tècniques de seguretat regulen aspectes concrets que la realitat quotidiana ha mostrat especialment significatius, tals com: Informe de l'Estat de la Seguretat; Notificació d'Incidents de Seguretat; Auditoria de la Seguretat; Conformitat amb l'Esquema Nacional de Seguretat; Adquisició de Productes de Seguretat; Criptologia d'ocupació en l'Esquema Nacional de Seguretat; Interconnexió en l'Esquema Nacional de Seguretat i Requisits de Seguretat en entorns externalitzats.
