ISGroup Consultoría de Ciberseguridad

¿Cuáles son los plazos para la notificación de incidentes significativos según la NIS2?

La directiva NIS2 prevé un enfoque multifase para la notificación de incidentes significativos, poniendo el énfasis tanto en la rapidez como en la exhaustividad. Para las organizaciones que están estructurando su plan de cumplimiento, el servicio de adaptación a la Directiva NIS2 de ISGroup respalda todo el proceso, desde la evaluación inicial hasta la implementación de las medidas requeridas. Para profundizar en el marco normativo inicial, resulta útil aclarar primero cuál es el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2]

A continuación, se presenta un resumen de los plazos:

1. Alerta Preliminar (En un plazo de 24 horas)

  • Artículo 23, apartado 4(a): Las entidades deben enviar una alerta preliminar a su CSIRT o a la autoridad nacional competente “sin dilación indebida y, en cualquier caso, en un plazo de 24 horas” desde el momento en que tengan conocimiento de un incidente significativo.
  • Objetivo: La alerta preliminar sirve para informar rápidamente a las autoridades competentes, incluso antes de que sea posible realizar una evaluación completa del impacto del incidente.
  • Contenido: La alerta preliminar no requiere muchos detalles, pero debería, cuando sea aplicable, indicar:
    • Actividades sospechosas o maliciosas: Si se considera que el incidente es el resultado de una acción dolosa.
    • Impacto transfronterizo: Si el incidente podría afectar a personas u organizaciones en otros Estados miembros.
  • Solicitud de asistencia: La comunicación de la Comisión subraya que el envío de una alerta preliminar permite a las entidades involucradas solicitar asistencia a su CSIRT o a la autoridad competente, lo cual puede incluir indicaciones sobre medidas de mitigación o apoyo operativo. Las modalidades de designación del referente CSIRT para los sujetos NIS están definidas por la normativa de implementación italiana.

2. Notificación del Incidente (En un plazo de 72 horas)

  • Artículo 23, apartado 4(b): Tras la alerta preliminar, debe enviarse una notificación más detallada del incidente “sin dilación indebida y, en cualquier caso, en un plazo de 72 horas” desde el momento en que se tenga conocimiento del incidente.
  • Contenido: La notificación debería ampliar la información proporcionada en la alerta preliminar e incluir:
    • Información actualizada: Cualquier nuevo detalle que haya surgido desde el envío de la alerta preliminar.
    • Evaluación inicial: Una evaluación preliminar del incidente significativo, incluyendo:
      • Gravedad: ¿Cuál ha sido o podría ser el impacto del incidente en la entidad y en terceros potencialmente involucrados?
      • Impacto: ¿Cuáles son las consecuencias específicas del incidente, en términos de interrupción del servicio y daños potenciales (financieros, reputacionales, etc.)?
    • Indicadores de Compromiso (IoC): Si están disponibles, detalles técnicos que puedan ayudar a identificar la fuente o la naturaleza del incidente, como direcciones IP maliciosas o firmas de malware.

3. Informe Intermedio (Bajo solicitud)

  • Artículo 23, apartado 4(c): El CSIRT o la autoridad competente puede solicitar informes intermedios a la entidad involucrada para proporcionar actualizaciones sobre la situación.
  • Objetivo: Esto permite a las autoridades monitorear el progreso del incidente, evaluar posibles riesgos emergentes y coordinar las acciones de respuesta, si fuera necesario.

4. Informe Final (En el plazo de un mes)

  • Artículo 23, apartado 4(d): Un informe final completo debe presentarse “en el plazo de un mes” desde el envío de la notificación inicial del incidente.
  • Contenido: El informe final debería incluir una descripción detallada del incidente, con:
    • Descripción detallada: Una explicación completa del incidente, incluyendo causas principales, técnicas utilizadas, sistemas afectados y cronología de los eventos.
    • Gravedad e Impacto: Un análisis profundo del impacto del incidente, basado en la evaluación inicial proporcionada anteriormente.
    • Medidas de Mitigación: Una descripción de las acciones emprendidas para contener el incidente, mitigar los efectos y prevenir futuros eventos similares.
    • Impacto Transfronterizo: Si es aplicable, un informe detallado sobre cómo el incidente ha afectado o podría afectar a personas u organizaciones en otros Estados miembros.

5. Incidentes en curso

  • Artículo 23, apartado 4(e): Si un incidente sigue en curso cuando vence el plazo de un mes para el informe final, la entidad debe proporcionar:
    • Informe de Progreso: Una actualización sobre el estado actual del incidente y las medidas de mitigación en curso.
    • Informe Final (En el plazo de un mes tras la resolución): Una vez resuelto el incidente, el informe final debe presentarse en el plazo de un mes, siguiendo la misma estructura y requisitos de contenido descritos anteriormente.

Caso Especial: Proveedores de Servicios de Confianza

  • Artículo 23, apartado 4 (último párrafo): Los proveedores de servicios de confianza, debido a la naturaleza de sus servicios, tienen plazos de notificación más estrictos para los incidentes significativos que afectan a sus servicios principales. Deben informar a su CSIRT o autoridad competente “sin dilación indebida y, en cualquier caso, en un plazo de 24 horas” desde el momento en que tengan conocimiento del incidente. Esta alineación sigue los plazos para la alerta preliminar previstos para las demás entidades.

Puntos clave:

  • Varias fases: El proceso de notificación según la NIS2 es iterativo, requiriendo que las entidades proporcionen información en fases sucesivas, comenzando con una alerta inicial rápida y concluyendo con un informe final completo.
  • Enfoque en la puntualidad: Los plazos estrictos para la notificación subrayan la importancia de una acción pronta en respuesta a los incidentes significativos.
  • Equilibrio entre rapidez y detalle: Mientras que las notificaciones iniciales priorizan la velocidad, los informes posteriores ponen mayor énfasis en un análisis detallado y en las lecciones aprendidas.
  • Apoyo a la cooperación y la respuesta: Los requisitos de notificación están diseñados no solo para informar a las autoridades, sino también para facilitar la cooperación, coordinar los esfuerzos de respuesta y mejorar la postura general de ciberseguridad. El texto íntegro de las obligaciones puede consultarse en el documento oficial de la Directiva NIS2.

[Callforaction-NIS2-Footer]

In