- La classe de seguretat d’un actiu d’informació o servei és la concatenació dels nivells de protecció que aquest actiu o servei necessita en cada subclasse: el nivell que s’ha assignat a la subclasse Disponibilitat, el nivell que s’ha assignat a la subclasse Integritat i el nivell que s’ha assignat a la subclasse Confidencialitat (per exemple, D2I3C1).
- El nivell de seguretat d’un actiu d’informació o servei pot ser baix (B), mitjà (M) o alt (A) i es determina, en funció del nivell de protecció de cada una de les seves subclasses de seguretat, consultant la taula següent:
D3
D2
D1
D0
I3
C3
B
B
M
A
C2
B
B
M
A
C1
M
M
M
A
C0
A
A
A
A
I2
C3
B
B
M
A
C2
B
B
M
A
C1
M
M
M
A
C0
A
A
A
A
I1
C3
M
M
M
A
C2
M
M
M
A
C1
M
M
M
A
C0
A
A
A
A
I0
C3
A
A
A
A
C2
A
A
A
A
C1
A
A
A
A
C0
A
A
A
A
Complint el principi d’estratificació de les mesures, les mesures de seguretat de cada nivell de seguretat inclouen les del nivell anterior, i afegeixen a aquestes últimes una capa de seguretat addicional. Així, si un actiu d’informació té un nivell de seguretat M, se li han d’aplicar les mesures de seguretat del nivell B i després les que corresponen al nivell M. Igualment, si un actiu d’informació té un nivell de seguretat A, se li han d’aplicar les que correspondrien al nivell M més les mesures addicionals especificades per al nivell A.
- S’autoritza les autoritats competents designades a l’article 6 de la Llei NIS-AD a adaptar aquesta taula per a alguna de les entitats del seu àmbit de supervisió o totes.
- La classe de seguretat ha de ser avaluada de nou sempre que es produeixin modificacions significatives en els criteris utilitzats per determinar-la, i com a mínim anualment.
Aquest indicador és la base per establir les mesures de referència obligatòries per a aquest indicador, que se seleccionen sobre la base de les mesures de referència que l’ANC-AD hagi especificat per a la mateixa classe en l’actiu d’informació estàndard que pot modelar el que s’estigui analitzant.