Plan de Continuidad de Ciberseguridad

Introducción

La Sociedad actual es una sociedad interconectada muy dependiente de las tecnologías de información.

Es un hecho que las amenazas de ciberseguridad son una realidad a la que se está haciendo frente por medio de distintas estrategias y normativas. La rapidez con la que los avances tecnológicos se desarrollan hace necesario que dichas estrategias estén en continua implementación.

Cuando hay una amenaza de ciberseguridad, puede llegar a verse comprometida la prestación de los servicios esenciales del territorio, con las potenciales consecuencias negativas en la población.

La Ley de Gestión de Emergencias aprobada por el Decreto Legislativo 1/2017, de 27 de abril, prevé que los planes de protección civil aprobados por el Gobierno Vasco podrán exigir la elaboración e implantación de planes de continuidad de la actividad en determinadas infraestructuras críticas y recursos clave que resulten esenciales para la comunidad, su estabilidad económica y social y la pronta recuperación en situaciones de grave riesgo, catástrofe o calamidad.

También esta Ley de Gestión de emergencias aborda la autoprotección como medida de prevención y eslabón de unión con el sistema vasco de atención de emergencias.

El Decreto 277/2010, de 2 de noviembre , modificado por el Decreto 21/2019, de 12 de febrero, por el que se regulan las obligaciones de autoprotección exigibles a determinadas actividades, centros o establecimientos para hacer frente a situaciones de emergencia, contempla las actividades que deben disponer de planes de autoprotección y los requisitos para su elaboración.

Para dar respuesta a este reto, se la publicado la siguiente Orden que nace como mecanismos que posibilite que las actividades de sectores básicos y esenciales obligados a desarrollar planes de autoprotección deban desarrollar también planes de continuidad en materia de ciberseguridad que puedan unificarse en un documento único y común.

ORDEN de 7 de junio de 2024, del Vicelehendakari Primero y Consejero de Seguridad, por la que se regula la elaboración de planes de continuidad en materia de ciberseguridad para ciertas actividades sujetas a la norma vasca de autoprotección.

https://www.legegunea.euskadi.eus/eli/es-pv/o/2024/06/07/(1)/dof/spa/html/webleg00-contfich/es/

¿Y que es un Plan de Continuidad de Ciberseguridad?

Un plan de continuidad de negocio (o PCN) es un conjunto de medidas y procedimientos establecidos por una organización para garantizar la continuidad de sus operaciones en caso de situaciones disruptivas o desastres naturales (como terremotos, inundaciones, incendios, etc.), interrupciones de servicio, fallos de hardware o software, ciberataques, entre otros.

El objetivo principal de un plan de continuidad es minimizar los daños y las pérdidas y asegurar que la empresa pueda volver a operar tan pronto como sea posible después de un incidente. También es importante para proteger la reputación de la empresa, asegurar la satisfacción de los clientes y mantener la confianza del mercado.

Los planes de continuidad suelen incluir medidas de prevención, reducción, respuesta y recuperación. Estas medidas pueden incluir:

• Evaluación del riesgo
• Identificación y priorización de los sistemas y procesos críticos
• Establecimiento de un equipo de gestión de crisis
• Protección de los datos y la información
• Establecimiento de planes de contingencia y de recuperación de desastres
• Sistemas de respaldo y de redundancia
• Comunicaciones durante y después del incidente

Ejercicios de simulación y pruebas periódicas del plan

¿A que tipo de actividades aplica la Orden ORDEN de 7 de junio de 2024?

Lo dispuesto en esta Orden será de aplicación a las actividades de los sectores cuya operación es necesaria para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de la ciudadanía, y el eficaz funcionamiento de las Instituciones de Euskadi y sus Administraciones Públicas, cuando alguno de sus establecimientos este sujeto a lo establecido en el Decreto 277/2010, de 2 de noviembre , modificado por el Decreto 21/2019, de 12 de febrero, por el que se regulan las obligaciones de autoprotección exigibles a determinadas actividades, centros o establecimientos para hacer frente a situaciones de emergencia.

Los sectores a los que se hace referencia el párrafo anterior de este artículo se encuentran categorizados en el Anexo I de la presente Orden, siendo estos:

a) Tecnologías de la información comunicaciones.

b) Gobierno y Administración Pública.

c) Energía.

d) Cadena alimentaria.

e) Infraestructuras y medios de transporte y logística.

f) Finanzas.

g) Agua.

h) Agentes económicos relevantes.

i) Sanidad.

j) Residuos urbanos e industriales.

k) Sectores industriales de riesgo.

l) Investigación.

A modo orientativo, y en la siguiente lista no exhaustiva, a las siguientes actividades que se encuadran en los anexos I.1 o I.2 de la Norma Vasca de Autoprotección les aplica la Orden que regula la elaboración de planes de continuidad en materia de ciberseguridad:

— Establecimientos SEVESO de nivel Inferior y Superior (Real Decreto 840/2015, de 21 de septiembre), así como los establecimientos con cantidades iguales o superiores al 60% de las especificadas en la columna 2 de las partes 1 y 2 del Anexo I del Real Decreto 840/2015.

— Establecimientos en los que intervienen explosivos, regulados por la ITC 10 sobre prevención de accidentes graves del Reglamento de Explosivos.

— Actividades de Gestión de Residuos Peligrosos, recogida, almacenamiento, valorización o eliminación, de acuerdo con lo establecido en la Ley 7/2022, de 8 de abril.

— Instalaciones para la obtención, transformación, tratamiento, almacenamiento y distribución de sustancias o materias biológicas peligrosas (agentes biológicos del grupo 4 o del grupo 3). Instalaciones de utilización confinada de organismos modificados genéticamente: actividades de riesgo alto o riesgo moderado.

— Actividades de infraestructuras de transporte: túneles de la red de carreteras de la CAE, puertos de interés general y puertos comerciales, aeropuertos, aeródromos e instalaciones aeroportuarias, líneas ferroviarias, metro y tranvía, autopistas de peaje, áreas de estacionamiento para transporte de mercancías peligrosas por carretera y ferrocarril, estaciones de transporte terrestre e intercambiadores modales de transporte de todo tipo de viajeros y mercancías.

— Instalaciones nucleares y radiactivas, presas y embalses, centros de producción de energía eléctrica, instalaciones de generación y transformación de energía eléctrica en alta tensión.

— Establecimientos sanitarios en régimen de hospitalización o tratamiento intensivo o quirúrgico, y otros establecimientos sanitarios que, en función de su altura de evacuación, ocupación o superficie, estén bajo la Norma Vasca de Autoprotección.

¿A que me obliga la Orden ORDEN de 7 de junio de 2024?

A nivel general los requisitos que se establecen en la Orden mencionada, serían:

• Elaborar un plan de continuidad de ciberseguridad.
• Remitir a través del Registro de Autoprotección de Euskadi la obligatoriedad de realizar el plan de continuidad en materia de ciberseguridad, la ficha con datos específicos y la declaración responsable del titular.
• Implantar el plan de continuidad y mantener la eficacia del mismo.
• Nombrar a las personas físicas responsables de la ciberseguridad.
• Informar y formar al personal a su servicio.
• Mantener los medios materiales y personales necesarios.
• Aplicar las medidas previstas en el plan de continuidad.
• Realizar ejercicios o simulacros periódicos.
• Notificar inicialmente a la Agencia Vasca de Ciberseguridad cualquier incidente relativo a ciberseguridad a través del Centro de Coordinación de Emergencias de Euskadi (SOS DEIAK-112).