La <notificación de brechas de seguridad> en España va más allá de la AEPD y puede involucrar a múltiples reguladores según el sector y la naturaleza del incidente. Este enfoque integral asegura que las brechas se manejen de manera adecuada y que las medidas de protección y mitigación se implementen eficazmente, protegiendo tanto a los individuos como a los servicios esenciales y la infraestructura crítica del país.
ABC
Proceso General de Notificación
- Evaluación Inicial: Determinar la naturaleza de la brecha, su impacto y los datos comprometidos.
- Identificación del Regulador Competente: Según el sector y la naturaleza del incidente, identificar el regulador o la entidad adecuada para la notificación.
- Notificación Formal: Proveer detalles de la brecha, incluyendo su naturaleza, impacto, medidas correctivas y planes de mitigación.
- Cooperación Continua: Colaborar con el regulador o entidad durante la investigación y la resolución del incidente, proporcionando información adicional si es necesario.
Aquí se presentan algunos de los principales reguladores y entidades que pueden requerir notificación en caso de una brecha de seguridad
- Centro Criptológico Nacional (CCN)
El CCN, dependiente del Centro Nacional de Inteligencia (CNI), es responsable de la seguridad de las tecnologías de la información y comunicación (TIC) en el sector público español. Las entidades del sector público deben notificar las brechas de seguridad al CCN según los procedimientos establecidos en las Normas de Seguridad del Esquema Nacional de Seguridad (ENS).
- Instituto Nacional de Ciberseguridad (INCIBE)
El INCIBE, adscrito al Ministerio de Asuntos Económicos y Transformación Digital, ofrece servicios y asistencia en ciberseguridad tanto a ciudadanos como a empresas. En particular, las organizaciones que gestionan infraestructuras críticas o esenciales, que afectan a sectores como energía, transporte, salud, agua y telecomunicaciones, deben notificar incidentes de ciberseguridad al INCIBE.
- Comisión Nacional del Mercado de Valores (CNMV)
Las empresas del sector financiero, especialmente aquellas que cotizan en bolsa o que están reguladas por la CNMV, deben notificar brechas de seguridad a esta entidad. Esto es crucial para garantizar la integridad y transparencia del mercado financiero.
- Banco de España
Las entidades bancarias y financieras están obligadas a notificar incidentes de seguridad al Banco de España, especialmente aquellos que puedan tener un impacto significativo en la estabilidad financiera o en la confianza del público en el sistema bancario.
- Comisión Nacional de los Mercados y la Competencia (CNMC)
La CNMC supervisa diversos sectores económicos, incluyendo energía, telecomunicaciones y transporte. Las empresas que operan en estos sectores pueden estar obligadas a notificar brechas de seguridad a la CNMC, particularmente si los incidentes afectan a servicios esenciales o a la competencia en el mercado.
- Ministerio de Defensa
Las empresas del sector de defensa o aquellas que trabajan con contratos de defensa deben notificar brechas de seguridad al Ministerio de Defensa, especialmente si los incidentes pueden comprometer la seguridad nacional.
- Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)
El CNPIC, dependiente del Ministerio del Interior, se enfoca en la protección de infraestructuras críticas. Las empresas que gestionan tales infraestructuras deben notificar incidentes de seguridad al CNPIC, asegurando la protección de servicios esenciales para la sociedad.
- Sector asegurador
La Ley de Supervisión de los Seguros Privados establece que las entidades aseguradoras deben adoptar medidas adecuadas para la protección de la información y los datos de sus clientes, incluyendo la obligación de notificar incidentes de seguridad relevantes a la Dirección General de Seguros y Fondos de Pensiones (DGSFP) que es la entidad reguladora del sector asegurador, que analizará si la brecha pueda afectar la estabilidad financiera de la empresa o la confianza del público.
