Reglamento de Seguridad de las Redes y Sistemas de la Información

Reglamento NIS: claves de la gestión de incidentes de seguridad

El Real Decreto 43/2021 que desarrolla la Ley NIS establece los procedimientos que deberán tener en cuenta los operadores y proveedores para gestionar y resolver los incidentes de seguridad. Asimismo, el nuevo Reglamento NIS marca las directrices sobre cómo han de notificarse los incidentes que afecten a las redes y sistemas de información utilizados.

Reglamento NIS gestión de incidentes de seguridad

Los incidentes deben notificarse cuando puedan tener efectos perturbadores significativos en los servicios.

Bernardo Valadés

Los operadores de servicios esenciales y los proveedores de servicios digitales tendrán que gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. Así lo dispone el Capítulo IV del Real Decreto 43/2021 (Reglamento NIS), por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de Seguridad de las Redes y Sistemas de Información –conocido como Ley NIS–.

Al respecto, el nuevo reglamento precisa que, en el caso de las redes y sistemas que no sean propiedad de los operadores, se deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por proveedores externos.

En cualquier caso, la obligación de gestionar y resolver los incidentes de seguridad afecta tanto a aquellos detectados por el operador o proveedor como a los que sean señalados por el CSIRT de referencia, al que podrán solicitar voluntariamente ayuda especializada, o la autoridad competente.

¿Cuándo se debe notificar un incidente?

Respecto a cuándo se tienen que notificar los incidentes, el Reglamento NIS establece que los operadores deberán comunicarlos, a través del CSIRT de referencia, cuando puedan tener efectos perturbadores significativos en los servicios.

Igualmente, tendrán que dar cuenta de los sucesos o incidencias que, por su nivel de peligrosidad, pudiesen afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aunque no hayan tenido aún un efecto adverso real sobre aquellos. En ambos supuestos, se contemplan incidentes con un nivel de impacto crítico, muy alto o alto –los niveles de impacto se encuentran detallados en el Anexo del Reglamento NIS–.

Por otra parte, las autoridades competentes podrán establecer obligaciones específicas de notificación que contemplen niveles diferentes a los previstos en la Instrucción nacional de notificación y gestión de ciberincidentes. En este apartado, las notificaciones a las que hace referencia el Reglamento NIS no excluyen ni sustituyen a las que deban realizarse a otros organismos –como, por ejemplo, la Agencia Española de Protección de Datos (AEPD)–.

¿Quién tiene que notificar un incidente?

En lo relativo a quién tiene que notificar un incidente de seguridad, el Reglamento NIS observa que dicha gestión le corresponde al responsable de la Seguridad de la Información designado. Y que este último habrá de coordinarse con el responsable de Seguridad y Enlace en los casos en que un operador también esté regulado por la Ley de Protección de las Infraestructuras Críticas (Ley PIC).

Con el objetivo de intercambiar información y hacer un seguimiento de incidentes entre los operadores o proveedores, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, el CCN-CERT, en colaboración con el Incibe-CERT y el ESP-DEF-CERT del Mando Conjunto del Ciberespacio, pondrá a disposición de todos los actores involucrados la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.