Normativa de Ciberseguretat (Mòdul 5026)
Proposta didàctica
En aquest mòdul treballem el resultat d'aprenentatge principal: Identifica els punts principals d'aplicació per assegurar el compliment normatiu, dissenya sistemes de compliment, relaciona la normativa penal, aplica legislació de protecció de dades i recull normativa nacional i internacional de ciberseguretat.
El mòdul professional 5026 - Normativa de Ciberseguretat té una càrrega lectiva de 66 hores i es divideix en cinc grans blocs temàtics que cobreixen el marc legal i normatiu que tota organització ha de conèixer i aplicar per operar de manera segura i legalment conforme en l'era digital.
Criteris d'avaluació
Bloc RA1: Compliance i bon govern corporatiu
-
CA1.1 Identifica les bases del compliment normatiu en organitzacions.
-
CA1.2 Descriu els principis de bon govern i ètica professional en el context corporatiu.
-
CA1.3 Defineix polítiques, procediments i l'estructura necessària per a una cultura de compliance.
-
CA1.4 Descriu les funcions del Compliance Officer en una organització.
-
CA1.5 Estableix relacions amb tercers per garantir el compliment normatiu.
Bloc RA2: Sistemes de gestió de compliment normatiu
-
CA2.1 Recull les normatives principals aplicables a les organitzacions.
-
CA2.2 Aplica les recomanacions de la ISO 19600 / ISO 37301 per a organitzacions.
-
CA2.3 Realitza anàlisi de riscos seguint el marc ISO 31000.
-
CA2.4 Documenta el sistema de compliment normatiu de l'organització.
Bloc RA3: Responsabilitat penal d'organitzacions
-
CA3.1 Identifica els riscos penals existents en organitzacions.
-
CA3.2 Implanta mesures per eliminar o mitigar els riscos penals identificats.
-
CA3.3 Descriu el sistema de gestió de compliance penal conforme a la UNE 19601.
-
CA3.4 Aplica els principis anticorrupció de la norma ISO 37001.
Bloc RA4: RGPD i protecció de dades de caràcter personal
-
CA4.1 Identifica les fonts del Dret aplicables en matèria de protecció de dades.
-
CA4.2 Aplica els principis de protecció de dades establerts pel RGPD.
-
CA4.3 Implementa els requisits de Privacy by Design en sistemes i aplicacions.
-
CA4.4 Configura eines corporatives amb compliance per defecte (Privacy by Default).
-
CA4.5 Realitza anàlisi de riscos per a la protecció de dades personals.
-
CA4.6 Implanta mesures per eliminar o reduir riscos en el tractament de dades personals.
-
CA4.7 Descriu les funcions del Delegat de Protecció de Dades (DPD/DPO).
Bloc RA5: Normativa nacional i internacional de ciberseguretat
-
CA5.1 Dissenya un pla de revisions normatives periòdiques.
-
CA5.2 Identifica nova normativa aplicable a través de bases de dades jurídiques.
-
CA5.3 Analitza l'aplicabilitat de nova normativa a l'organització.
-
CA5.4 Actualitza el pla de revisions davant de canvis normatius.
-
CA5.5 Implementa controls per garantir el compliment normatiu continu.
