ISGroup Consultoría de Ciberseguridad

Taxonomía de incidentes de la ACN: guía de clasificación según la Ley 90/2024

Con la Determinación del 9 de febrero de 2026, publicada en el Boletín Oficial, la Agencia para la Ciberseguridad Nacional (ACN) ha definido la taxonomía de los incidentes que los sujetos identificados en el art. 1, apartado 1, de la Ley 28 de junio de 2024, n. 90, deben señalar o notificar. Esta clasificación estandariza las modalidades de comunicación de los eventos de seguridad y se integra con las obligaciones previstas por la directiva NIS2.

Las tres categorías de la taxonomía ACN

La taxonomía identifica tres tipologías de incidentes que requieren señalamiento o notificación formal:

  • IS-1 – Pérdida de confidencialidad hacia el exterior: se refiere a la vulneración de datos digitales propiedad del sujeto o sobre los cuales ejerce control, incluso parcial. Incluye violaciones de datos personales, información confidencial o propiedad intelectual.
  • IS-2 – Pérdida de integridad con impacto externo: cubre alteraciones no autorizadas de datos propiedad del sujeto o bajo su control, incluso parcial, que producen efectos hacia terceros o hacia la operatividad externa.
  • IS-3 – Violación de los niveles de servicio esperados: se refiere a interrupciones o degradaciones de los servicios y actividades respecto a los niveles de servicio (SL) establecidos por el propio sujeto, con impacto en la continuidad operativa.

Integración con la normativa NIS2

La Determinación de la ACN hace referencia explícita a la coherencia con la normativa NIS2, ya objeto de una determinación anterior por parte de la Agencia. Un aspecto operativo relevante es que la pre-notificación y notificación realizada de conformidad con el decreto NIS también cumple con la obligación prevista por la Ley 90/2024, evitando duplicidades procedimentales.

Esta integración simplifica la gestión de las obligaciones de notificación para los sujetos que se encuentran en ambos perímetros normativos, reduciendo la carga administrativa y favoreciendo un enfoque unificado para la gestión de incidentes de seguridad. Para las organizaciones que aún deben estructurar su proceso de adecuación, el programa de cumplimiento NIS2 de ISGroup cubre tanto las obligaciones de notificación como la gobernanza general requerida por la directiva.

[Callforaction-NIS2]

Cómo aplicar la taxonomía en la práctica

La adopción de la taxonomía requiere un proceso estructurado de clasificación de los eventos de seguridad. Las organizaciones deben:

  • Definir procedimientos internos para identificar y clasificar los incidentes según las tres categorías IS-1, IS-2 e IS-3.
  • Establecer umbrales claros para determinar cuándo un evento requiere señalamiento o notificación formal.
  • Integrar la taxonomía en los procesos de respuesta a incidentes (incident response) y en los planes de gestión de crisis.
  • Formar al personal técnico y a los responsables de seguridad sobre las modalidades de aplicación de la clasificación.
  • Documentar las decisiones de clasificación para garantizar la trazabilidad y la coherencia a lo largo del tiempo.

Un CISO Virtual puede apoyar a la organización en la implementación de estos procesos, garantizando que la clasificación de los incidentes esté alineada tanto con los requisitos normativos como con las especificidades operativas de la empresa. Para los operadores económicos autorizados, la integración con los requisitos de gobernanza y seguridad AEO representa un nivel adicional de complejidad que requiere competencias especializadas.

Impacto en la gestión del riesgo

La taxonomía ACN no se limita a definir categorías de incidentes, sino que influye directamente en las actividades de evaluación de riesgos. Las organizaciones deben considerar:

  • La probabilidad de que ocurran eventos clasificables en las tres categorías.
  • El impacto potencial de cada tipología de incidente en las operaciones y en la reputación.
  • Las medidas de prevención y mitigación específicas para cada categoría.
  • Los tiempos de detección y respuesta necesarios para contener los efectos de los incidentes.

Integrar la taxonomía en los procesos de evaluación de riesgos permite alinear las prioridades de seguridad con las obligaciones normativas, optimizando las inversiones en prevención y respuesta a incidentes. Un eficaz sistema de monitoreo SOC y respuesta a incidentes permite detectar oportunamente los eventos clasificables según la taxonomía ACN y activar los procedimientos de notificación en los plazos previstos.

Entrada en vigor y cumplimiento

La taxonomía entró en vigor desde la fecha de su publicación en el Boletín Oficial. Los sujetos interesados deben adaptar inmediatamente sus procedimientos de gestión de incidentes para garantizar el cumplimiento de las obligaciones de señalamiento y notificación previstas por la Ley 90/2024. Para verificar si su organización se encuentra dentro del perímetro y conocer los plazos operativos, es útil consultar la guía sobre quién está incluido en la lista ACN de sujetos NIS2 y los plazos correspondientes.

  • ¿Qué sujetos deben aplicar la taxonomía ACN?
  • La taxonomía se aplica a los sujetos identificados en el art. 1, apartado 1, de la Ley 28 de junio de 2024, n. 90. Estos incluyen operadores de servicios esenciales, proveedores de servicios digitales y otras entidades críticas identificadas por la normativa. Es necesario verificar su inclusión en el perímetro normativo mediante un análisis específico de su actividad y sector de pertenencia.
  • ¿La notificación según NIS2 cubre también las obligaciones de la Ley 90/2024?
  • Sí, la Determinación ACN aclara explícitamente que la pre-notificación y notificación realizada de conformidad con el decreto NIS también cumple con la obligación prevista por la Ley 90/2024. Esto evita duplicidades procedimentales para los sujetos que se encuentran en ambos perímetros normativos, simplificando la gestión de los cumplimientos.
  • ¿Cómo se determina si un incidente entra en la categoría IS-1, IS-2 o IS-3?
  • La clasificación depende de la naturaleza del impacto: IS-1 se refiere a la vulneración de la confidencialidad de los datos hacia el exterior, IS-2 cubre alteraciones de la integridad con efectos externos, IS-3 se refiere a violaciones de los niveles de servicio esperados. Es necesario evaluar el evento respecto a estos criterios y documentar la decisión de clasificación para garantizar coherencia y trazabilidad.
  • ¿Cuáles son los plazos para el señalamiento de los incidentes?
  • Los plazos de señalamiento siguen lo previsto por la Ley 90/2024 y, para los sujetos NIS2, por la normativa correspondiente. En general, se requiere una pre-notificación oportuna seguida de una notificación completa dentro de plazos definidos. Es fundamental definir procedimientos internos que garanticen el respeto de estos plazos, considerando el tiempo necesario para la clasificación y la recopilación de la información relevante.
  • ¿Cómo integrar la taxonomía en los procesos de respuesta a incidentes existentes?
  • La integración requiere la actualización de los procedimientos de gestión de incidentes para incluir la fase de clasificación según las tres categorías ACN. Es necesario formar al equipo de respuesta a incidentes, definir criterios de decisión claros e integrar la taxonomía en las herramientas de ticketing y documentación. Un enfoque estructurado también contempla pruebas periódicas para verificar la eficacia de la clasificación en escenarios realistas.

[Callforaction-NIS2-Footer]

In

, ,

Leave a Reply

Your email address will not be published. Required fields are marked *