O estabelecimento de uma obrigação legal no sentido de obrigar as empresas a comunicar à administração os seus incidentes de segurança, tem sido uma tendência crescente. Durante o ano de 2018 entrará em vigor no Regulamento Europeu de Protecção de Dados (GDPR), sendo publicada a transposição espanhola da Directiva NIS. São duas regulamentações que vêm somar-se a outras já existentes como a Lei PIC ou o Esquema Nacional de Segurança que já requeriam relatório das empresas afectadas.  Deste modo, serão abrangidas por esta regulamentação as organizações da administração pública, os operadores essenciais ou de infra-estruturas críticas, assim como qualquer empresa que trabalhe com dados pessoais.

No entanto, as diferentes regulamentações requerem condições particulares e específicas sobre o relatório que se deve fazer: quando fazê-lo, com que nível de pormenor, em que prazos, a qual autoridade, com que formato. Nesta situação as organizações estão com dúvidas sobre a maneira de cumprir adequadamente esta obrigação legal, sobretudo quando algum incidente tiver que ser comunicado simultaneamente a várias autoridades.

Consciente deste problema, o Grupo de Trabalho de Qualidade e Segurança da AUTELSI (Associação Espanhola de Utilizadores de Telecomunicações e da Sociedade da Informação) elaborou um estudo sobre a “Actuação face a incidentes de segurança que requeiram notificação", com a colaboração da GMV, representada por Mariano J. Benito, membro do grupo de trabalho e CISO da GMV Secure e-Solutions.

O objectivo do Guia consiste em esclarecer e contrastar os requisitos legais exigidos por esta regulamentação, assistindo na sua actividade aos profissionais da Segurança das Informações, aos diveros componentes do comité de crise/segurança ou aos responsáveis nesta matéria. Desta forma poderão classificar-se os possíveis incidentes de cibersegurança com critérios homogéneos, nos prazos estabelecidos e a todas as autoridades necessárias. O guia também pretende servir de elemento de sensibilização e de abordagem dessa problemática aos diversos órgãos de direcção das empresas e entidades públicas.