seguritecnia 460

64 SEGURITECNIA Enero 2019 Ciberseguridad sino que ha facilitado enormemente la identificación de los operadores de ser- vicios esenciales del RDL 12/2018. En este sentido ha bastado identificar cuá- les de estos operadores de infraestruc- turas críticas tienen suficiente depen- dencia de las tecnologías de la infor- mación para considerarlos operadores de servicios esenciales. De esta manera, existirá un gran conjunto de operado- res críticos que lo sean también de ser- vicios esenciales (la inmensa mayoría), un conjunto mínimo de operadores crí- ticos pero no de servicios esenciales y algún operador de servicios esencia- les que no sea crítico. Por supuesto, esta decisión se ha tomado evaluando a cada operador de manera pormeno- rizada, valorando su dependencia de las TIC de manera exhaustiva. - Un aspecto destacado de esa norma es la necesidad de que los operadores comuniquen los incidentes de ciberse- guridad, para lo cual el Consejo de Ci- berseguridad Nacional acaba de apro- bar la Guía de Notificación de Incidentes de Ciberseguridad , cuya redacción fue coordinada por el CNPIC. ¿Cuáles son el objetivo, el alcance y los principales puntos de este documento? La Guía Nacional de Notificación y Gestión de Ciberincidentes [en adelante GNNGC] es uno de los grandes logros de 2018. Y esto es así porque, gracias a esta guía, se ha consensuado un procedimiento inter- ministerial de alcance estatal de gran re- levancia en el ámbito de la ciberseguri- dad. Estamos hablando de una situación de partida en la que el Centro Criptoló- gico Nacional [CCN] disponía de su pro- pia Guía STIC-817 para el sector público, Incibe-CERT otra guía para el ámbito pri- vado dentro de su “ constituency ” y, por último, el CNPIC habíamos implemen- tado una guía de notificación para ope- radores críticos. Con la GNNGC hemos logrado que Incibe, CCN, Mando Con- junto de Ciberdefensa [MCCD] y CNPIC hayan alcanzado un consenso en cuanto a la clasificación de los incidentes y las peligrosidad e impacto asociado para toda la casuística nacional. Se trata de un documento de 60 pá- ginas en el que se define, a través de 12 capítulos, el ámbito de actuación de cada CSIRT competente, se estable- cen las taxonomías de los ciberataques y se acuerdan los procedimientos para cada caso, aplicando métricas e indica- dores para objetivarlos. Por tanto el al- cance del documento es universal, ya Por Enrique González Herrero - En septiembre del año pasado, la Directiva NIS se traspuso al ordena- miento jurídico español a través del Real Decreto-Ley 12/2018 de seguri- dad de las redes y sistemas de la in- formación [en adelante RDL 12/2018]. ¿Cómo se está produciendo la adap- tación a la norma en lo que se refiere a las infraestructuras críticas? Desde un punto de vista normativo, y en lo que se refiere a la protección de infra- estructuras críticas, España siempre ha hecho bien los deberes. Se ha trabajado de manera activa para que el impacto de la transposición de la Directiva NIS sea el menor posible desde antes de su aprobación y durante su desarrollo. De igual manera se hizo con la Ley PIC en su momento, y si bien hay ciertas cuestio- nes que hay que definir para que el RDL 12/2018 y la Ley PIC se complementen de manera total, se están analizando y discutiendo en estos momentos. Dicho de otra manera, el esfuerzo que se hizo para identificar a los ope- radores de infraestructuras críticas por la Ley PIC, no solo nos ha permitido dar implementación al Plan Nacional de Protección de Infraestructuras Críticas, Fernando Sánchez Director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) El Consejo de Seguridad Nacional acaba de hacer pública la Guía Nacional de Notificación y Gestión de Ciberincidentes – la pri- mera de este tipo en toda la UE que recoge un marco único para todo el Estado– para ayudar a las organizaciones afectadas por la Directiva NIS a notificar los ataques que reciban. Aunque se trata de un documento de referencia para cualquier clase de em- presa, está especialmente orientada a los operadores de servi- cios esenciales y a los críticos, con el objetivo de aclarar cuestio- nes como cuándo notificar, cómo hacerlo y qué información tras- ladar a las autoridades competentes. Fernando Sánchez, director del CNPIC, proporciona en exclusiva en Seguritecnia las res- puestas a estos asuntos. “Gracias a la Guía de Notificación de Ciberincidentes hemos consensuado un procedimiento de alcance estatal”