La Directiva (UE) 2022/2555, conocida como NIS2, introduce un régimen más estricto y detallado sobre la notificación de incidentes de ciberseguridad en entidades que prestan servicios esenciales o relevantes. Esta obligación legal no solo busca mejorar la respuesta coordinada ante amenazas digitales, sino también garantizar la transparencia y minimizar el impacto operativo, económico y social de cada incidente.
Pero ¿sabes exactamente qué debes notificar, en qué plazo y cómo hacerlo correctamente para cumplir con la norma? En este artículo te lo explicamos paso a paso, con un enfoque práctico y profesional, alineado con el sistema de gestión de NSI2 que aplicamos en organizaciones de todo tipo.
¿Qué se considera un incidente significativo según la NIS2?
No todos los problemas técnicos ni todas las anomalías informáticas deben notificarse. La NIS2 define como incidentes significativos aquellos que:
Causan o pueden causar interrupciones graves en la prestación de servicios esenciales.
Comprometen datos confidenciales o sensibles que afecten a la seguridad nacional o al interés general.
Afectan o pueden afectar gravemente a las operaciones de otras entidades interconectadas.
Suponen un acceso, modificación o destrucción no autorizada de sistemas o información crítica.
La directiva también contempla incidentes que no han tenido impacto inmediato, pero cuya detección sugiere una amenaza inminente o sistémica. Es decir, también hay que notificar riesgos potenciales si cumplen ciertos criterios.
Qué entidades están obligadas a notificar incidentes
Todas las organizaciones clasificadas como entidades esenciales o entidades importantes están sujetas a la obligación de notificación. Entre ellas se encuentran:
Proveedores de servicios de infraestructura digital, TIC y cloud.
Entidades del sector energético, transporte, salud, agua, alimentación, servicios financieros, manufactura crítica y administración pública.
Operadores de redes y plataformas digitales.
Empresas que, aunque no estén en sectores críticos, cumplen con criterios de tamaño o impacto social.
La determinación final de la obligación depende de los umbrales establecidos por la legislación nacional que transponga la directiva, pero el enfoque general de NSI2 aplica criterios uniformes de evaluación.
Los tres plazos clave de notificación en NIS2
Uno de los grandes cambios que introduce NIS2 es la obligación de notificar en tres fases, cada una con su propio plazo. A continuación, te contamos cómo gestionarlas correctamente:
1. Notificación temprana (Early Warning): en 24 horas
Se debe enviar una primera comunicación a la autoridad competente en un plazo máximo de 24 horas desde que se tiene conocimiento del incidente.
Este aviso no requiere todos los detalles técnicos, pero debe contener:
La naturaleza básica del incidente.
La sospecha o certeza de que es intencionado.
El posible impacto estimado.
Medidas iniciales adoptadas.
Este primer reporte tiene como objetivo activar la coordinación temprana y prevenir la propagación del incidente a otros operadores o sectores.
2. Notificación completa (Incident Notification): en 72 horas
Una vez recogida información adicional, debe enviarse un informe más detallado antes de que pasen 72 horas desde la detección inicial.
Este documento debe incluir:
Origen y causa (si se conoce).
Vector de ataque o método utilizado.
Grado real del impacto en los sistemas o servicios.
Medidas correctivas aplicadas o previstas.
Evaluación del riesgo de propagación.
Esta fase es esencial para que la autoridad valore si es necesario activar alertas sectoriales, medidas coordinadas o auditorías inmediatas.
3. Informe final: sin plazo fijo, cuando el incidente se resuelve
Debe remitirse una vez gestionado el incidente. No tiene un plazo concreto, pero se espera que se envíe en un tiempo razonable tras el restablecimiento de la normalidad.
Incluye:
Evaluación final del impacto.
Tiempo total de interrupción o degradación del servicio.
Medidas definitivas implantadas.
Lecciones aprendidas y acciones preventivas futuras.
Esta última etapa es clave para cerrar el ciclo de cumplimiento y demostrar la mejora continua que exige NSI2.
