Red Seguridad 84

actualidad tecnológica noticias 10 red seguridad primer trimestre 2019 Portada de la Guía Nacional de Notificación y Gestión de Ciberincidentes El Consejo Nacional de Ciberseguridad ha aprobado la Guía Nacional de Notificación y Gestión de Ciberincidentes, con la que establece un marco común para la comunicación de este tipo de sucesos a las autoridades competentes en virtud de la Ley NIS. Coordinada por el CNPIC, en la elaboración del documento han participado también Incibe, el CCN y el Mando Conjunto de Ciberdefensa. España unifica los criterios de notificación de ciberincidentes E l C onsejo N acional de Ciber- seguridad aprobó, el 9 de enero, la Guía Nacional de Notificación y Gestión de Ciberincidentes , con la que España se ha convertido en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad, superando así la disparidad de criterios anteriormen- te existentes en este campo. La Guía Nacional de Notificación y Gestión de Ciberincidentes es un documento técnico que establece una referencia en el ámbito de la notificación y gestión de inciden- tes de ciberseguridad en España. Proporciona a los responsables de seguridad de la información direc- trices para reportar incidentes de este tipo en las administraciones públicas, las infraestructuras críticas y los operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbi- to de aplicación del Real Decreto- Ley 12/2018 sobre seguridad de las redes y sistemas de información (Ley NIS). Este documento, que consta de ocho capítulos y cuatro anexos, establece un detallado esquema de notificación a partir de una serie de criterios de impacto y cataloga los incidentes en cinco niveles de peligrosidad: crítico, muy alto, alto, medio y bajo. Como uno de sus principales avances, la Guía plantea un sistema de "ventanilla única" para la comunicación de ciberincidentes con el propósito de aumentar la efi- ciencia en el tratamiento de la infor- mación y optimizar los resultados. La Guía de Notificación establece además una clasificación única de incidentes. Concretamente, el docu- mento relaciona 38 posibles tipos de incidentes, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prác- ticos para orientar las comunicacio- nes y ayudar al análisis, contención y erradicación del ciberincidente. Sobre este marco común, la Guía contempla la existencia de exigen- cias adicionales recogidas en otras normas diferentes a la Ley NIS, como es el caso de las infraes- tructuras críticas. Los operadores críticos están sujetos a una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar o una ventana temporal de reporte, según establece la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta Guía integra todos los aspectos comunes requeridos téc- nicamente por los CSIRT nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas. Además, se convierte en el eje fundamental que sustenta la imple- mentación nacional de la obligación de notificar ciberincidentes asignada a los operadores de servicios esen- ciales. Documento consensuado La redacción del documento ha sido fruto del esfuerzo de varios organis- mos. El Instituto de Ciberseguridad Nacional (Incibe), el Centro Criptológico Nacional (CCN) o el Mando Conjunto de Ciberdefensa han trabajado en su redacción, bajo la coordinación del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), lo que da muestras de la capacidad de consenso demostrada. Todos esos organismos se encargan de los cen- tros de respuesta a incidentes des- plegado en virtud de la Ley NIS. El germen de esta guía se sitúa en 2017, en la Mesa de Coordinación de Ciberseguridad del CNPIC, donde se vio la necesidad de ela- borar un documento integrado para el reporte y gestión de incidentes cibernéticos. Dada la relevancia en la evolución de los trabajos, el Consejo Nacional de Ciberseguridad encargó a estos organismos trasladar esos resultados a un solo documento integrado donde se diera respuesta a las diferentes casuísticas posibles. Para redactarla se creó un grupo de trabajo con los mencionados organismos públicos, y que ha con- tado con la participación de exper- tos y responsables de seguridad de la información de los principales operadores de servicios esenciales españoles.