La Autoridad Vasca de Protección de Datos (en adelante, “AVPD”), junto con la Agencia Vasca de Ciberseguridad (en adelante, “Cyberzaintza”), ha publicado la Guía básica para entidades del sector público vasco sobre la gestión de incidentes de ciberseguridad (2024-2029). El documento establece un marco de referencia para organizar y documentar la gestión de incidentes que afecten a la seguridad de la información, incluidos aquellos que puedan constituir brechas de datos personales.
La guía tiene por objeto ofrecer procedimientos y criterios comunes para que las entidades del sector público puedan planificar, identificar, analizar y responder a incidentes de ciberseguridad, así como cumplir las obligaciones derivadas de la normativa aplicable. Entre los aspectos operativos que recoge se encuentran:
- La definición de actividades de preparación y prevención, tales como la identificación de activos, la evaluación de riesgos, la elaboración de protocolos internos y la formación del personal.
- La regulación de mecanismos de detección y análisis, incluyendo la monitorización de sistemas, el registro de eventos y la valoración del impacto potencial sobre los datos personales y sobre el funcionamiento de los servicios.
- La descripción de medidas de contención, erradicación y recuperación, orientadas a limitar el alcance del incidente, restaurar los sistemas y dejar constancia documentada de las actuaciones realizadas.
- Un apartado específico relativo a la notificación de brechas de seguridad, que recuerda la obligación de comunicar a la AVPD aquellas incidencias que puedan comportar riesgos para los derechos y libertades de las personas, así como, cuando proceda, la necesidad de informar a los afectados conforme a lo previsto en el RGPD.
- La incorporación de actividades posteriores al incidente, como la revisión de lo sucedido, la actualización de procedimientos internos y la conservación de evidencias.
Además, la guía incluye ejemplos de errores frecuentes en la gestión de incidentes e incluye el marco normativo aplicable, con referencias al RGPD, a la legislación estatal en materia de seguridad de la información y a las regulaciones autonómicas en ciberseguridad y protección de datos.