Continguts de referència
-
Compliance i bon govern corporatiu
- 1.1 Definició i objectius del compliance
- 1.2 Corporate Governance: principis i estructura
- 1.3 Codi d'ètica corporatiu i cultura de compliment
- 1.4 Whistleblowing i canal de denúncies (Directiva UE 2019/1937)
- 1.5 Compliance Officer: funcions i independència
- 1.6 Model de les Tres Línies de Defensa
- 1.7 Relacions amb tercers i due diligence
- 1.8 Sancions per incompliment normatiu
-
Sistemes de gestió de compliment normatiu
- 2.1 ISO 19600:2014 / ISO 37301:2021
- 2.2 ISO 31000:2018: gestió de riscos
- 2.3 ISO 27001:2022: SGSI
- 2.4 Declaració d'Aplicabilitat (SoA) i controls de l'Annex A
- 2.5 Documentació del sistema: polítiques i procediments
- 2.6 Auditories internes i certificació
- 2.7 Cicle PDCA
-
Responsabilitat penal d'organitzacions
- 3.1 Art. 31 bis del Codi Penal espanyol
- 3.2 Delictes informàtics (art. 197-201 CP)
- 3.3 UNE 19601:2017: compliance penal
- 3.4 ISO 37001:2016: antisuborn
- 3.5 Riscos penals en ciberseguretat
- 3.6 Casos reals i sancions a Espanya
-
RGPD i protecció de dades de caràcter personal
- 4.1 RGPD (Reglament UE 2016/679) i LOPDGDD (LO 3/2018)
- 4.2 Principis del RGPD
- 4.3 Base jurídica del tractament (art. 6)
- 4.4 Categories especials de dades (art. 9)
- 4.5 Drets dels interessats
- 4.6 Privacy by Design i Privacy by Default
- 4.7 DPIA / Anàlisi d'Impacte en Privadesa
- 4.8 Delegat de Protecció de Dades (DPO)
- 4.9 Notificació de violacions de dades (72 hores)
- 4.10 Transferències internacionals i multes
-
Normativa nacional i internacional de ciberseguretat
- 5.1 ENS (Esquema Nacional de Seguretat) - RD 311/2022
- 5.2 Llei PIC (Llei 8/2011)
- 5.3 LSSI i legislació espanyola addicional
- 5.4 Directiva NIS2 (2022/2555)
- 5.5 Reglament DORA (2022/2554)
- 5.6 Cyber Resilience Act i AI Act
- 5.7 ISO 27001/27002/22301/27701
- 5.8 NIST Cybersecurity Framework 2.0
- 5.9 SOC 2 i altres estàndards
- 5.10 ENISA, INCIBE, CCN-CERT
Questionari inicial
- Què entenem per "compliance" o compliment normatiu en el context d'una organització? Dona un exemple pràctic.
- Quina és la diferència entre el RGPD (Reglament General de Protecció de Dades) i la LOPDGDD espanyola?
- Quins són els set principis del RGPD establerts a l'article 5 del Reglament UE 2016/679?
- Que és una DPIA (Data Protection Impact Assessment) i en quins casos és obligatòria realitzar-la?
- Quina és la funció principal d'un Delegat de Protecció de Dades (DPD/DPO) i quines organitzacions estan obligades a nomenar-ne un?
- Explica el concepte de "Privacy by Design" i com s'aplica al desenvolupament de sistemes informàtics.
- Quin és el termini màxim per notificar una violació de dades personals a l'Autoritat de Control (AEPD) segons el RGPD?
- Què és l'Esquema Nacional de Seguretat (ENS) i a quines organitzacions s'aplica obligatòriament?
- Quins nivells de seguretat defineix l'ENS i quins criteris determinen el nivell assignat a un sistema?
- Explica breument en què consisteix la norma ISO 27001 i quin és el seu objectiu principal.
- Que és la responsabilitat penal de les persones jurídiques i quin article del Codi Penal espanyol la regula?
- Quins delictes informàtics recull el Codi Penal espanyol als articles 197-201? Posa un exemple de cada.
- Qué és la norma UNE 19601 i per a qué s'utilitza en el marc del compliance penal?
- Quina és la diferència entre la Directiva NIS i la Directiva NIS2? Quines noves obligacions introdueix NIS2?
- Explica el model de les "Tres Línies de Defensa" en el context del governance corporatiu.
- Quina multa màxima pot imposar l'AEPD per una infracció molt greu del RGPD?
- Qué és la ISO 31000 i quins són els elements principals del seu marc de gestió de riscos?
- Qué és el Reglament DORA i a quins sectors s'aplica? Quin és el seu objectiu principal?
- Quines dades es consideren "categories especials" de dades personals sota el RGPD i per qué reben una protecció especial?
- Explica la diferència entre un "responsable del tractament" i un "encarregat del tractament" en el marc del RGPD. Dona un exemple de cada figura.
