ISGroup Consultoría de Ciberseguridad

Decreto NIS2 y Referente CSIRT para la gestión de incidentes significativos

La implementación del Decreto Legislativo 138/2024 (Decreto NIS2) y las determinaciones de la Agencia para la Ciberseguridad Nacional (ACN) introduce un proceso estructurado y cronometrado en la gestión de incidentes, transformando esta actividad de reactiva a gobernada. El Referente CSIRT, cuya designación es obligatoria antes del 31 de diciembre de 2025, se convierte en el punto de contacto para todas las comunicaciones con el CSIRT Italia, asegurando que cada evento siga una secuencia precisa de notificación y análisis.

Umbral de significatividad: cuándo es obligatoria la notificación

No todas las anomalías informáticas requieren un reporte. La obligación de notificación surge únicamente ante incidentes significativos, según lo establecido por el artículo 25 del Decreto NIS2. Un incidente es significativo si cumple al menos uno de estos criterios:

  • Perturbación operativa: causa o puede causar una grave interrupción de los servicios prestados por la organización.
  • Pérdidas financieras: provoca daños económicos relevantes para la víctima.
  • Impacto en terceros: genera repercusiones importantes, materiales o inmateriales, sobre otras personas físicas o jurídicas.

La Determinación ACN n. 164179/2025 identifica cuatro tipologías principales de “incidentes significativos básicos”:

  • IS-1 (Pérdida de confidencialidad): compromiso hacia el exterior de datos digitales de la organización o de sujetos controlados.
  • IS-2 (Pérdida de integridad): manipulación de datos con impacto externo.
  • IS-3 (Violación de los niveles de servicio): incumplimiento de los niveles de servicio (SLA) establecidos para las actividades críticas.
  • IS-4 (Abuso de privilegios – Solo para Sujetos Esenciales): acceso no autorizado o abuso de privilegios sobre datos digitales de propiedad.

El Referente CSIRT verifica si el evento entra en estas categorías y evalúa si supera los umbrales previstos por el artículo 25.

El ciclo de notificación: fases y plazos

Cuando se reconoce un incidente significativo, el Referente CSIRT debe realizar la comunicación hacia el CSIRT Italia respetando plazos precisos desde el momento en que se tiene conocimiento del evento.

Pre-notificación (dentro de las 24 horas)

  • Debe enviarse dentro de las 24 horas.
  • Debe certificar que el incidente es significativo.
  • Indica, si es posible, si el evento tiene naturaleza maliciosa.
  • Evalúa la presencia de impactos transfronterizos.

Notificación completa (dentro de las 72 horas)

  • Debe transmitirse dentro de las 72 horas (reducidas a 24 para los prestadores de servicios de confianza).
  • Actualiza la información de la pre-notificación.
  • Incluye la evaluación inicial de la gravedad y el impacto.
  • Proporciona los Indicadores de Compromiso (IoC), si están disponibles.

Informes intermedios y actualizaciones

  • A petición del CSIRT Italia, pueden solicitarse informes intermedios.
  • En caso de un incidente que dure más de un mes, la normativa prevé informes mensuales de estado hasta su cierre.

Informe final (dentro de un mes)

  • Debe producirse dentro de los 30 días posteriores al envío de la notificación completa.
  • Describe detalladamente el incidente y la causa raíz (root cause).
  • Analiza la amenaza o el vector de ataque.
  • Informa sobre las medidas de mitigación adoptadas y las que están en curso.
  • Presenta la evaluación definitiva del impacto transfronterizo.

Notificaciones voluntarias: valorización de la información

El artículo 26 de la NIS2 promueve las notificaciones voluntarias. El Referente CSIRT puede informar al CSIRT Italia sobre:

  • Incidentes no significativos, pero técnicamente relevantes.
  • Amenazas informáticas, incluso si el ataque aún no ha ocurrido.
  • Casi incidentes (near-miss): eventos potencialmente graves que fueron interceptados o evitados.

Las notificaciones voluntarias no conllevan cargas adicionales ni sanciones, ni perjudican a quien colabora frente a quien no lo hace.

Rol operativo del referente CSIRT

El Referente CSIRT, designado obligatoriamente antes del 31 de diciembre de 2025, es el único interlocutor operativo para las comunicaciones con el CSIRT Italia. Sus responsabilidades son determinantes durante todas las fases:

  • Detección: analiza las alarmas del SOC o de los proveedores de TI para validar si se trata de un incidente significativo.
  • Respuesta e investigación: coordina el Equipo de Respuesta a Incidentes (IRT), que incluye a asesores legales, TI, DPO y comunicación, garantizando la recopilación y conservación de las evidencias sin riesgo de alteración.
  • Notificación: envía los datos a través del portal de la ACN, verificando la coherencia entre los registros técnicos y la calificación jurídica.
  • Restauración y mejora: contribuye al Informe Post-Incidente, identificando brechas en los procedimientos y actualizando los manuales de respuesta (playbooks), por ejemplo, ante ransomware o ataques DDoS.

Gobernanza, responsabilidad y continuidad operativa

La responsabilidad jurídica de las obligaciones de notificación recae en los órganos de administración y dirección, conforme a lo previsto por el artículo 23 del D.Lgs. 138/2024. El Referente CSIRT desempeña una función delegada exclusivamente operativa y funcional.

El incumplimiento de los plazos en la pre-notificación o en el informe final expone a la organización a sanciones administrativas e inspecciones por parte de la ACN. Para asegurar la continuidad operativa incluso en caso de indisponibilidad del referente, se recomienda encarecidamente el nombramiento de uno o más sustitutos con las mismas facultades técnicas y de autorización.

Conclusión

La gestión de incidentes según la NIS2 requiere un Referente CSIRT capaz de integrar competencias técnicas y precisión procedimental, transformando el cumplimiento normativo en un elemento central de la resiliencia operativa de la organización.

Fuentes principales:
Gazzetta Ufficiale

In

, , ,