La Agencia de Ciberseguridad de la Unión Europea (ENISA, por sus siglas en inglés) ha publicado unas nuevas directrices para facilitar la notificación de incidentes de seguridad por parte de las autoridades nacionales de seguridad de las telecomunicaciones.
En este documento se describen los formatos y procedimientos para la notificación transfronteriza y la notificación resumida anual en virtud del artículo 40 de la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas. Esta norma impone a los Estados miembros la obligación de velar por que los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público notifiquen sin demora injustificada a la autoridad competente los incidentes en materia de seguridad que hayan tenido consecuencias significativas en la explotación de las redes o los servicios.
El apartado 2 del artículo 40 describe tres tipos de notificación de incidentes:
- Notificación de incidentes nacionales de los proveedores a las autoridades competentes,
- Notificación de incidentes ad hoc entre las autoridades competentes y ENISA, y
- Notificación resumida anual de las autoridades competentes a la Comisión Europea y a ENISA. Las presentes directrices se centran en el segundo y tercer tipo de notificación: la notificación ad hoc y la notificación resumida anual.