La Guía Nacional de Notificación y Gestión de Ciberincidentes elaborada por el Ejecutivo convierte a España en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad, superando así la disparidad de criterios anteriormente existentes en este campo.
Se trata de un documento técnico que establece una referencia en el ámbito de la notificación y gestión de incidentes de ciberseguridad en territorio español. Proporciona a los responsables de seguridad de la información directrices para reportar incidentes de ciberseguridad en las administraciones públicas, las infraestructuras críticas y operadores estratégicos de su competencia, así como el resto de entidades comprendidas en el ámbito de aplicación del Real Decreto-ley 12/2018 sobre seguridad de las redes y sistemas de información.
La Guía, que consta de ocho capítulos y cuatro anexos, establece un detallado esquema de notificación a partir de una serie de criterios de impacto recogidos en el documento, y cataloga los incidentes en cinco niveles de peligrosidad: crítico, muy alto, alto, medio y bajo. Como uno de sus principales avances, plantea un sistema de «ventanilla única» para la notificación de estos incidentes con el propósito de aumentar la eficiencia en el tratamiento de la información y optimizar los resultados.
El aspecto más innovador de la Guía es la presentación de una clasificación única de incidentes, en un ejercicio de concreción técnica, colaboración público-privada y coordinación entre múltiples actores. Concretamente, el documento relaciona 38 tipos posibles de incidente, enmarcados dentro de 10 clasificaciones diferentes, que vienen acompañados por una serie de descripciones y ejemplos prácticos para orientar las comunicaciones y ayudar al análisis, contención y erradicación del ciberincidente.
Sobre este marco común, la Guía posibilita la existencia de otros casos especiales, en función de la existencia de normas jurídicas que puedan exigir un esfuerzo extra a las organizaciones dentro de su ámbito de aplicación. Es el caso de aquellos operadores designados como «críticos» en aplicación de la Ley 8/2011, PIC, a quienes se añaden una serie de especificaciones adicionales, entre las que se cuentan comunicaciones obligatorias, contenidos mínimos a notificar, o ventana temporal de reporte.
Esta Guía integra todos los aspectos comunes requeridos técnicamente por los CSIRT nacionales junto a aquellos específicos propios del Sistema Nacional de Protección de Infraestructuras Críticas.
Además, se convierte en el eje fundamental que sustenta la implementación nacional, a través de la transposición de la Directiva NIS (RD-ley 12/2018), de la obligación de notificar ciberincidentes asignada a los operadores de servicios esenciales.