ISGroup Consultoría de Ciberseguridad

¿Qué constituye un “incidente significativo” que activa las obligaciones de notificación según la NIS2?

La Directiva NIS2 establece criterios específicos para determinar qué constituye un “incidente significativo” que activa las obligaciones de notificación para las entidades comprendidas en su ámbito de aplicación. Si deseas comprender cómo estas obligaciones se traducen en un camino concreto de adecuación, nuestro servicio de cumplimiento de la Directiva NIS2 ofrece apoyo estructurado desde la evaluación inicial hasta la implementación de las medidas requeridas.

[Callforaction-NIS2]

A continuación, un análisis basado en la fuente proporcionada:

El Artículo 23, Párrafo 3 de la Directiva describe los criterios para clasificar un incidente como “significativo”, requiriendo una evaluación de dos niveles:

  • Impacto en las Operaciones de la Entidad: El incidente debe haber “causado o ser capaz de causar una interrupción significativa de los servicios o una pérdida financiera relevante para la entidad afectada.” Este criterio se centra en el impacto directo sobre la entidad que notifica el incidente.
  • Impacto en Terceros: El incidente debe haber “afectado o ser capaz de afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables.” Este criterio amplía el ámbito de aplicación para incluir las posibles consecuencias sobre clientes, usuarios, socios u otras partes interesadas.

Aclaración adicional sobre “Interrupción Significativa”:

  • Artículo 16 de la Comunicación de la Comisión: Proporciona contexto adicional para interpretar la “interrupción significativa de los servicios”, sugiriendo que dicha clasificación debe determinarse sobre la base de una evaluación inicial de la entidad afectada. Esta evaluación debe considerar:
  • La criticidad de las redes y los sistemas de información involucrados para la prestación de los servicios de la entidad.
  • La gravedad y la naturaleza técnica de la amenaza informática.
  • Las vulnerabilidades explotadas.
  • Las experiencias previas de la entidad con incidentes similares.
  • Factores a considerar: La Comunicación de la Comisión destaca también indicadores específicos relevantes en la evaluación de la gravedad de la interrupción:
  • Extensión del Impacto en los Servicios: ¿Qué tan significativamente ha comprometido el incidente la capacidad de la entidad para prestar sus servicios?
  • Duración del Incidente: ¿La interrupción sigue en curso y, en tal caso, cuánto tiempo se ha prolongado?
  • Número de Usuarios Involucrados: ¿Cuántas personas u organizaciones que dependen de los servicios de la entidad se han visto afectadas?

Actos Delegados para Sectores Específicos:

  • Artículo 23, Párrafo 11 (segundo párrafo): Confiere a la Comisión la autoridad para adoptar actos delegados con el fin de especificar aún más las circunstancias en las que un incidente debe considerarse “significativo”. Estos actos pueden proporcionar directrices específicas por sector. Por ejemplo, la Comisión tiene el encargo de adoptar actos delegados para entidades como:
  • Proveedores de servicios DNS
  • Registros de nombres de dominio de primer nivel
  • Proveedores de servicios de computación en la nube
  • Proveedores de servicios de centros de datos
  • Redes de distribución de contenidos (CDN)
  • Y otros

Consideraciones Clave en la Evaluación de un Incidente:

  • Potencial de Daños: Es importante recordar que la definición de la Directiva se centra tanto en el daño efectivo como potencial. Un incidente no tiene necesariamente que haber causado ya interrupciones significativas o daños para activar las obligaciones de notificación, si existe una probabilidad razonable de que pueda derivar en tales consecuencias.
  • Evaluación Oportuna: La obligación de una notificación preliminar dentro de las 24 horas desde el momento en que se tiene conocimiento de un posible incidente significativo destaca la importancia de una evaluación oportuna y continua. Las entidades deben disponer de procesos internos para evaluar rápidamente los incidentes y determinar si cumplen con los criterios de “significativo”. Entre estos procesos se incluye la designación del referente CSIRT, figura prevista por la normativa para gestionar el flujo de notificación hacia las autoridades competentes.

En resumen, un “incidente significativo” según la Directiva NIS2 es un evento que ha causado o podría causar una interrupción o daño sustancial, afectando a la entidad que notifica el incidente o a terceros. La evaluación del nivel de significatividad debe basarse en una combinación de factores, y las directrices específicas por sector podrían proporcionarse a través de actos delegados. Para profundizar en el marco normativo general, puedes consultar también cuál es el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2-Footer]

In