ISGroup Consultoría de Ciberseguridad

Requisitos mínimos para los CSIRT según la directiva NIS2

La Directiva NIS2 define varios requisitos mínimos para los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). Estos requisitos cubren diversos aspectos, incluyendo la comunicación, la infraestructura, las capacidades técnicas y las tareas operativas.

[Callforaction-NIS2]

Comunicación y Disponibilidad:

  • Múltiples canales de comunicación: Los CSIRT deben garantizar una alta disponibilidad de los canales de comunicación y evitar puntos únicos de fallo. Deben proporcionar varios métodos para que las entidades puedan contactarlos y viceversa, asegurando una accesibilidad constante.
  • Canales de comunicación claros: Los canales de comunicación elegidos deben estar claramente identificados y ser conocidos por la base de usuarios y los socios del CSIRT. Esta transparencia asegura que las entidades puedan contactar fácilmente al CSIRT cuando sea necesario.

Seguridad e Infraestructura:

  • Ubicación segura: Los CSIRT deben operar desde lugares seguros, protegiendo sus sedes físicas y sus sistemas informáticos contra accesos no autorizados, amenazas ambientales y otros riesgos.
  • Infraestructura segura y resiliente: Una infraestructura de comunicación e información dedicada, segura y resiliente es crucial para que los CSIRT intercambien información con entidades esenciales e importantes y con las partes interesadas. Esta infraestructura debe facilitar una comunicación segura y fiable, resistiendo las interrupciones.
  • Herramientas seguras para compartir información: Los Estados miembros deben garantizar que sus CSIRT contribuyan al desarrollo de herramientas seguras para compartir información. Este esfuerzo colaborativo tiene como objetivo establecer mecanismos de confianza para el intercambio de información sensible sobre ciberseguridad.

Capacidades técnicas y recursos:

  • Recursos adecuados: Los Estados miembros tienen la obligación de asignar recursos suficientes a sus CSIRT, permitiéndoles desempeñar sus tareas de manera eficaz. Estos recursos incluyen personal, financiación e infraestructura técnica.
  • Experiencia técnica colectiva: Los Estados miembros deben asegurar que sus CSIRT designados posean, colectivamente, las capacidades técnicas necesarias para cumplir con sus deberes descritos en el Artículo 11, apartado 3 de la Directiva NIS2. Esto requiere proporcionar a los CSIRT recursos suficientes para la formación y el desarrollo, con el fin de mejorar su competencia técnica.

Tareas operativas y responsabilidades:

  • Monitoreo y análisis: Los CSIRT tienen la tarea de monitorear y analizar las amenazas, vulnerabilidades e incidentes de ciberseguridad a nivel nacional. Deben proporcionar asistencia a las entidades esenciales e importantes, bajo petición, para apoyar el monitoreo en tiempo real o casi en tiempo real de sus sistemas de red e información.
  • Alerta temprana y avisos: Los CSIRT desempeñan un papel crítico en la emisión de alertas tempranas, avisos y boletines. Deben difundir información sobre amenazas, vulnerabilidades e incidentes de ciberseguridad a las partes interesadas relevantes, incluidas entidades esenciales e importantes, autoridades competentes y otras partes interesadas, de manera oportuna, idealmente casi en tiempo real.
  • Respuesta a incidentes y soporte: Cuando ocurren incidentes, se espera que los CSIRT proporcionen una respuesta coordinada. Deben ofrecer asistencia a las entidades esenciales e importantes afectadas, ayudándolas a mitigar el impacto de los incidentes y a restaurar la normalidad.
  • Análisis forense y conocimiento de la situación: Los CSIRT son responsables de la recopilación y el análisis de datos forenses tras los incidentes. Este análisis contribuye a una comprensión dinámica de los riesgos e incidentes y ayuda a mantener un conocimiento general de la situación en materia de ciberseguridad.
  • Escaneo proactivo de vulnerabilidades: Bajo petición, los CSIRT deben ser capaces de realizar escaneos proactivos de los sistemas de red e información de las entidades esenciales o importantes. Estos escaneos tienen como objetivo identificar vulnerabilidades que podrían tener un impacto significativo si fueran explotadas.
  • Colaboración y asistencia mutua dentro de la Red CSIRT: Los CSIRT deben participar activamente en la Red CSIRT, promoviendo la colaboración y proporcionando asistencia mutua a otros miembros según sus capacidades y experiencia. Este enfoque colaborativo mejora la resiliencia general de la red y permite una respuesta más coordinada y eficaz ante los incidentes de ciberseguridad. Para los sujetos NIS, la Directiva también prevé la obligación de designar al referente CSIRT, figura distinta del punto de contacto general.
  • Coordinación de la divulgación de vulnerabilidades: Los CSIRT pueden actuar como coordinadores para la divulgación de vulnerabilidades, sirviendo como intermediarios de confianza entre quienes reportan las vulnerabilidades y los fabricantes o proveedores de servicios TIC de productos potencialmente vulnerables.

