En vigor desde el 17 oct 2024·Día 566·

Gestión de incidentes6 may. 20267 min

Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugada

La notificación NIS2 descansa en una palabra: significativo. El artículo 23, apartado 3, fija el principio; el Reglamento de Ejecución 2024/2690 las cifras. Aquí está el árbol de decisión para la guardia.

Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugadaGestión de incidentes

Toda obligación de notificación al amparo del artículo 23 de la Directiva (UE) 2022/2555 descansa en un único calificativo: el incidente debe ser significativo. Por debajo del umbral, la entidad no debe nada al regulador. Por encima, los relojes de 24 horas, 72 horas y un mes empiezan a correr. El coste de equivocarse en la valoración corre en ambos sentidos — sobrenotificar inunda al CSIRT; subnotificar abre un expediente de control al amparo del artículo 32.

Dieciocho meses tras la entrada en vigor, la definición del incidente significativo NIS2 sigue siendo la cuestión operativa más planteada sobre la directiva. El artículo 23, apartado 3, fija el principio. El Reglamento de Ejecución (UE) 2024/2690 fija las cifras — para las siete categorías de sectores que cubre. En el resto, decide la entidad. Esta guía traduce la definición jurídica en un árbol de decisión que su personal de guardia puede ejecutar a las 3 de la madrugada.

1. La prueba de doble rama de la directiva

El artículo 23, apartado 3, define el incidente significativo como aquel que cumple una de las dos condiciones siguientes:

  • ha causado o es susceptible de causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada; o
  • ha afectado o es susceptible de afectar a otras personas físicas o jurídicas causando un daño material o inmaterial considerable.

Dos giros cargan la prueba: es susceptible de causar — el umbral capta los incidentes evitados por poco cuyo impacto se ha eludido sólo por azar — y considerable — no definido por la propia directiva, remitido a los actos de ejecución y a la práctica de supervisión.

El considerando 101 enmarca esta valoración como un juicio, no como un disparador automático. El CSIRT y la autoridad competente esperan que la entidad sea la primera instancia de evaluación, sujeta a impugnación. Eso significa que el razonamiento de la guardia, y no sólo su conclusión, forma parte de lo que el supervisor leerá.

2. Lo que cuantifica el Reglamento de Ejecución 2024/2690

El Reglamento de Ejecución de la Comisión, adoptado el 17 de octubre de 2024, fija umbrales concretos para siete categorías de sectores: prestadores de servicios DNS, registros de nombres de dominio de primer nivel (TLD), prestadores de servicios de computación en la nube, prestadores de servicios de centros de datos, prestadores de redes de distribución de contenidos, prestadores de servicios gestionados, prestadores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda en línea, plataformas de redes sociales y prestadores de servicios de confianza.

Para estas categorías, un incidente es significativo cuando cruza una de tres bandas cuantificadas. En lenguaje operativo:

  • Impacto en disponibilidad — el servicio no está disponible durante un tiempo determinado para un número determinado de usuarios (por ejemplo, una hora para el 5 % de los usuarios europeos de un servicio en la nube es significativo; los umbrales varían por tipo de servicio y tamaño de entidad).
  • Impacto en confidencialidad / integridad de datos — acceso no autorizado no trivial o modificación de datos de clientes.
  • Impacto en cascada — el incidente afecta a otro prestador en el ámbito NIS2 que depende del servicio interrumpido.

Las cifras exactas por tipo de servicio están en los anexos del 2024/2690 y constituyen la referencia operativa. Los CISO de los sectores cubiertos deben leerlas una vez y fijar la tabla en la pared del SOC.

3. Lo que los siete sectores no cubren — la prueba cualitativa

Para los once sectores NIS2 restantes (energía, transporte, banca, infraestructuras de los mercados financieros, salud, agua potable, aguas residuales, administración pública, espacio, servicios postales, gestión de residuos, fabricación de productos químicos / alimentación / dispositivos médicos / informática / equipamiento de transporte / maquinaria, prestadores digitales fuera de la lista RE, investigación, producción agroalimentaria), los umbrales del Reglamento de Ejecución no se aplican. Se aplica la prueba cualitativa de doble rama del artículo 23, apartado 3 — complementada por la matriz de clasificación que la entidad haya definido previamente.

Una matriz defendible se articula en torno a tres ejes:

  • Criticidad del servicio — ¿figura el servicio afectado en el plan de continuidad de negocio de la entidad como dependencia de nivel 1?
  • Impacto en usuarios — número de usuarios afectados; si se ven afectadas poblaciones vulnerables (pacientes, clientes de energía en invierno).
  • Confianza en la contención — ¿está el incidente acotado o puede escalar sin intervención?

Cuando dos de los tres ejes alcanzan un nivel acordado de antemano, el incidente es significativo. La matriz es aprobada por el consejo al amparo del artículo 20 y revisada anualmente. Las directrices publicadas por ENISA — recogidas en los trabajos del Grupo de Cooperación sobre la aplicación de NIS2 — apuntan sistemáticamente a este tipo de clasificación predefinida como estándar operativo.

La definición de incidente significativo NIS2 no es un umbral que se cruza. Es un juicio que se defiende — con el razonamiento de la guardia con marca de tiempo en el momento de la toma de conocimiento.

