España desarrolla la primera Guía Nacional de Notificación y Gestión de Ciberincidentes de la UE
- Actualidad
España es el primer país comunitario en crear este documento, que establece un marco de referencia único para el reporte y tratamiento de todos los incidentes de ciberseguridad que se produzcan dentro de territorio español.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
La guía, desarrollada bajo la coordinación del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), es un documento técnico que establece una referencia en el ámbito de la notificación y gestión de incidentes de ciberseguridad en territorio español, y con él se pretende acabar con la disparidad de criterios existentes en este ámbito.
El trabajo facilita a los responsables de Seguridad de la Información directrices para reportar incidentes de ciberseguridad en las administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-ley 12/2018 sobre seguridad de las redes y sistemas de información.
Consta de ocho capítulos y cuatro anexos, establece un detallado esquema de notificación a partir de una serie de criterios de impacto recogidos en el documento, y cataloga los incidentes en cinco niveles de peligrosidad: crítico, muy alto, alto, medio y bajo. Además, plantea un sistema de "ventanilla única" para la notificación de estos incidentes con el fin de aumentar la eficiencia en el tratamiento de la información y optimizar los resultados.
Según informe el departamento de Interior, lo más novedoso es que presenta una clasificación única de incidentes, en un ejercicio de concreción técnica, colaboración público-privada y coordinación entre múltiples actores. Concretamente, el documento relaciona 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberincidente.
Sobre este marco común, el documento posibilita la existencia de otros casos especiales, en función de la existencia de normas jurídicas que puedan exigir un esfuerzo extra a las organizaciones dentro de su ámbito de aplicación. Es el caso de aquellos operadores designados como "críticos, a quienes se añaden una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar, o ventana temporal de reporte.
Finalmente, desde el ministerio que dirige Fernando Grande Maslaska aseguran que integra todos los aspectos comunes requeridos técnicamente por los CSIRT nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas y que “se convierte en el eje fundamental que sustenta la implementación nacional, a través de la transposición de la Directiva NIS, de la obligación de notificar ciberincidentes asignada a los operadores de servicios esenciales.