nis²insights.com

En vigor desde el 17 oct 2024·Día 565·

Gestión de incidentes11 abr. 20259 min

Notificación de incidentes NIS2: la guía práctica de las 72 horas

Un incidente cibernético golpea. El reloj NIS2 arranca. Aquí está exactamente qué hacer, hora a hora.

Notificación de incidentes NIS2: la guía práctica de las 72 horasGestión de incidentes

Un incidente cibernético golpea un martes por la mañana. A la hora del almuerzo del martes, la pregunta sobre la mesa del comité ejecutivo ya no es qué está pasando — es qué necesita el regulador y para cuándo. El artículo 23 de la Directiva (UE) 2022/2555 es la parte de NIS2 que pone en marcha el reloj. También es la parte que los consejos malinterpretan con más frecuencia.

Esta es la guía práctica de las 72 horas, hora a hora, con la lectura ceñida del texto jurídico y la traducción operativa correspondiente.

Cuándo arranca el reloj: «conocimiento», no «detección»

El artículo 23, apartado 1, obliga a las entidades a notificar los incidentes significativos al CSIRT o a la autoridad competente sin demora indebida. El reloj al que el artículo 23 hace referencia corre desde el momento en que la entidad tiene conocimiento del incidente.

La distinción importa. «Conocimiento» no es el instante en que se dispara una alerta SIEM. Es el instante en que una persona dentro de la entidad, con la autoridad y la información para decidir, tiene motivos razonables para creer que se ha producido un incidente y que se cruza el umbral de significación. El considerando 101 de la directiva lo enmarca como una decisión de juicio, no como un disparador automático.

En la práctica, «conocimiento» es el instante en el que su CISO de guardia, o el responsable de operaciones de seguridad, o el oficial de turno, decide que la alerta que tiene delante parece un incidente significativo. Esa decisión debe quedar fechada. Los CSIRT nacionales — ANSSI/CERT-FR en Francia, BSI/CERT-Bund en Alemania, INCIBE-CERT en España, ACN/CSIRT Italia, NCSC-IE en Irlanda — esperan ese sello de tiempo en la notificación.

Hora 24: la alerta temprana

El artículo 23, apartado 4, letra a) exige una alerta temprana en las 24 horas siguientes al conocimiento. La alerta temprana es breve. Debe indicar:

  • si la entidad sospecha que el incidente fue causado por actos ilícitos o malintencionados,
  • si podría tener impacto transfronterizo, y
  • (en la práctica, aunque no figure de manera estricta) la información identificativa mínima para que el CSIRT pueda enrutar el caso.

Ese es todo el contenido. Sin forense detallado, sin evaluación completa de impacto, sin paciente cero. La alerta temprana es una señal de enrutado, no un informe.

El error frecuente es tratar la alerta temprana como la notificación completa y perder la ventana porque la entidad seguía investigando. La directiva es clara: la alerta temprana es una marca, no una conclusión. Envíela con información parcial; corrija o complete en la notificación de 72 horas si hace falta.

Hora 72: la notificación de incidente

El artículo 23, apartado 4, letra b) exige una notificación de incidente en las 72 horas siguientes al conocimiento, actualizando la alerta temprana con información sustancial. Debe contener:

  • una evaluación inicial de la significación del incidente (gravedad, impacto, alcance),
  • cuando estén disponibles, indicadores de compromiso (IoC).

Aquí los reguladores buscan la prueba de que la entidad tiene un proceso de respuesta a incidentes que funciona. Las expectativas publicadas por los CSIRT nacionales europeos, con remisión a las directrices de ENISA sobre notificación de incidentes, son consistentes en lo que significa «sustancial»:

  • una descripción de los servicios afectados y del impacto operativo (en lenguaje claro y cuantificado siempre que sea posible — número de usuarios afectados, duración de la interrupción),
  • el tipo de amenaza (ransomware, acceso no autorizado, exfiltración de datos, denegación de servicio, compromiso de la cadena de suministro),
  • los IoC disponibles en el momento de la notificación (hashes de archivos, dominios maliciosos, IP atacantes),
  • las acciones de mitigación ya tomadas o en curso.