Requisitos adicionales:

  • Gestión de solicitudes: Los CSIRT deben tener un sistema para gestionar y escalar eficientemente las solicitudes recibidas, especialmente durante los incidentes de ciberseguridad. Esto asegura un enfoque ágil en la gestión de las solicitudes de información y asistencia.
  • Confidencialidad y fiabilidad: Mantener la confidencialidad y garantizar la fiabilidad operativa son fundamentales para los CSIRT. Esto implica proteger la información sensible, cumplir con las normativas de protección de datos y mantener servicios coherentes y fiables.
  • Personal y competencia: Los CSIRT deben contar con el personal adecuado para proporcionar un servicio continuo y garantizar la disponibilidad 24/7. Además, los miembros del personal deben recibir la formación apropiada para desarrollar las competencias necesarias para gestionar eficazmente sus tareas. Cabe señalar que la distinción entre punto de contacto y referente CSIRT introducida por la Determinación ACN n. 333017/2025 aclara los roles internos que las organizaciones deben cubrir.
  • Redundancia y respaldo: Implementar medidas de redundancia y disponer de espacios de trabajo de respaldo es crucial para que los CSIRT mantengan la continuidad operativa durante las interrupciones. Esto incluye sistemas de respaldo, canales de comunicación alternativos y almacenamiento de datos fuera de las instalaciones (offsite).
  • Cooperación internacional: Se anima a los CSIRT a establecer relaciones de cooperación con sus homólogos en otros países, especialmente con los CSIRT nacionales en terceros países. Esta colaboración tiene como objetivo facilitar el intercambio de información, compartir las mejores prácticas y fortalecer los esfuerzos globales de ciberseguridad.

Priorización basada en el riesgo:

Las fuentes subrayan que los CSIRT pueden priorizar sus tareas basándose en un enfoque basado en el riesgo. Esta flexibilidad les permite asignar recursos y centrarse en las actividades más críticas según la evolución del panorama de amenazas y el impacto potencial de los incidentes. Esta priorización basada en el riesgo asegura un uso más eficiente de los recursos y una respuesta más eficaz ante los desafíos de ciberseguridad más urgentes.

Las fuentes también señalan que los requisitos para los CSIRT son adicionales a cualquier legislación nacional o de la UE existente sobre la protección de datos y la salvaguardia de la información clasificada. Para las organizaciones que deben verificar su perímetro de aplicación e iniciar un camino estructurado de adecuación, el soporte para el cumplimiento de la Directiva NIS2 ofrecido por ISGroup cubre tanto la evaluación inicial como la implementación de las medidas requeridas. Detalles adicionales sobre los plazos y las modalidades de inscripción en el listado ACN están disponibles en el artículo dedicado a ACN y el listado NIS2.

Preguntas frecuentes sobre los requisitos CSIRT en la NIS2

  • ¿Todos los sujetos NIS2 deben dotarse de su propio CSIRT interno?
  • No. La Directiva NIS2 prevé que los CSIRT nacionales sean instituidos por los Estados miembros. Las entidades esenciales e importantes no están obligadas a crear un CSIRT interno autónomo, pero deben poder interactuar con el CSIRT nacional de referencia y cumplir con las obligaciones de notificación de incidentes. Algunas organizaciones de gran tamaño eligen, de todos modos, dotarse de capacidades internas de respuesta a incidentes.
  • ¿Cuál es la diferencia entre el referente CSIRT y el punto de contacto NIS2?
  • Son dos figuras distintas. El punto de contacto es el referente de la organización ante las autoridades competentes para las comunicaciones generales relacionadas con la NIS2. El referente CSIRT es, en cambio, la persona designada para las interacciones operativas con el CSIRT nacional en caso de incidente. La Determinación ACN n. 333017/2025 ha aclarado esta distinción y las relativas obligaciones de designación.
  • ¿Cómo se inicia concretamente un camino de cumplimiento NIS2 para una organización sujeta a la Directiva?
  • El punto de partida es verificar si la organización entra en el perímetro NIS2 y proceder a la inscripción en el listado ACN dentro de los plazos previstos. Posteriormente, es necesario realizar una evaluación del riesgo, identificar las medidas de seguridad a implementar y definir los procedimientos de notificación de incidentes. Un camino estructurado prevé también la formación del personal y la revisión periódica de las medidas adoptadas.

[Callforaction-NIS2-Footer]

In