ISGroup Consultoría de Ciberseguridad

Requisitos de gestión de incidentes según la NIS2

La Directiva NIS2 define requisitos específicos para la gestión de incidentes, centrándose en un enfoque multifase para la notificación de incidentes significativos. Para profundizar en el texto normativo, está disponible el documento oficial de la Directiva NIS2.

[Callforaction-NIS2]

A continuación, se presenta un resumen basado en la información proporcionada:

  • Respuesta Inicial (Alerta Preliminar): Las entidades esenciales y las entidades importantes están obligadas a enviar una alerta preliminar a su CSIRT o a la autoridad nacional competente sin demora indebida y, en cualquier caso, en un plazo de 24 horas desde el momento en que tengan conocimiento de un incidente significativo. Esta alerta preliminar debe incluir:
    • Confirmación del incidente significativo.
    • Indicación, si procede, de si se sospecha que el incidente es resultado de actos ilícitos o malintencionados.
    • Evaluación preliminar sobre si el incidente puede tener o es probable que tenga un impacto transfronterizo.
    • El objetivo de la alerta preliminar es permitir una respuesta oportuna y facultar a la entidad afectada para solicitar asistencia, si fuera necesario.
  • Notificación Formal: Tras la alerta preliminar, las entidades deben enviar una notificación formal del incidente sin demora indebida y, en cualquier caso, en un plazo de 72 horas desde el momento en que tengan conocimiento del incidente. Esta notificación debe incluir:
    • Actualizaciones de la información proporcionada en la alerta preliminar.
    • Una evaluación inicial del incidente, incluyendo su gravedad y su impacto.
    • Indicadores de compromiso, si están disponibles.
  • Informe Intermedio: Un CSIRT o una autoridad competente puede solicitar un informe intermedio a la entidad involucrada. Este informe proporciona actualizaciones relevantes sobre la situación.
  • Informe Final: Se debe enviar un informe final al CSIRT o a la autoridad competente en el plazo de un mes desde la transmisión de la notificación del incidente. Este informe debe contener:
    • Descripción detallada del incidente, su gravedad y su impacto.
    • Análisis del tipo de amenaza o causa desencadenante que probablemente provocó el incidente.
    • Descripción de las medidas de mitigación adoptadas y de las que aún están en curso.
    • Evaluación del impacto transfronterizo del incidente, si procede.
  • Informes Continuos sobre el Incidente: Si el incidente sigue en curso en el momento de la transmisión del informe final, la entidad afectada debe proporcionar un informe de actualización sobre el estado del incidente. Por lo tanto, se deberá presentar un informe final en el plazo de un mes desde la resolución del incidente.
  • Caso Particular: Prestadores de Servicios de Confianza: Los prestadores de servicios de confianza deben cumplir un plazo más breve para la notificación de incidentes que afecten a sus servicios de confianza. Deben notificar al CSIRT o a la autoridad competente sin demora indebida y, en cualquier caso, en un plazo de 24 horas desde el momento en que tengan conocimiento del incidente significativo.
  • Intercambio de Información:
    • Para garantizar una respuesta coordinada, especialmente en incidentes que involucren a varios Estados miembros, el CSIRT, la autoridad competente o el punto de contacto único (SPOC) deben informar sin demora indebida a los demás Estados miembros afectados y a la ENISA.
    • El intercambio de información debe proteger los intereses comerciales de la entidad involucrada y la confidencialidad de la información proporcionada, de conformidad con la normativa de la UE o nacional.
    • La divulgación pública del incidente puede estar justificada si se considera necesaria para proteger al público o si es de interés público. Esto debe hacerse en consulta con la entidad afectada.
  • Apoyo y Orientación: Una vez recibida una alerta preliminar, el CSIRT o la autoridad competente deben confirmar la recepción y, si la entidad afectada lo solicita, proporcionar orientación o consejos operativos sobre las posibles medidas de mitigación. También pueden ofrecer apoyo técnico adicional bajo petición.
  • Notificación a Otras Autoridades:
    • Los CSIRT o las autoridades competentes deben compartir información sobre incidentes significativos con las autoridades pertinentes en virtud de la Directiva CER.
    • Si durante la gestión del incidente se identifica una posible violación de datos, las autoridades competentes deben informar a las autoridades de protección de datos según lo previsto por el RGPD.

La Directiva NIS2 tiene como objetivo simplificar la notificación de incidentes y garantizar un enfoque coherente entre los Estados miembros, permitiendo al mismo tiempo cierta flexibilidad para abordar las circunstancias específicas de cada incidente. Para las organizaciones que están estructurando su camino de cumplimiento de la NIS2, traducir estas obligaciones en procedimientos operativos concretos requiere un análisis puntual de su perímetro y de sus procesos internos. También puedes profundizar en cuál es el objetivo principal de la Directiva NIS2 para enmarcar mejor el contexto normativo general.

[Callforaction-NIS2-Footer]

In