Cómo hacer la notificación de forma correcta
Cumplir con los plazos es solo una parte del proceso. La calidad y trazabilidad de la notificación son fundamentales. Te explicamos cómo gestionarlo de manera eficaz:
1. Establece un protocolo interno
Define claramente quién debe notificar, cómo, a qué autoridad y qué contenido debe incluirse en cada fase. Este protocolo debe estar documentado y ser conocido por todos los actores implicados.
2. Designa un responsable de notificación
NIS2 exige una gobernanza clara, por lo que debe haber una persona o equipo con autoridad y conocimiento técnico y legal suficiente para liderar el proceso de notificación.
3. Usa plantillas y formatos estandarizados
Las autoridades nacionales publicarán modelos para cada tipo de informe. Utiliza plantillas adaptadas para reducir errores, omisiones y garantizar la coherencia entre fases.
4. Garantiza la trazabilidad
Debes conservar evidencia documental de:
Cuándo se detectó el incidente.
Qué decisiones se tomaron.
Cuándo y cómo se notificó.
Qué respuestas se dieron.
Esta trazabilidad puede ser clave en inspecciones o procesos sancionadores.
5. Simula y entrena
No esperes al primer incidente real. Realiza simulacros anuales de notificación para asegurar que todos los implicados conocen sus responsabilidades y se minimicen los tiempos de respuesta.
¿Qué ocurre si no notificas a tiempo?
La NIS2 contempla sanciones muy graves por incumplimiento de los plazos o por falta de calidad en las notificaciones:
Multas de hasta 10 millones de euros o el 2 % del volumen de negocio global.
Investigaciones y auditorías forzosas por parte de las autoridades competentes.
Inhabilitación temporal de directivos responsables.
Reputación afectada, especialmente si el incidente se hace público sin una gestión adecuada.
Además, si un incidente no es notificado y afecta a terceros, la entidad puede ser considerada responsable subsidiaria por daños o por negligencia grave.
Recomendaciones prácticas para notificar bien
Aquí tienes algunos consejos clave para hacerlo correctamente:
No esperes a tener todos los datos para la notificación inicial. La información incompleta es preferible a no notificar.
Utiliza lenguaje claro y técnico al mismo tiempo. Evita ambigüedades.
Coordina la notificación con comunicación interna y externa.
Informa también a proveedores si están afectados o implicados.
Revisa periódicamente tu protocolo de notificación, especialmente tras incidentes o cambios en la organización.
Aplicar estas buenas prácticas, dentro del marco de NSI2, permite cumplir con la norma de forma profesional y sin interrumpir el flujo operativo.
Integrar la notificación en tu estrategia de cumplimiento
La notificación de incidentes no debe tratarse como una tarea aislada. Es parte integral de una estrategia de gestión de riesgos cibernéticos, que incluye:
Identificación y evaluación de riesgos.
Medidas preventivas y correctivas.
Formación y cultura de seguridad.
Supervisión activa y mejora continua.
Un enfoque integrado como el que ofrece NSI2 facilita este cumplimiento, reduce tiempos de respuesta y evita errores que puedan derivar en sanciones.
Solución experta, adaptada y sin compromiso
Cumplir con la notificación de incidentes bajo la NIS2 no es solo cuestión de rapidez, sino de estrategia, coherencia y profesionalidad. En Audidat ayudamos a entidades de sectores esenciales y críticos a implantar un sistema adaptado, funcional y sin comprometer su operativa, a través de NSI2, con asesoramiento especializado, ágil y sin compromiso de permanencia.
Preguntas frecuentes
¿Tengo que notificar aunque el incidente no haya causado daño?
Sí, si existe riesgo significativo de que el incidente pueda tener un impacto grave. NIS2 exige notificar también amenazas potenciales.
¿Puedo delegar la notificación en un proveedor externo?
No. La responsabilidad legal es siempre de la entidad obligada, aunque puede contar con asesoramiento externo o herramientas especializadas.
¿Qué ocurre si notifico tarde o con errores?
Puedes recibir sanciones por incumplimiento de los plazos o por no aportar la información requerida. También puede deteriorarse tu imagen ante la autoridad competente.
¿Cómo sé qué autoridad debe recibir mi notificación?
Dependerá del país y sector. En España, se establecerá un punto único de contacto (autoridad competente) que canalizará las notificaciones según el tipo de entidad.
