Save 20% on accredited ISO 27001 course exams.
Limited-time offer – ends July 18, 2024
Use promo code:
EXAM20

¿Cuáles son las obligaciones de notificación según la NIS 2?

La Directiva NIS 2 (SRI 2) regula las obligaciones de notificación en el artículo 23, un artículo bastante largo y complejo. En cualquier caso, es imprescindible saber qué incidentes debe denunciar, a quién debe denunciarlos y cómo debe hacerlo

La NIS2 exige que las entidades esenciales e importantes notifiquen los incidentes significativos al CSIRT o a la autoridad competente a través de:
  • Una alerta temprana
  • Una notificación del incidente
  • Un informe intermedio
  • Un informe final
  • Un informe de situación

¿Qué es un incidente significativo según la NIS2?

Según la NIS 2, un incidente es “todo hecho que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios ofrecidos por sistemas de redes y de información o accesibles a través de ellos”.

La NIS 2 solo exige que se notifiquen los incidentes significativos: define un incidente significativo como “cualquier incidente que tenga un impacto significativo en la prestación” de los servicios que prestan las entidades esenciales e importantes, si:

  • “a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
  • b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables”.

En el preámbulo de la NIS 2, el considerando (101) indica que “Indicadores como la medida en que se ve afectado el funcionamiento del servicio, la duración de un incidente o el número de destinatarios de los servicios afectados podrían ser importantes a la hora de determinar si la perturbación operativa del servicio es grave”.

Aparte de esto, no se ha publicado ninguna directriz sobre lo que significaría una “pérdida económica grave”, o lo que sería un “perjuicio material o inmaterial considerable”.

Tanto las entidades esenciales como las importantes están obligadas a notificar los incidentes significativos, mientras que no hay obligación de notificar otro tipo de incidentes.

¿Cuáles son las obligaciones de notificación según la NIS 2? - Advisera

¿A quién se comunican los incidentes?

La NIS 2 obliga a que las entidades esenciales e importantes notifiquen los incidentes significativos a las siguientes partes:

  • El equipo de respuesta a incidentes de seguridad informática (CSIRT) o una autoridad competente (estas autoridades son designadas por los Estados miembros para ser responsables de la ciberseguridad y de las tareas de supervisión)
  • Los destinatarios de servicios de entidades esenciales o importantes que puedan verse afectados por el incidente significativo

¿Cómo se notifican los incidentes significativos?

El artículo 23 obliga a las empresas a notificar los incidentes significativos como sigue:

Requisitos de la NIS2 Artículo correspondiente de la NIS2 Cuándo notificar Qué notificar Nombre sugerido para el documento
Una notificación (para los destinatarios de servicios que están potencialmente afectados por una ciberamenaza significativa) Artículo 23, párrafo 2 Sin demora indebida Cualquier medida o solución que esos destinatarios puedan aplicar en respuesta a la amenaza; también se notificará la propia ciberamenaza significativa a esos destinatarios Notificación de incidentes significativos a los destinatarios de servicios
Una alerta temprana (para CSIRT o autoridad competente) Artículo 23, párrafo 4, punto a Sin demora indebida y, en cualquier caso, dentro de las 24 horas desde que se haya tenido constancia del incidente significativo Indica si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas Alerta Temprana de Incidente Significativo
Una notificación del incidente (para CSIRT o autoridad competente) Artículo 23, párrafo 4, punto b Sin demora indebida y, en cualquier caso, dentro de las 72 horas desde que se haya tenido constancia del incidente significativo Contiene una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles Notificación de Incidentes Significativos al CSIRT/Autoridad competente
Un informe intermedio (para CSIRT o autoridad competente) Artículo 23, párrafo 4, punto c A petición de un CSIRT o de la autoridad competente Actualizaciones pertinentes sobre
la situación
Informe Intermedio de Incidente Significativo
Un informe final (para CSIRT o autoridad competente) Artículo 23, párrafo 4, punto d A más tardar, un mes después de presentar la notificación del incidente (i) una descripción detallada del incidente, incluyendo su gravedad e impacto;
(ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente;
(iii) las medidas paliativas aplicadas y en curso;
(iv) cuando proceda, las repercusiones transfronterizas del incidente.
Informe Final de Incidente Significativo
Un informe de situación (para CSIRT o autoridad competente) Artículo 23, párrafo 4, punto e En el caso de que el incidente siga en curso (no especificado) Informe de Situación de Incidente Significativo

Espera lo mejor; prepárate para lo peor

Tras implementar por completo las medidas de ciberseguridad exigidas por la NIS2, se reducen mucho las posibilidades de sufrir un incidente (especialmente incidentes significativos).

De todos modos, no hay ciberseguridad perfecta… A pesar de todos sus esfuerzos, es posible que uno de estos incidentes ocurra. Por eso necesita estar preparado no solo para hacerle frente, también para notificarlo correctamente.

Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.

Advisera Dejan Kosutic

Dejan Kosutic

Destacado experto en ciberseguridad y seguridad de la información y autor de varios libros, artículos, webinars y cursos. Como experto de primer nivel, Dejan fundó Advisera para ayudar a las pequeñas y medianas empresas a conseguir los recursos que necesitan para cumplir con la normativa de la UE y las normas ISO. Cree que conseguir que los marcos regulatorios complejos resulten fáciles de entender y usar crea una ventaja competitiva para los clientes de Advisera, y que la IA es clave para lograrlo.

Como experto en ISO 27001 y NIS 2, Dejan ayuda a las empresas a encontrar el mejor camino hacia el cumplimiento normativo, eliminando gastos fijos y adaptando la implementación al tamaño y las necesidades específicas del sector.

Leer más artículos de Dejan Kosutic