La forma en la que se están ejecutando la automatización y digitalización de procesos y servicios lleva tiempo dejando un holgado margen de actuación en el ciberespacio a la delincuencia (común y organizada), a los estados y a los grupos terroristas, mientras desde varios frentes se trabaja por controlar la superficie de ataque y limitar los posibles efectos de las temidas amenazas híbridas.

En la reciente transposición a la legislación española de la Directiva NIS se entiende por incidente un “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información”.

Esta definición, evidentemente técnica, no permite analizar en toda su dimensión los sucesos que acontecen en el mundo de los negocios y actividades (brechas, ataques…), que hoy es obligado calificar jurídicamente por estar en su mayor parte tipificados en el Código Penal, y si median datos personales, por la legislación sobre ello, afecten o no en ambos casos a servicios esenciales y a infraestructuras críticas.

La gestión técnica se convierte así en parte fundamental de la gestión de incidentes. Y en el caso de los operadores de servicios esenciales y proveedores de servicios digitales concernidos por el ya convalidado Real Decreto-ley 12/2018, en pieza crucial de la gestión corporativa de riesgos, al existir obligación de notificación a los organismos competentes y sanción por no hacerlo -sin perjuicio del cumplimiento de las obligaciones generales de denuncia ante las Fuerzas y Cuerpos de Seguridad y de notificación a la Agencia Española de Protección de Datos, si procede-.