Programació d'aula
| Sessions | Tema | Continguts principals | Avaluació |
|---|---|---|---|
| 1-2 | Introducció al compliance | Concepte, objectius, marc legal | Debat inicial |
| 3-5 | Corporate governance | Bon govern, ètica, codi de conducta | CA1.1, CA1.2 |
| 6-8 | Compliance Officer i estructura | Funcions, Three Lines of Defence | CA1.3, CA1.4 |
| 9-11 | Relacions amb tercers | Due diligence, proveïdors, M&A | CA1.5 |
| 12-14 | Sancions i casos pràctics | Multes AEPD, jurisprudència | CA1.1-1.5 |
| 15-17 | ISO 19600 / ISO 37301 | Sistemes de gestió de compliance | CA2.1, CA2.2 |
| 18-20 | ISO 31000 i gestió de riscos | Avaluació i tractament de riscos | CA2.3 |
| 21-24 | ISO 27001:2022 i SGSI | Implementació, SoA, controls | CA2.2, CA2.4 |
| 25-28 | Documentació i auditoria | Polítiques, procediments, PDCA | CA2.4 |
| 29-31 | Responsabilitat penal (CP) | Art. 31 bis, delictes informàtics | CA3.1 |
| 32-34 | UNE 19601 compliance penal | Mapa de riscos penals | CA3.2, CA3.3 |
| 35-37 | ISO 37001 antisuborn | Principis, implantació | CA3.4 |
| 38-40 | Casos reals penals | Jurisprudència, sancions | CA3.1-3.4 |
| 41-43 | RGPD: fonaments | Art. 5-9, principis, bases jurídiques | CA4.1, CA4.2 |
| 44-46 | Drets dels interessats | Accés, supressió, portabilitat | CA4.2 |
| 47-49 | Privacy by Design/Default | Implementació tècnica | CA4.3, CA4.4 |
| 50-52 | DPIA i gestió de riscos | Metodologia, casos pràctics | CA4.5, CA4.6 |
| 53-54 | DPO i notificació de bretxes | Funcions DPO, terminis AEPD | CA4.7 |
| 55-57 | ENS i normativa espanyola | RD 311/2022, Llei PIC, LSSI | CA5.1, CA5.3 |
| 58-60 | NIS2 i DORA | Operadors essencials, sector financer | CA5.3 |
| 61-63 | Estàndards internacionals | ISO 27002, NIST CSF 2.0, SOC 2 | CA5.2 |
| 64-66 | Pla de revisions i controls | Monitoratge normatiu, eines | CA5.4, CA5.5 |
Introducció al compliance i la ciberseguretat normativa
En el món actual, les organitzacions operen en un entorn regulat complex i en constant evolució. La ciberseguretat ja no és únicament una qüestió tècnica: és una obligació legal, ètica i de negoci. El compliment normatiu (o compliance) representa el conjunt d'accions i mecanismes que una organització implementa per assegurar que les seves activitats s'ajusten a les lleis, reglaments, estàndards i codis de conducta aplicables.
Per qué és important el compliance en ciberseguretat?
El context normatiu de la ciberseguretat ha crescut exponencialment en la darrera dècada. Quatre factors principals expliquen aquesta tendència:
1. Digitalització de les economies: La quasi totalitat de les activitats empresarials i administratives depenen de sistemes digitals. Això ha creat una superfície d'atac enorme i ha generat la necessitat d'establir estàndards mínims de seguretat.
2. Incidents de gran escala: Bretxes com la de Yahoo (2016, 3.000 milions de comptes), Equifax (2017, 147 milions de persones) o el ciberatac al SEPE (2021) han demostrat que les conseqüències d'una seguretat inadequada van molt més enllà de lo tècnic: impliquen danys a persones reals.
3. Pressió regulatòria europea: La Unió Europea ha liderat globalment la regulació digital amb el RGPD (2018), NIS/NIS2, DORA i el Cyber Resilience Act, creant un marc normatiu exigent per a totes les organitzacions que operin en el mercat europeu.
4. Exigència del mercat: Els clients, inversors i socis comercials demanen garanties de seguretat i compliment. Les certificacions ISO 27001, SOC 2 o l'ENS s'han convertit en requisits habituals en licitacions públiques i contractes privats.
