Documentació i Notificació d'Incidents
Introducció
Un incident de ciberseguretat no acaba quan es recupera el sistema: cal documentar-lo correctament i, en molts casos, notificar-lo a les autoritats competents i als afectats. Incomplir les obligacions de notificació pot resultar en sancions significatives (fins a 10 milions d'euros o el 2% de la facturació global sota el RGPD).
Marc legal de notificació
RGPD: Notificació en 72 hores
L'article 33 del RGPD (Reglament General de Protecció de Dades) estableix que, quan es produeixi una violació de seguretat que afecti dades personals, el responsable del tractament ha de notificar-ho a l'autoritat de control (AEPD a Espanya) en un termini màxim de 72 hores des que en tingui coneixement.
flowchart TD
A[Incident detectat] --> B{Afecta dades personals?}
B -->|No| C[Gestió interna]
B -->|Sí| D{Risc per als afectats?}
D -->|Risc baix| E[Documentar internament\nRegistre de violacions]
D -->|Risc alt| F[Notificar AEPD\nmàxim 72h]
F --> G{Risc molt alt?}
G -->|Sí| H[Notificar als afectats\nsense dilació]
G -->|No| I[No cal notificar afectats]
style F fill:#FF5722
style H fill:#F44336
Contingut de la notificació a l'AEPD (art. 33.3 RGPD): 1. Naturalesa de la violació (tipus, categories, nombre d'afectats) 2. Dades de contacte del DPO 3. Conseqüències probables 4. Mesures adoptades o propostes
72 hores: el rellotge corre
Les 72 hores compten des que el responsable (no l'empresa que processa) té coneixement. Si un proveïdor de serveis (processador) pateix un incident, ha de notificar-ho al responsable immediatament perquè el rellotge comenci.
La notificació pot ser escalonada: primer notificació inicial amb la informació disponible, i posteriorment ampliació amb més detalls.
NIS2: Notificació per a operadors essencials
La Directiva NIS2 (2022/2555), en vigor des de l'octubre 2024, estableix terminis més estrictes per a entitats essencials (energia, transport, salut, infraestructures digitals, etc.):
| Termini | Obligació |
|---|---|
| 24 hores | Alerta primerenca (early warning) |
| 72 hores | Notificació d'incident (informació completa) |
| 1 mes | Informe final |
CCN-CERT i INCIBE: Notificació voluntària i obligatòria
- CCN-CERT (Centro Criptológico Nacional): per a les Administracions Públiques (ENS)
- INCIBE-CERT: per a empreses privades i ciutadans (notificació voluntària però recomanada)
- Formulari de notificació: disponible a
incibe.es/empresas-y-profesionales/notifica
Procediment de notificació intern
Cadena de notificació interna
flowchart LR
A[Analista L1\nDetecta incident] -->|Notifica| B[Incident Manager\nClassifica severitat]
B -->|Severitat ALTA/CRÍTICA| C[CISO\nPren decisions executives]
C -->|Si cal| D[CEO/Direcció\nAutoritza comunicació]
C -->|Si afecta dades personals| E[DPO\nAssessora i notifica AEPD]
C -->|Si és infraestructura crítica| F[Departament Legal\nNotifica autoritats]
Matriu d'escalat per severitat
| Severitat | Definició | Qui notificar | Temps màxim |
|---|---|---|---|
| P1 - Crític | Sistemes crítics caiguts, dades exfiltrades | Incident Manager + CISO + CEO + DPO | 15 minuts |
| P2 - Alt | Servei degradat, sospita de compromís | Incident Manager + CISO | 1 hora |
| P3 - Mig | Incident aïllat, impacte limitat | Incident Manager | 4 hores |
| P4 - Baix | Alerta menor, sense impacte operatiu | Registrar i monitorar | 24 hores |
Notificació als afectats
L'article 34 del RGPD obliga a notificar directament als afectats quan la violació de dades pugui suposar un alt risc per als seus drets i llibertats.
Com s'ha de fer la notificació als afectats?
- Llengua: en la llengua dels afectats, clara i senzilla
- Canals: email, carta postal, anunci web destacat (si el volum és massa gran)
- Contingut obligatori:
- Descripció de la violació
- Nom i dades de contacte del DPO
- Probables conseqüències
- Mesures adoptades i recomanacions als afectats
Exemple de comunicació als afectats (plantilla):
Assumpte: Comunicació important sobre la seguretat del teu compte
Estimat/da [NOM],
T'informem que el dia [DATA] vam detectar un accés no autoritzat als nostres sistemes
que podria haver afectat les teves dades personals.
