-
S’estableixen tres subclasses de seguretat associades a les tres dimensions de la seguretat de la informació que inclou l’ENS-AD: la disponibilitat, la integritat i la confidencialitat.
-
S’estableixen quatre nivells de seguretat per a cada subclasse, segons quin sigui el nivell d’impacte en la informació o el servei que podria causar un ciberincident (equivalent, pel principi de proporcionalitat, al nivell de protecció que s’ha d’aconseguir en la dimensió de la seguretat corresponent):
- a) Nivell 0 (crític): impacte que impedeix la prestació del servei.
- b) Nivell 1 (important): impacte que degrada la prestació del servei fins al punt que no es pot garantir.
- c) Nivell 2 (mitjà): impacte que permet garantir la prestació del servei, però amb menys qualitat que la requerida.
- d) Nivell 3 (baix): impacte molt reduït en el servei, gairebé inapreciable.
El nivell de seguretat d’una subclasse es descriu amb una lletra, que correspon a la dimensió de la seguretat que dona nom a la subclasse (D per disponibilitat, I per integritat i C per confidencialitat), seguida del nivell de protecció que es necessita assolir, en format numèric.
- La subclasse Disponibilitat s’assigna d’acord amb l’escala següent, amb el valor que sigui més alt sense excedir els requisits de l’actiu d’informació o el servei:
– D3: quan la disponibilitat pot ser inferior al 90% i les interrupcions poden durar més de 24 hores.
– D2: quan no resulta acceptable una disponibilitat inferior al 90%, ni una interrupció que duri més de 24 hores.
– D1: quan no resulta acceptable una disponibilitat inferior al 99% del temps anual, ni una interrupció que duri més de 4 hores.
– D0: quan no resulta acceptable una disponibilitat inferior al 99,9% del temps anual, ni una interrupció que duri més d’1 hora.
- La subclasse Integritat s’assigna d’acord amb l’escala següent, amb el valor que sigui més alt sense excedir els requisits de l’actiu d’informació o el servei:
– I3: quan la font d’informació i el fet que s’alteri o destrueixi la informació no són importants,
– I2: quan la font de la informació, o el fet d’alterar-la o destruir-la, ha de ser identificable, i no és necessari comprovar periòdicament la precisió, la integritat i l’actualitat de la informació.
– I1: quan la font de la informació, o el fet d’alterar-la o destruir-la, ha de ser identificable i és necessari fer comprovacions periòdiques de la precisió, la integritat i l’actualitat de la informació.
– I0: quan la font de la informació, o el fet d’alterar-la o destruir-la, ha de tenir valor probatori, o quan es requereix una verificació en temps real de la precisió, la integritat i l’actualitat de la informació.
- La subclasse Confidencialitat s’assigna d’acord amb l’escala següent:
– C3 o informació pública: quan l’accés a la informació no està limitat (és a dir, totes les persones interessades tenen accés de lectura, el permís per canviar es determina en funció del requisit d’integritat).
– C2 o informació d’ús intern: quan s’ha de concedir l’accés a la informació si la persona que sol·licita l’accés té un interès legítim.
– C1 o informació classificada: quan la informació només la poden utilitzar determinats grups d’usuaris; l’accés a la informació s’ha de concedir si la persona que sol·licita l’accés té un interès legítim.
– C0 o informació altament classificada: quan la informació només la poden utilitzar determinats usuaris; l’accés a la informació s’ha de concedir si la persona que sol·licita l’accés té un interès legítim.
- S’autoritza les autoritats competents designades a l’article 6 de la Llei NIS-AD a adaptar aquests nivells per a alguna de les entitats sota la seva supervisió o totes.