La notificación se remite por el canal nacional de declaración — en la mayoría de los Estados miembros, un portal autenticado operado por el CSIRT o la autoridad competente. El formato varía; la sustancia, no.

Un mes: el informe final

El artículo 23, apartado 4, letra d) exige un informe final a más tardar un mes después de la notificación del incidente. Debe contener:

  • una descripción detallada del incidente, con su gravedad e impacto,
  • el tipo de amenaza o causa raíz que probablemente desencadenó el incidente,
  • las medidas de mitigación aplicadas y en curso,
  • en su caso, el impacto transfronterizo del incidente.

Si el incidente sigue en curso al cabo del mes, el artículo 23, apartado 4, letra c) prevé en su lugar un informe de progreso, con un informe final remitido en el plazo de un mes desde la resolución del incidente.

El informe final cierra el bucle regulatorio. También es el documento que, en jurisdicciones con responsabilidad personal de los administradores, se convierte en pieza central de toda revisión sancionadora ulterior. Los consejos deben tratarlo en consecuencia: leer, cuestionar, validar, dejar constancia en acta de la deliberación.

¿Qué es un «incidente significativo»?

El artículo 23, apartado 3, define el incidente significativo como aquel que:

  • ha causado o es susceptible de causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad, o
  • ha afectado o es susceptible de afectar a otras personas físicas o jurídicas causando un perjuicio material o inmaterial considerable.

La Comisión ha publicado umbrales para los proveedores de servicios digitales y otras categorías (Reglamento de Ejecución (UE) 2024/2690). Para los demás sectores en el ámbito, la evaluación es cualitativa y recae en primera instancia sobre la entidad, sujeta a impugnación por la autoridad nacional competente.

La trampa, en la práctica, no es la sub-declaración — es la sobre-declaración de casos límite por exceso de cautela, que ahoga al CSIRT en ruido. La doctrina de ENISA es clara: el examen es la significación, no la gravedad en términos absolutos. Una interrupción de 30 minutos en un flujo de pago puede ser significativa para un adquirente a gran escala; la misma interrupción en una herramienta de back-office puede no serlo.

El reloj de las 72 horas no es un plazo para la exhaustividad. Es un plazo para la divulgación honesta y estructurada de lo que se sabe hasta el momento.

Cómo se ve cuando está bien hecho

En las revisiones post-incidente de los reguladores aparecen tres señales con regularidad:

  1. Una cronología fechada del incidente que precise el momento del conocimiento y muestre la hora de la alerta temprana, de la notificación de 72 horas y del informe final. Los huecos entre hitos se toleran; las marcas de tiempo ausentes, no.
  2. Una autoridad firmante única para la cadena de notificación — típicamente el CISO de guardia con un camino de escalado documentado al CEO o representante legal. Múltiples notificaciones descoordinadas desde diferentes partes de la entidad son una bandera roja.
  3. Prueba de que el consejo fue informado en cada hito. Un acta del consejo que mencione la alerta temprana basta. El silencio sobre la cronología deja al regulador margen para preguntar por qué.

Ninguno de estos documentos hay que inventarlo en pleno momento de crisis. Son documentos que la entidad debe haber ensayado de antemano. El reloj de 72 horas es corto; la pista para prepararse, no.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 23 («Obligaciones de notificación»).
  2. Directiva (UE) 2022/2555, artículo 23, apartado 3 (definición de «incidente significativo»).
  3. Directiva (UE) 2022/2555, considerandos 100 a 102 (proceso de notificación de incidentes y criterios de significación).
  4. Reglamento de Ejecución (UE) 2024/2690 (umbrales de significación de incidentes para proveedores de servicios digitales y categorías asimiladas).
  5. Directrices publicadas por las autoridades nacionales competentes y los CSIRT: ANSSI / CERT-FR (FR), BSI / CERT-Bund (DE), INCIBE-CERT (ES), ACN / CSIRT Italia (IT), NCSC-IE (IE), así como por ENISA.

Otros artículos

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegarGobernanza

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegar

18 abr. 2025·Leer · 10 min
Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedoresCadena de suministro

Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedores

9 abr. 2025·Leer · 7 min
Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2Gestión de riesgos

Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2

2 abr. 2025·Leer · 6 min