La Directiva NIS2 establece información específica que debe incluirse en una notificación preliminar de un incidente significativo. El Artículo 23, Párrafo 4(a) establece que las entidades deben enviar una notificación preliminar a su CSIRT (Equipo de Respuesta a Emergencias Informáticas) o a la autoridad nacional competente “sin dilación indebida y, en cualquier caso, en un plazo de 24 horas” desde el momento en que tengan conocimiento de un incidente significativo.

Esta notificación preliminar debe incluir, cuando proceda:

• Sospecha de actividad ilícita o malintencionada: Si la entidad sospecha que el incidente fue causado por acciones ilegales o malintencionadas, esto debe indicarse claramente en la notificación preliminar.
• Potencial impacto transfronterizo: La entidad debe especificar si el incidente podría afectar a personas u organizaciones en otros Estados miembros de la UE.

Consideraciones sobre el objetivo de la notificación preliminar

Las fuentes destacan que el objetivo principal de una notificación preliminar es proporcionar un aviso rápido a las autoridades competentes. Por lo tanto, aunque la rapidez es fundamental, en esta fase no es necesario incluir detalles exhaustivos sobre el incidente. La atención debe centrarse en informar rápidamente del incidente e indicar las posibles áreas de preocupación (como actividades delictivas o efectos transfronterizos). Para profundizar en el marco normativo de referencia, es útil consultar el documento oficial de la Directiva NIS2.

Información adicional para facilitar la asistencia

Aunque no lo exige explícitamente el Artículo 23, Párrafo 4(a), la Comunicación de la Comisión aclara que el envío de una notificación preliminar permite a las entidades afectadas solicitar asistencia a su CSIRT o a la autoridad competente. Para facilitar esta asistencia, es aconsejable incluir en la notificación preliminar la siguiente información, aunque no sea estrictamente obligatoria:

• Breve descripción del incidente: Proporcionar una visión general concisa de lo ocurrido puede ayudar al CSIRT o a la autoridad a comprender rápidamente la naturaleza de la situación.
• Evaluación inicial del impacto: Si es posible, es útil proporcionar una evaluación preliminar de la gravedad y el impacto potencial del incidente, pero no se requiere un análisis detallado en esta fase.
• Asistencia específica solicitada: Al indicar claramente el tipo de asistencia que la entidad necesita (por ejemplo, orientación sobre medidas de mitigación o apoyo operativo), el CSIRT o la autoridad podrán responder de manera más eficaz.

Al incluir esta información adicional, incluso en un formato sintético, las entidades pueden optimizar el proceso de notificación preliminar y permitir un apoyo más eficaz por parte de las autoridades de ciberseguridad designadas. Gestionar correctamente estos requisitos requiere una preparación organizativa que va mucho más allá del incidente individual: un camino estructurado de cumplimiento de la Directiva NIS2 ayuda a definir procedimientos claros, funciones y canales de notificación antes de que ocurra un evento crítico. Asimismo, la correcta designación del referente CSIRT es parte integrante de esta preparación.

[Callforaction-NIS2-Footer]