Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Espanha cria guia sobre notificação e gestão de incidentes cibernéticos

A Espanha é o primeiro país da União Européia a contar com um guia de notificação e gerenciamento de incidentes cibernéticos.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

No dia 9 de janeiro o governo espanhol publicou o Guía Nacional de Notificación y Gestión de Ciberincidentes, um documento técnico que estabelece diretrizes para notificar e gerenciar incidentes de segurança cibernética ocorridos em território espanhol. 1

A Espanha é o primeiro país da UE que conta com um documento do tipo, criado como resposta à crescente demanda das empresas e do setor público por diretrizes para notificação de incidentes de segurança cibernética.

Classificação dos incidentes

O guia enumera 38 tipos de incidentes, divididos em 10 classificações e acompanhados por descrições e exemplos práticos para orientar a notificação e auxiliar na análise, contenção e erradicação de incidentes cibernéticos.

A lista completa das classificações, tipos de incidentes, descrições e exemplos práticos estão da página 12-16 do Guía Nacional de Notificación y Gestión de Ciberincidentes.

Notificação dos incidentes

Para fins de notificação à autoridade competente ou ao CSIRT (Computer Security Incident Response Team) de referência, o guia cataloga os incidentes por níveis de risco (crítico, muito alto, alto, médio ou baixo ), auxiliando na análise, contenção e resolução de incidentes cibernéticos.


A lista completa dos critérios de determinação do nível de perigo dos incidentes de cibersegurança estão da página 18-19 do Guía Nacional de Notificación y Gestión de Ciberincidentes.

A diversidade de critérios para classificação de incidentes dificulta o gerenciamento. Com a unificação, espera-se que a gestão e prevenção de ameaças ganhem eficácia.

O Brasil poderia criar um documento do tipo. A segurança exigida pela nossa sociedade ganharia um importante instrumento. A própria materialização dos objetivos da PNSI (Política Nacional de Segurança da Informação) seria mais facilmente atingida, uma vez que a orientação à gestão de riscos e à gestão da segurança da informação e a prevenção e tratamento de incidentes de segurança da informação são princípios norteadores da norma, elencados nos incisos VIII e IX do artigo 3º do Decreto 9637/18.2

Referências

  1. Guía Nacional de Notificación y Gestión de Ciberincidentes: http://www.interior.gob.es/
  2. Decreto nº 9.637, de 26 de dezembro de 2018: http://www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2018/Decreto/D9637.htm

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.