El cost de l'incompliment
Les conseqüències de no complir la normativa de ciberseguretat poden ser devastadores:
| Tipus de conseqüència | Exemples concrets |
|---|---|
| Sancions econòmiques | Amazon: 746 M€ per RGPD (2021); Meta: 1.200 M€ (2023) |
| Responsabilitat penal | Directius imputats per delictes contra la privadesa |
| Dany reputacional | Pèrdua de clients i socis comercials |
| Suspensió de l'activitat | Restricció al tractament de dades |
| Costos de remediació | Mitjana global d'una bretxa: 4,45 M$ (IBM, 2023) |
Panorama normatiu de la ciberseguretat
El marc normatiu de la ciberseguretat es pot visualitzar en tres capes que es superposen:
graph TB
subgraph Internacional["Estàndards Internacionals"]
ISO27001["ISO 27001:2022\nSGSI"]
ISO31000["ISO 31000:2018\nGestió de Riscos"]
NIST["NIST CSF 2.0\nMarc de Ciberseguretat"]
SOC2["SOC 2\nControls de Servei"]
end
subgraph Europa["Normativa Europea"]
RGPD["RGPD\n2016/679"]
NIS2["Directiva NIS2\n2022/2555"]
DORA["Reglament DORA\n2022/2554"]
CRA["Cyber Resilience\nAct"]
end
subgraph Espanya["Normativa Espanyola"]
ENS["ENS\nRD 311/2022"]
LOPDGDD["LOPDGDD\nLO 3/2018"]
LleiPIC["Llei PIC\n8/2011"]
CP["Codi Penal\nArt. 31 bis, 197-201"]
end
subgraph Organitzacio["Organització"]
Politica["Política de\nSeguretat"]
SGSI["SGSI Implementat"]
Compliance["Programa de\nCompliance"]
end
Internacional --> Organitzacio
Europa --> Organitzacio
Espanya --> Organitzacio
Europa --> Espanya
Actors principals del compliance de ciberseguretat
Autoritats de control i supervisió
AEPD (Agència Española de Protecció de Dades): Autoritat independent responsable de vetllar pel compliment del RGPD i la LOPDGDD a Espanya. Té potestat sancionadora i pot imposar multes de fins a 20 milions d'euros o el 4% de la facturació global anual.
CCN-CERT (Centre Criptològic Nacional): Organisme del Ministeri de Defensa que coordina la resposta a incidents en el sector públic i organismes d'interès especial. Publica les guies CCN-STIC que desenvolupen l'ENS.
INCIBE (Institut Nacional de Ciberseguretat): Organisme adscrit al Ministeri d'Assumptes Econòmics que dona servei al sector privat, ciutadans i empreses. Gestiona el CERT de Seguretat i Indústria.
ENISA (Agència de la Unió Europea per a la Ciberseguretat): Agència europea que dóna suport en la implementació de la normativa comunitària, publica informes de paisatge d'amenaces i promou la cooperació entre estats membres.
El rol de l'organització
Cada organització, independentment de la seva mida, ha d'implementar un programa de compliance que integri:
- Govern (Governance): qui pren decisions i és responsable
- Gestió de riscos (Risk Management): identificació i tractament d'amenaces
- Compliment (Compliance): verificació del compliment de requisits
- Resposta (Response): actuació davant incidents i desviacions
Relació entre els blocs del mòdul
El mòdul 5026 s'estructura com un recorregut coherent que va des dels fonaments conceptuals del compliance fins a la seva aplicació pràctica:
-
Compliance i bon govern estableix les bases filosòfiques i organitzatives: per qué el compliment importa, qui n'és responsable i com s'organitza l'estructura de governance.
-
Sistemes de gestió proporciona les eines metodològiques: les normes ISO que permeten sistematitzar el compliment i demostrar-lo davant tercers.
-
Responsabilitat penal aborda les conseqüències jurídiques més greus: quan l'incompliment pot comportar responsabilitat criminal per a l'organització i els seus directius.
-
RGPD i protecció de dades aprofundeix en la normativa de privadesa, que constitueix avui el marc regulador més exigent i amb major impacte pràctic per a la majoria d'organitzacions.
-
Normativa nacional i internacional amplía la visió cap al panorama complet de regulació aplicable, des de l'ENS espanyol fins als estàndards globals com el NIST CSF.
Recursos del mòdul
| Recurs | Tipus | Accés |
|---|---|---|
| compliance.md | Teoria | Bloc RA1 |
| sistemes_gestio.md | Teoria | Bloc RA2 |
| responsabilitat_penal.md | Teoria | Bloc RA3 |
| rgpd.md | Teoria | Bloc RA4 |
| normativa_internacional.md | Teoria | Bloc RA5 |
| practiques/practica_iso27001.md | Pràctica | Avaluació |
| practiques/practica_rgpd.md | Pràctica | Avaluació |