**Dades potencialment afectades:**
- Nom i cognoms
- Adreça de correu electrònic
- [Altres categories si escau]
**Dades NO afectades:**
- Contrasenyes (emmagatzemades amb hash)
- Dades bancàries (no emmagatzemem)
**Mesures que hem adoptat:**
- Hem tancat l'accés no autoritzat
- Hem notificat a l'AEPD
- Hem reforçat les nostres mesures de seguretat
**Recomanacions per a tu:**
- Canvia la teva contrasenya a la nostra plataforma
- Activa l'autenticació en dos factors
- Estigues alerta de correus de phishing relacionats
Per a qualsevol dubte, contacta amb el nostre DPO: dpo@empresa.cat
Disculpa els inconvenients causats.
[Signatura]
Bones pràctiques en la comunicació als afectats
- Proactiu > reactiu: no esperar a que els afectats es queixin
- Concret: dir exactament quines dades s'han vist afectades
- Honest: no minimitzar l'incident
- Útil: donar consells pràctics, no sols disculpes
Notificació als mitjans de comunicació
En incidents de gran impacte (milers d'afectats, empreses cotitzades, infraestructures crítiques), pot ser necessari comunicar l'incident als mitjans.
Principis de comunicació de crisi
- Velocitat: primer comunicar, després explicar
- Transparència: no amagar informació (el que s'amaga sol sortir pitjor)
- Consistència: un únic portaveu, un únic missatge
- Empatia: mostrar que l'empresa es preocupa pels afectats
Exemple de nota de premsa:
COMUNICAT DE PREMSA
[Empresa X] informa sobre incident de seguretat
[Ciutat], [Data] — [Empresa X] ha detectat i neutralitzat un incident
de ciberseguretat que va afectar [X] usuaris el passat [data].
L'empresa ha notificat immediatament a les autoritats competents
(AEPD, CCN-CERT) i ha contactat directament amb els afectats.
No s'han vist compromeses dades financeres ni contrasenyes.
[Empresa X] ha reforçat les seves mesures de seguretat i ha contractat
una empresa externa per auditar els seus sistemes.
Per a més informació: comunicacio@empresa.cat
Documentació del post-incident
Registre de violacions de dades (RGPD, art. 33.5)
El RGPD obliga a mantenir un registre intern de violacions independentment de si es notifica o no a l'AEPD:
| Camp | Descripció |
|---|---|
| Data/hora detecció | Quan es va detectar |
| Descripció | Naturalesa de l'incident |
| Categories de dades | Quines dades es van veure afectades |
| Nombre d'afectats | Registres i persones |
| Causes probables | Vector d'entrada |
| Conseqüències | Impacte real |
| Mesures adoptades | Resposta tècnica i organitzativa |
| Notificació AEPD | Sí/No, data, referència |
| Notificació afectats | Sí/No, data, canal |
Informe post-incident complet
A diferència de la notificació legal (que és obligatòria i urgent), l'informe post-incident és un document intern detallat que es prepara un cop tancat l'incident:
ESTRUCTURA DE L'INFORME POST-INCIDENT
1. RESUM EXECUTIU (1 pàgina)
- Que va passar
- Impacte
- Accions preses
- Estat actual
2. CRONOLOGIA DETALLADA
- Timeline complet amb timestamps
3. ANÀLISI TÈCNICA
- Vector d'entrada
- Metodologia de l'atacant
- Sistemes afectats
- Dades compromeses
4. ANÀLISI DE CAUSES ARREL
- 5 Whys o causa-arrel equivalent
5. IMPACTE
- Operatiu
- Financer
- Reputacional
- Legal/regulatori
6. RESPOSTA ADOPTADA
- Accions de contenció
- Accions d'erradicació
- Accions de recuperació
7. LLIÇONS APRESES
- Que ha funcionat bé
- Que ha funcionat malament
- Recomanacions de millora
8. PLA D'ACCIÓ
- Mesures correctores amb responsable i data
9. ANNEXOS
- Logs rellevants
- Captures de pantalla
- Comunicacions enviades
- Cadena de custòdia d'evidències
Miniactivitat
Un hospital ha patit un atac de ransomware. S'han xifrat fitxers d'historials clínics de 3.000 pacients. L'hospital triga 30 hores en detectar-ho.
Respon: 1. Quines obligacions legals de notificació té l'hospital i en quins terminis? 2. A qui ha de notificar? 3. Cal notificar als 3.000 pacients? Per quin motiu? 4. Quin és el risc de sancions si no notifica a temps?
Activitats
AC5017 — Simulació de notificació d'incident RGPD Donada una descripció d'un incident fictici (violació de dades d'una botiga online), redacta: 1. La notificació a l'AEPD (formulari oficial) 2. La comunicació als clients afectats 3. L'entrada al registre intern de violacions