Las normativas, en particular la legislación de la Unión Europea (UE) que establece la Directiva NIS2, describen a quién deben notificar las entidades los incidentes significativos que ocurren dentro de su infraestructura digital.

• Las entidades clasificadas como esenciales o importantes están obligadas a notificar los incidentes significativos a su Equipo de Respuesta a Emergencias Informáticas (CSIRT) designado o, cuando proceda, a la autoridad nacional competente. Este mecanismo de notificación tiene como objetivo garantizar una respuesta rápida y coordinada a los incidentes de ciberseguridad en toda la UE. Para profundizar en las obligaciones relacionadas con la figura del referente, es útil leer también la obligación de designación del referente CSIRT para los sujetos NIS.
• La legislación subraya la importancia de la evaluación inicial realizada por la entidad afectada para determinar si un incidente es lo suficientemente significativo como para justificar su notificación. Dicha evaluación debe tener en cuenta la criticidad de los sistemas involucrados para la prestación de los servicios de la entidad, la gravedad y la naturaleza de cualquier amenaza informática, así como la experiencia previa de la entidad con incidentes similares.
• Además de notificar los incidentes significativos a su CSIRT o a la autoridad nacional competente, las entidades están obligadas a informar también a los destinatarios de sus servicios si el incidente puede afectar negativamente a la prestación de dichos servicios.

Directiva NIS2: Consideraciones importantes para la notificación

• La legislación enfatiza un enfoque de varias fases para la notificación de incidentes, que prevé el envío de una alerta temprana, una notificación formal del incidente y un informe final. Este enfoque busca equilibrar la necesidad de una notificación oportuna, para reducir posibles impactos generalizados, con la necesidad de informes detallados que faciliten el aprendizaje de incidentes individuales.
• La alerta temprana debe enviarse en un plazo de 24 horas desde el momento en que se tiene conocimiento de un incidente significativo. Posteriormente, se requiere una notificación formal del incidente en un plazo de 72 horas. Finalmente, debe presentarse un informe final en el plazo de un mes desde la notificación inicial, a menos que el incidente siga en curso; en tal caso, es necesario enviar un informe de progreso y un informe final en el plazo de un mes desde la resolución del incidente. Sin embargo, los proveedores de servicios de confianza deben notificar los incidentes significativos en un plazo de 24 horas desde el momento en que tuvieron conocimiento de ellos, sin excepciones.
• Las normativas subrayan además que el simple acto de notificar un incidente no expone a la entidad notificante a una mayor responsabilidad legal. Esta disposición fomenta la transparencia y la notificación oportuna de los incidentes de ciberseguridad sin temor a repercusiones.

En conjunto, la normativa destaca el papel crucial de la notificación para establecer prácticas de ciberseguridad robustas en toda la UE. Al definir claramente las líneas de notificación y subrayar la importancia del intercambio oportuno y completo de información, la Directiva NIS2 apunta a reforzar la resiliencia informática colectiva de las entidades esenciales e importantes. Para las organizaciones que aún deben estructurar o verificar su camino de cumplimiento con la Directiva NIS2, también es útil consultar las indicaciones de la ACN sobre los plazos y la inscripción en el registro NIS2.

[Callforaction-NIS2-Footer]