La ciberseguridad en la Unión Europea ha entrado en una nueva era con la Directiva NIS2 (UE 2022/2555). Esta nueva normativa no solo amplía el número de sectores considerados «esenciales» e «importantes», sino que también endurece significativamente las obligaciones de seguridad y, crucialmente, los plazos para la notificación de incidentes.
En IBPTECH, entendemos que la presión durante un ciberataque es inmensa. La NIS2 busca estandarizar la respuesta para mejorar la resiliencia colectiva de la UE, pero exige a las empresas una capacidad de detección y reporte extremadamente ágil.
Ya no basta con «gestionar» el incidente; ahora es obligatorio comunicarlo a las autoridades competentes. En España, el CSIRT (Equipo de Respuesta a Incidentes de Seguridad de la Información) nacional de referencia es INCIBE-CERT, operado por el Instituto Nacional de Ciberseguridad (INCIBE).
¿Qué es la Directiva NIS2?
La NIS2 reemplaza y deroga la directiva NIS original. Su objetivo es claro: elevar el nivel general de ciberseguridad en toda la Unión. Introduce medidas de gestión de riesgos más estrictas, requisitos de seguridad más detallados y, como eje central de este artículo, un mecanismo de notificación de incidentes armonizado y multifásico.
Ignorar estos requisitos no es una opción, ya que la directiva contempla sanciones administrativas significativas por incumplimiento.
Las 4 Fases de Notificación de Incidentes bajo NIS2
El artículo 23 de la Directiva NIS2 establece un proceso de notificación en varias etapas. El reloj empieza a contar desde el momento en que la entidad tiene conocimiento de un «incidente significativo».
Un incidente se considera significativo si:
- Ha causado o puede causar una interrupción operativa grave o pérdidas financieras considerables.
- Ha afectado o puede afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables.
Si el incidente cumple estos criterios, el proceso de notificación al CSIRT nacional (en nuestro caso, INCIBE-CERT) es el siguiente:
1. Alerta Temprana (Dentro de las 24 horas)
Debe remitirse en un plazo máximo de 24 horas desde que se tiene conocimiento del incidente.
Se trata de una alerta inicial cuyo contenido es mínimo: solo se debe indicar si se sospecha que el incidente ha sido causado por un acto ilegal o malintencionado y si puede tener repercusiones transfronterizas.
No se exige una evaluación completa, solo la alerta inicial.
2. Notificación de Incidente (Dentro de las 72 horas)
Debe realizarse en un plazo máximo de 72 horas desde el conocimiento del suceso.
Esta es la notificación principal, que debe actualizar la información de la alerta temprana e incluir una evaluación inicial de la gravedad y el impacto del incidente, así como los Indicadores de Compromiso (IoCs), si están disponibles.
El propósito de esta información es permitir a las autoridades comprender el alcance del ataque y, si es necesario, alertar a otros Estados miembros.
3. Informe de Situación Intermedio (Si se solicita)
Si la investigación se prolonga, la entidad deberá presentar un Informe de Situación Intermedio si así lo solicita INCIBE-CERT o la autoridad competente.
En este caso, la entidad debe proporcionar la información relevante que posea sobre el estado del incidente en ese momento.
La NIS2 no establece un plazo fijo para este informe, sino que debe emitirse a petición de INCIBE-CERT o de la autoridad competente.
4. Informe Final (En el plazo de un mes)
Debe ser entregado en el plazo de un mes después de la presentación de la notificación inicial (la de las 72 horas).
Este informe de cierre debe incluir:
Una descripción detallada del incidente, incluyendo su gravedad e impacto.
El tipo de amenaza o la causa probable que lo provocó.
Las medidas de mitigación aplicadas y las medidas correctoras adoptadas (lecciones aprendidas).
En su caso, las repercusiones transfronterizas del incidente.
Si el incidente sigue activo en el momento de presentar el informe final, la entidad deberá presentar un informe de progreso y, posteriormente, el informe final en el plazo de un mes desde la resolución completa del incidente.
La preparación es la clave
Cumplir con el plazo de 24 horas para la alerta temprana requiere que las organizaciones dispongan de sistemas de detección (como SIEM/SOAR) y de un Plan de Respuesta a Incidentes (IRP) perfectamente definido y ensayado.
Sin embargo, en medio de la crisis, surge un conflicto común: el equipo de TI quiere restaurar los servicios cuanto antes, pero el equipo legal y de ciberseguridad necesita preservar las pruebas. Notificar rápidamente a INCIBE-CERT es vital, pero hacerlo sin preservar las evidencias puede invalidar la investigación forense posterior.
¿Sabe qué hacer en los primeros 15 minutos de un incidente para no destruir las pruebas?
Para ayudar a su equipo a gestionar esos momentos críticos, hemos preparado una guía práctica.
Consulte aquí nuestro Checklist Rápido para la Preservación de Evidencias Digitales.