España se convierte en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad.
La Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada por el Consejo Nacional de Ciberseguridad, ha sido concebida con la idea de crear un marco de referencia dirigido tanto al sector público como al privado para la notificación de incidentes de ciberseguridad.
Se establece un sistema de ventanilla única de notificación, por el cual el sujeto deberá efectuar la comunicación del incidente únicamente al organismo de referencia (CSIRT) correspondiente en cada caso, que será el Centro Criptológico del Centro Nacional de Inteligencia (CCN-CERT) para el Sector Público o el Instituto Nacional de Ciberseguridad de España (INCIBE-CERT) para el sector privado. El organismo de referencia remite el caso al organismo receptor implicado (por ejemplo, en caso de que afecte al RGPD, será la AEPD) y este será el que después se ponga en contacto con el sujeto afectado para recabar más información al respecto.
A fin de facilitar la identificación y análisis posterior de los ciberincidentes, se han definido diez categorías diferentes: contenido abusivo (ej. Spam), contenido dañino (ej. Malware), obtención de información (ej. grabación del tráfico de redes), intento de intrusión (ej. Vulneración de credenciales), intrusión (ej. Compromiso de aplicaciones), disponibilidad (ej. DDoS), compromiso de la información (ej. Pérdida de datos), fraude (ej. Phishing), vulnerable (ej. Criptografía débil) y otros.
Según el tipo de categoría sobre el que recaiga el incidente, se decidirá el Nivel de peligrosidad, que determina la potencial amenaza que supondría la materialización del incidente para los sistemas de información o comunicación del ente afectado, así como para los servicios prestados o la continuidad de negocio. Podrá ser crítico, muy alto, alto, medio o bajo. De manera similar, a posteriori se configurará el indicador de impacto, para evaluar las consecuencias que el ciberincidente haya tenido en las funciones y actividades de la organización afectada o en sus activos. También podrá ser crítico, muy alto, alto, medio o bajo, y se añade una opción adicional: sin impacto.
En cuanto a la gestión de los ciberincidentes, se definen las fases que toda institución y empresa deberían implementar de cara a prevenirlos y, en caso de que ocurran, ser capaces de restaurar los niveles de operación lo antes posible. Las fases son: preparación (ej. Políticas actualizadas), identificación (e. Monitoreo de redes), contención (ej. Evaluación de la información disponible y clasificación), mitigación (ej. Recuperación de la última copia de seguridad limpia), recuperación (retomar el nivel de actividad normal) y post-incidente (evaluación de la causa y coste).