1. Les entitats que presten serveis essencials o importants han de notificar al CSIRT-AD, que al seu torn ho farà a l’autoritat nacional competent que li pertoqui i en tot cas a l’ANC-AD, els incidents que tinguin o puguin tenir efectes significatius en aquests serveis d’acord amb el que s’estableixi reglamentàriament, així com qualsevol informació que permeti a l’autoritat nacional competent o al CSIRT-AD determinar les repercussions transfrontereres que pot tenir l’incident.
Aquesta notificació es farà sense demora i en tot cas en el termini de setanta-dues hores a comptar de la seva detecció. Si en el moment de notificar l’incident o possible incident encara no disposen d’informació en relació amb la seva repercussió sobre serveis essencials o importants, poden ometre aquesta informació, amb el compromís d’enviar-la com més aviat millor, i que transcorregut un termini de setanta-dues hores des de la notificació de l’incident, l’entitat essencial o important que no hagi reunit la informació pertinent enviï al CSIRT-AD un informe justificatiu de les actuacions que hagi dut a terme per obtenir aquesta informació i dels motius pels quals no ha sigut possible obtenir-la.
Quan sigui procedent, aquestes entitats han de notificar, sense demora indeguda, als destinataris dels seus serveis que puguin veure’s afectats per l’incident, les mesures o solucions que aquests destinataris poden aplicar en resposta al mateix.
2. Les entitats de serveis essencials o importants han de notificar a l’autoritat nacional competent, per mitjà del CSIRT-AD i sense demora, qualsevol ciberamenaça significativa pels serveis essencials o importants que, al seu parer, pot desembocar en un incident significatiu d’acord amb el que s’estableixi reglamentàriament.
Quan sigui procedent, aquestes entitats han de notificar, sense demora indeguda, als destinataris dels seus serveis que puguin veure’s afectats per una ciberamenaça significativa, les mesures o solucions que aquests destinataris poden aplicar en resposta a l’amenaça. Quan sigui procedent, les entitats notificaran als destinataris la pròpia amenaça.
3. Una amenaça significativa és aquella que pot donar lloc a un incident significatiu, i un incident es considerarà significatiu si:
a) L’incident ha causat o pot causar pertorbacions operatives o perjudicis econòmics substancials per a l’entitat afectada; o.
b) L’incident ha afectat o pot afectar altres persones físiques o jurídiques en causar perjudicis materials o morals considerables en relació amb:i. El nombre d’usuaris afectats per la pertorbació del servei essencial i la seva quota de mercat.ii. La duració de l’incident.iii. La no disponibilitat d’alternatives per mantenir un nivell suficient de prestació del servei.iv. L’extensió o àrees geogràfiques afectades o que puguin quedar afectades per l’incident.v. El grau de pertorbació del funcionament del servei.vi. L’abast de l’impacte en activitats econòmiques i socials crucials.vii. La importància dels sistemes afectats o de la informació afectada per l’incident per a la prestació del servei essencial.viii. La dependència d’altres sectors estratègics respecte del servei i la repercussió, en termes de grau i durada, de l’incident en les activitats socials i econòmiques o en la seguretat pública.ix. El dany a la reputació.Reglamentàriament es poden afegir factors específics del sector per determinar si un incident pot tenir efectes pertorbadors significatius.
4. En relació a les notificacions indicades en els apartats 1 i 2, les entitats afectades han de presentar al CSIRT-AD:
a) Una notificació inicial sense demora indeguda i en qualsevol cas en el termini de vint-i-quatre hores des que s’hagi tingut constància de l’incident, en la qual s’indicarà, quan s’escaigui, si cal suposar que l’incident respon a una acció il·lícita o malintencionada;b)Totes aquelles notificacions intermitges que resultin precises o sol·liciti el CSIRT-AD per actualitzar o completar la informació inclosa en la notificació inicial i informar sobre l’evolució de l’incident mentre aquest no es trobi resolt; i.
c) Un informe final, a tot tardar un mes després de presentar la notificació inicial prevista a la lletra a), en la qual s’hi recullin almenys els següents elements:i. una descripció detallada de l’incident, la seva gravetat i el seu impacte;ii. el tipus d’amenaça o causa principal que probablement va desencadenar l’incident; iiii. les mesures de mitigació aplicades i en curs.
5. En casos degudament justificats, com ara en supòsits de força major, l’entitat pot incomplir els terminis establerts en els apartats 1 i 2.
6. Les notificacions efectuades a l’empara d’aquest article han d’incloure la informació que permeti determinar qualsevol efecte transfronterer de l’incident.
7. El CSIRT-AD oferirà, en el termini de vint-i-quatre hores després de la recepció de la notificació inicial a què es refereix l’apartat 4.a), una resposta a l’entitat que ha fet la notificació, incloent en particular els seus comentaris inicials sobre l’incident i, a instàncies de l’entitat, una orientació sobre l’aplicació de possibles mesures de mitigació. El CSIRT-AD donarà suport tècnic addicional quan així ho sol·liciti l’entitat afectada. Quan es sospiti que l’incident és de naturalesa delictiva, el CSIRT-AD també proporcionarà orientació a l’efecte de denunciar l’incident davant les autoritats corresponents.
L’obligació de notificació d’incidents prevista en aquest article no allibera del compliment del deure general que té l’entitat que fa la notificació de denúncia davant les autoritats corresponents, sobre aquells fets que puguin revestir caràcter de delicte.
8. Quan el coneixement del públic sigui necessari per evitar un incident o fer front a un incident en curs, o quan la divulgació de l’incident redundi en l’interès públic, l’ANC-AD, amb el suport del CSIRT-AD, podrà informar el públic, després de consultar-ho amb l’entitat afectada, de l’incident, o exigir a l’entitat que ho faci si aquesta no ha actuat prèviament en aquest sentit.
9. Les notificacions d’entitats essencials han de referir-se als incidents que afecten les infraestructures crítiques, les xarxes i els sistemes d’informació emprats en la prestació dels serveis essencials, sent indiferent que es tracti d’infraestructures crítiques, xarxes i sistemes propis o de proveïdors externs.
10. Les entitats essencials o importants han de realitzar les notificacions que corresponguin en virtut d’aquest capítol a través del Delegat de la Seguretat de la Informació (DSI) que hagin designat segons el que es disposa a l’article 18.
11. La notificació d’un incident segons el que es disposa en aquesta Llei no exclou ni substitueix l’obligació de notificació que les entitats hagin de fer a altres organismes conforme a la seva normativa específica.
12. Quan la notificació d’incidents o la seva gestió, anàlisi o resolució requereixi comunicar dades personals, el seu tractament s’ha de restringir a les dades que siguin estrictament adequades, pertinents i limitades en relació amb la finalitat perseguida en cada cas.
Les cessions de dades personals per a aquests fins s’entenen autoritzades en els següents casos:
a) Entre les entitats essencials o importants i l’ANC-AD, el CSIRT-AD o les autoritats nacionals competents.
b) Entre el CSIRT-AD i l’ANC-AD.
c) Entre el CSIRT-AD i altres CSIRT designats internacionalment.
d) Entre l’ANC-AD i altres autoritats competents internacionals.
e) Entre les autoritats nacionals competents i l’ANC-AD.
f) Entre les autoritats nacionals competents i el CSIRT-AD.