Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad, según se recoge en el artículo 19.2 .

Los prestadores de servicios electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital, en concreto la Secretaría de Estado de Sociedad de Información y Agenda Digital, SESIAD) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada.

En la comunicación a la SESIAD se deben aportar los siguientes datos:

• Fecha y hora en la que se tuvo conocimiento del incidente;
• Fecha y hora de finalización del incidente, en su caso, o de la previsión de su solución;
• Datos de contacto de la persona responsable de la gestión delincidente;
• Datos de identificación del prestador de servicios de confianza involucrado;
• Descripción del servicio afectado;
• Descripción, en su caso, de los datos personales afectados;
• Breve descripción del incidente de seguridad;
• Resumen de medidas adoptadas o que se prevén adoptar para contrarrestar el incidente;
• En su caso, consecuencias transfronterizas del incidente.

Acceso al procedimiento de notificación[1].

En la página indicada se tramitarán las Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

La Supervisión de la SESIAD está contemplada tanto en el Reglamento (UE) Nº 910/2014, como en la Ley 59/2003 de Firma Electrónica.

Posteriormente, en el plazo máximo de 1 mes desde que tuvo lugar el incidente de seguridad, y una vez analizado exhaustivamente, identificando sus causas, consecuencias y las medidas adoptadas, el prestador de servicios de confianza digital notificará a este la SESIAD toda la información relacionada, de forma que la información se gestione en el marco europeo de coordinación de incidentes con ENISA[2]

Estaúltima notificación se puede realizar mediante un formulario[3] especialmente diseñado para ello.

Contacte con Inza Consulting si necesita ayuda para coordinar las actuaciones necesarias ante incidentes de seguridad.

[1] https://sede.minetur.gob.es/es-ES/procedimientoselectronicos/Paginas/ley592003.aspx

[2] https://www.enisa.europa.eu/publications/article19-incident-reporting-framework

[3] http://www.minetad.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Documents/Notificacion_incidentes.pdf

Julián Inza

• Por EADTrust
• 28/11/2017
• identificación electrónica, transacciones electrónicas, Incidentes de seguridad, SESIAD