España desarrolla la primera Guía Nacional de Notificación y Gestión de Ciberincidentes de la UE

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

La guía, desarrollada bajo la coordinación del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), es un documento técnico que establece una referencia en el ámbito de la notificación y gestión de incidentes de ciberseguridad en  territorio español, y con él se pretende acabar con la disparidad de criterios existentes en este ámbito.

El trabajo facilita a los responsables de Seguridad de la Información directrices para reportar incidentes de ciberseguridad en las administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-ley 12/2018 sobre seguridad de las redes y sistemas de información.

Consta de ocho capítulos y cuatro anexos, establece un detallado esquema de notificación a partir de una serie de criterios de impacto recogidos en el documento, y cataloga los incidentes en cinco niveles de peligrosidad: crítico, muy alto, alto, medio y bajo. Además, plantea un sistema de "ventanilla única" para la notificación de estos incidentes con el fin de aumentar la eficiencia en el tratamiento de la información y optimizar los resultados.

Según informe el departamento de Interior, lo más novedoso es que presenta una clasificación única de incidentes, en un ejercicio de concreción técnica, colaboración público-privada y coordinación entre múltiples actores. Concretamente, el documento relaciona 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberincidente.

Sobre este marco común, el documento posibilita la existencia de otros casos especiales, en función de la existencia de normas jurídicas que puedan exigir un esfuerzo extra a las organizaciones dentro de su ámbito de aplicación. Es el caso de aquellos operadores designados como "críticos, a quienes se añaden una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar, o ventana temporal de reporte.

Finalmente, desde el ministerio que dirige Fernando Grande Maslaska aseguran que integra todos los aspectos comunes requeridos técnicamente por los CSIRT nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas y que “se convierte en el eje fundamental que sustenta la implementación nacional, a través de la transposición de la Directiva NIS, de la obligación de notificar ciberincidentes asignada a los operadores de servicios esenciales.