Ustanawianie zobowiązania prawnego, aby przedsiębiorstwa zdawały sprawozdanie administracji publicznej ze zdarzeń zagrażających bezpieczeństwu, wydaje się być tendencją wzrostową. W 2018 roku wejdzie w życie Ogólne rozporządzenie o ochronie danych osobowych (GDPR) i dokonana zostanie w Hiszpanii transpozycja Dyrektywy NIS. Dwa uregulowania prawne, które dołączają do innych już wprowadzonych, takich jak Ustawa o ochronie infrastruktury krytycznej lub Krajowy Schemat Bezpieczeństwa, wymagających od zainteresowanych przedsiębiorstw zdawania sprawozdania. W taki oto sposób, ww. uregulowania będą miały bezpośredni wpływ na instytucje administracji publicznej, kluczowych operatorów infrastruktury krytycznej, a także na jakiegolwiek rodzaju przedsiębiorstwa.

Poszczególne uregulowania wprowadzają jednakże szczególne i specyficzne wymogi w zakresie opracowania wymaganego prawnie sprawozdania, a mianowicie, kiedy należy go sporządzać, jak szczegołówo, w jakim terminie, do jakiej instytucji go skierować, w jakim formacie go opracować. Wobec takiego stanu rzeczy, podmioty zainteresowane mają wątpliwości co do sposobu właściwego wywiązania się ze swojego obowiązku, a zwłaszcza w sytuacji, kiedy zdarzenie zagrażające bezpieczeństwu wymaga jednoczesnego zgłoszenia do kilku organów.     

Będąc w pełni świadoma istniejącego problemu, Grupa Robocza ds. Jakości i Bezpieczeństwa AUTELSI (Hiszpańskie Stowarzyszenie Użytkowników Telekomunikacji i Społeczeństwa Informacyjnego) opracowała przewodnik „Postępowanie w obliczu zdarzeń zagrażających bezpieczeństwu i wymagających zgłoszenia” przy współpracy GMV, reprezentowanej przez Mariano J. Benito, członka wspomnianej Grupy Roboczej i CISO w GMV Secure e-Solutions.

Założeniem przewodnika jest wyjaśnienie i porównanie wymagań prawnych określonych we wspomnianych regulacjach, a jego zalecenia skierowane są dla osób zajmujących się zawodowo bezpieczeństwem informacyjnym, poszczególnych członków komitetów kryzysowych i/lub bezpieczeństwa bądź osób odpowiedzialnych za te kwestie w przedsiębiorstwach. W ten sposob można zagwarantować, że zgłaszanie zdarzeń zagrażających bezpieczeństwu cybernetycznemu będzie się odbywało na jednolitych zasadach, w określonym terminie i do wszystkich niezbędnych organów. W założeniu autorów przewodnika, ma on stać się elementem uświadamiającym i przybliżającym problematykę poszczególnym organom zarządzającym przedsiębiorstwami oraz podmiotami publicznymi.