4. El árbol de decisión que ejecuta la guardia a las 3 de la madrugada

En el momento en que la analista de guardia mira una alerta del SIEM en plena noche, la definición jurídica resulta demasiado abstracta. Hace falta un runbook de cuatro preguntas, escrito de antemano, que produzca una de tres conclusiones: notificar, no notificar, escalar al CISO para una decisión.

  1. ¿El servicio afectado figura en nuestro catálogo de servicios al amparo del 2024/2690? Si sí, aplicar los umbrales cuantificados del anexo. Si no, continuar.
  2. ¿Ha causado o es susceptible de causar el incidente una perturbación operativa grave de un servicio que prestamos? Grave = fallo de un servicio de nivel 1, pérdida financiera por encima de un umbral de materialidad definido por la entidad o degradación del servicio que afecta a más de un porcentaje definido de usuarios.
  3. ¿El incidente afecta a otras personas físicas o jurídicas de manera no menor? Ejemplos: exfiltración de datos, caída en cascada que afecta a las obligaciones NIS2 de un cliente, impacto en la salud pública o la seguridad.
  4. Si dos o más de los ejes 2–3 quedan inciertos, escalar al CISO. Por defecto, notificar antes que retrasar — la alerta temprana a 24 h es una bandera, no una conclusión, y puede corregirse en la notificación a 72 h.

La regla 4 es la más importante. El artículo 23, apartado 4, letra a) permite a las entidades actualizar una alerta temprana en la notificación de 72 horas con información sustancial; la directiva anticipa explícitamente una primera notificación incompleta. La sobrenotificación defensiva en el hito de 24 horas cuesta menos que un plazo incumplido.

5. Transfronterizo, multi-regulación: cuando la significatividad se multiplica

Dos amplificadores convierten un caso límite en un incidente claramente significativo:

  • Impacto transfronterizo. El artículo 23, apartado 4, letra a) exige que la alerta temprana señale si se sospecha impacto transfronterizo. Si su servicio se consume en otro Estado miembro, se añade un deber de diligencia hacia el CSIRT de ese Estado. El marco pan-europeo de coordinación de incidentes del Grupo de Cooperación se apoya en esta señal.
  • Solapamiento con RGPD / DORA / CRA. Un incidente significativo NIS2 desencadena con frecuencia obligaciones paralelas. Una violación de datos personales alimenta el artículo 33 del RGPD (también 72 horas, pero con un punto de partida distinto — conocimiento de la violación, no conocimiento del incidente). Una entidad de servicios financieros queda en paralelo bajo el régimen de notificación de incidentes de DORA. Los productos con elementos digitales cubiertos por el CRA añaden un tercer canal. Cartografiar estos regímenes de antemano — qué regulador recibe qué formulario, en qué reloj — es la única manera de evitar un incumplimiento de plazo bajo un régimen al responder a otro.

La guía práctica de las 72 horas del sitio recorre la cadencia de notificación una vez confirmado el incidente significativo. Este artículo está aguas arriba — responde a la pregunta de si la cadencia se aplica.

Cómo es cuando está bien hecho

Tres señales aparecen sistemáticamente en las directrices publicadas por INCIBE, ANSSI, BSI, ACN, NCSC-IE y ENISA sobre la valoración de la significatividad de un incidente:

  1. Una matriz de clasificación aprobada por el consejo — no una nota de una página, sino una matriz escrita con los tres o cuatro ejes que la entidad utiliza para puntuar incidentes, revisada en los últimos doce meses, firmada por el consejo al amparo del artículo 20.
  2. Un rastro de razonamiento con marca de tiempo — para cada incidente valorado por la guardia: las puntuaciones de la matriz en el momento de la toma de conocimiento, la decisión resultante (notificar / no notificar) y el responsable nombrado que la tomó. Extraído del sistema de tickets, no reconstruido a posteriori.
  3. Una recalibración anual — los valores umbral de la matriz se revisan frente a los incidentes reales del año y se ajustan. Los umbrales estáticos se desvían de la realidad operativa y se convierten en una debilidad defensiva tras dieciocho meses.

Ninguno de estos documentos es exótico. Existen ya en programas maduros de gestión de incidentes. El trabajo de los próximos doce meses, para las entidades que aún no los han codificado, es escribirlos — antes de que llegue el primer incidente significativo.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 23 («Obligaciones de notificación»).
  2. Directiva (UE) 2022/2555, artículo 23, apartado 3 (definición de «incidente significativo»).
  3. Directiva (UE) 2022/2555, considerando 101 (la valoración de la significatividad como juicio).
  4. Reglamento de Ejecución (UE) 2024/2690 de la Comisión de 17 de octubre de 2024 (requisitos técnicos y metodológicos; umbrales de significatividad para prestadores de servicios digitales y entidades asimiladas).
  5. Directiva (UE) 2022/2555, artículo 32 («Medidas de supervisión y ejecución respecto a las entidades esenciales»).
  6. Directrices de aplicación publicadas por las autoridades nacionales competentes — INCIBE (ES), ANSSI (FR), BSI (DE), ACN (IT), NCSC-IE (IE) — y por ENISA a través del Grupo de Cooperación NIS.

Otros artículos

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegarGobernanza

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegar

18 abr. 2025·Leer · 10 min
Notificación de incidentes NIS2: la guía práctica de las 72 horasGestión de incidentes

Notificación de incidentes NIS2: la guía práctica de las 72 horas

11 abr. 2025·Leer · 9 min
Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedoresCadena de suministro

Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedores

9 abr. 2025·Leer · 7 min