Criterios de valoración de impacto: RGPD, ENS, LPIC y NIS

Impacto: ese concepto del que todo el mundo habla.

La gestión del riesgo está al orden del día y muy arraigada a dicha gestión se encuentra todo lo relativo a la evaluación / estimación de impacto. Estos términos ya incluidos en la legislación vigente en materia de seguridad (ENS, LPIC,…) también forman parte de las Directivas y Reglamentos europeos que están a la vuelta de la esquina (RGPD y NIS).

En un escenario ideal, el significado, interpretación, uso y criterios para su cálculo sería homogéneo y aplicable a todos los ámbitos por igual, pero como ya sabemos, la realidad dista mucho de éste escenario utópico.

Como los ámbitos son distintos y para no mezclar churras con merinas, hemos recopilado las menciones al “impacto” para cada una de las leyes previamente referidas, con la intención de evitar confusiones en nuestros lectores cuando se refieran a dicho término y, procurando, que esta entrada sirva de índice de consulta rápida cuando nuestro quehacer requiera la realización de una evaluación de impacto. Sin más dilación, veamos qué se dice del “impacto” y para qué lo utilizaremos, en cada uno de los casos:

1. RGPD (Reglamento General de Protección de Datos – Reglamento (UE) 2016/679)

El RGPD requiere que se realice una Evaluación de Impacto como parte del proceso dirigido a reducir los riesgos que pudieran afectar a los derechos y libertades de las personas físicas:

A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

Los requisitos sobre cómo llevar a cabo este proceso quedan descritos en el Artículo 35. Evaluación de impacto relativa a la protección de datos y ampliados en la Guía para la Evaluación de Impacto en la Protección de datos Personales emitida por la AEPD (aspectos tratados en profundidad en este blog anteriormente).

No obstante, por suerte o por desgracia, ni el Reglamento ni la Guía previamente referidas describen con detalle qué criterios seguir a la hora de realizar dicha evaluación, tal y como se describe en esta última:


En este punto hay que señalar que no basta con la identificación de los riesgos para la protección de datos personales sino que es imprescindible realizar una cuantificación de los mismos en dos aspectos: probabilidad de que sucedan y nivel de impacto en la privacidad que tendría su materialización. Esta cuantificación es completamente dependiente del proyecto y de las circunstancias y el entorno en que se va a producir el despliegue del nuevo producto o servicio y el tratamiento de datos personales. Por ello, los niveles de probabilidad e impacto deberán calcularse para cada caso concreto y no es posible hacerlo de una forma general en esta Guía.

2. ENS (Esquema Nacional de Seguridad – Real Decreto 3/2010)

En el contexto del ENS haremos uso del impacto para categorizar los sistemas de información. Se refiere a este aspecto el Artículo 43. Categorías en el que se precisa que la valoración de impacto se deberá realizar teniendo en cuenta las distintas dimensiones de la seguridad.

La determinación de la categoría indicada en el apartado
anterior se efectuará en función de la valoración del
impacto que tendría un incidente que afectara a la
seguridad de la información o de los servicios con perjuicio
para la disponibilidad, autenticidad, integridad,
confidencialidad o trazabilidad
, como dimensiones de
seguridad, siguiendo el procedimiento establecido en el
Anexo I.












Estas quedan ampliadas en el Anexo I del reglamento y, con mucho más detalle, encontramos el desglose de criterios en la Guía CCN-STIC-803 Esquema Nacional de Seguridad: valoración de los sistemas.

3. LPIC (Ley de Protección de Infraestructuras Críticas)

En el caso de LPIC cobra especial importancia el impacto ya que forma parte del criterio para determinar si una infraestructura es crítica o no lo es, tal y como se recoge en el Artículo 2. Definiciones de la propia Ley.

Infraestructuras críticas: las infraestructuras estratégicas
cuyo funcionamiento es indispensable y no permite
soluciones alternativas, por lo que su perturbación
o destrucción tendría un grave impacto sobre los
servicios esenciales.









Además, a la hora de determinar la criticidad, gravedad y las consecuencias de la destrucción de una infraestructura crítica, se debe tener en consideración el impacto en distintos ámbitos como pueda ser el económico, medioambiental o público y social:

Criterios horizontales de criticidad: los parámetros en función de los cuales se determina la criticidad, la gravedad y las consecuencias de la perturbación o destrucción de una infraestructura crítica se evaluarán en función de:

  1. El número de personas afectadas, valorado en función del número potencial de víctimas mortales o heridos con lesiones graves y las consecuencias para la salud pública.
  2. El impacto económico en función de la magnitud de las pérdidas económicas y el deterioro de productos y servicios.
  3. El impacto medioambiental, degradación en el lugar y sus alrededores.
  4. El impacto público y social, por la incidencia en la confianza de la población en la capacidad de las Administraciones Públicas, el sufrimiento físico y la alteración de la vida cotidiana, incluida la pérdida y el grave deterioro de servicios esenciales.

4. NIS (Directiva de Ciberseguridad – Directiva (UE) 2016/1148)

La Directiva NIS tiene como objeto establecer unas medidas de seguridad que garanticen un nivel común de seguridad de las redes y sistemas de la información en la Unión Europea.

Algunos requisitos sólo son de aplicación en caso de que los incidentes de seguridad tengan un efecto perturbador significativo, y esto viene determinado por el impacto del incidente:

A fin de determinar si un incidente podría tener un efecto perturbador significativo, los Estados miembros deben tener en cuenta distintos factores, como el número de usuarios que confían en dicho servicio para fines tanto privados como profesionales. La utilización de ese servicio puede ser directa, indirecta o mediante intermediario. Al evaluar el impacto, en términos de magnitud y duración, que podría tener un incidente en las actividades económicas y sociales o en la seguridad pública, los Estados miembros deben considerar también el tiempo que probablemente tendría que transcurrir antes de que la discontinuidad empiece a tener repercusiones negativas.

Adicionalmente, la Directiva NIS establece los factores a considerar a la hora de determinar si el impacto de un incidente es o no significativo.

Para determinar si el impacto de
un incidente es significativo se tendrán en cuenta,
en particular, los siguientes parámetros:

  1. el número de usuarios afectados por el incidente,
    en particular los usuarios que dependen del servicio
    para la prestación de sus propios servicios;
  2. la duración del incidente;
  3. la extensión geográfica con respecto a la zona
    afectada por el incidente;
  4. el grado de perturbación del funcionamiento
    del servicio;
  5. el alcance del impacto sobre las actividades
    económicas y sociales.


















Llegado a este punto, hemos podido comprobar que los factores a considerar para calcular el impacto son particulares a cada referencial, sin embargo, sí se aprecian aspectos comunes en algunos casos que pueden permitir a una organización establecer unas líneas maestras para realizar la valoración de impacto (impacto económico, usuarios / personas afectadas, etc.).

Por último, cabe señalar que no toda la normativa previamente referida afectará a nuestra organización, pero es posible que adicionalmente sí debamos cumplir requisitos derivados de otros estándares o normas sectoriales. Dada esta situación, esperamos que la presente entrada nos haya permitido familiarizarnos con los aspectos comunes y particulares a considerar para realizar la valoración de impacto en función del ámbito en el que nos encontremos.

Un saludo.

[Sobre Samuel Segarra]