ISGroup Consultoría de Ciberseguridad

¿Cuáles son los requisitos mínimos para la notificación de incidentes según la Directiva NIS2?

La Directiva NIS2 describe un enfoque de varias etapas para la notificación de incidentes por parte de las entidades designadas como “esenciales” o “importantes”, exigiéndoles proporcionar información oportuna y completa a las autoridades competentes.

Estos son los requisitos mínimos:

1. Alerta Temprana (En un plazo de 24 horas)

Activación: Una entidad esencial o importante debe enviar una alerta temprana a su Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) nacional o a la autoridad nacional competente “sin demora indebida y, en cualquier caso, en un plazo de 24 horas” desde el momento en que tenga conocimiento de un “incidente significativo”.

Contenido:

  • Esta alerta temprana debería, “cuando proceda”, indicar si el incidente:
    • Se sospecha que es resultado de actos ilegales o malintencionados, o
    • Podría tener un impacto transfronterizo.
  • Según el Considerando 102, la alerta temprana solo debe contener la información necesaria para informar al CSIRT o a la autoridad competente de que se ha producido o está en curso un incidente significativo.
  • Objetivo:
  • Permitir a las autoridades una evaluación rápida de la situación.
  • Brindar a la entidad afectada la oportunidad de solicitar asistencia, orientación o asesoramiento operativo sobre la implementación de medidas de mitigación.

2. Notificación de Incidente (En un plazo de 72 horas)

Activación: Tras la alerta temprana, la entidad debe enviar una notificación más detallada del incidente.

Plazo: Esta notificación debe enviarse “sin demora indebida y, en cualquier caso, en un plazo de 72 horas” desde el momento en que la entidad tenga conocimiento del incidente significativo.

Contenido:

  • Esta notificación debería, “cuando proceda”, actualizar la información proporcionada en la alerta temprana.
  • También debe incluir una evaluación inicial del incidente, que incluya:
    • Su gravedad,
    • Su impacto, y
    • Cuando estén disponibles, los indicadores de compromiso.

3. Informe Final (En el plazo de un mes)

Activación: La fase final de la notificación de incidentes es la presentación de un informe final completo.

Plazo: Este informe debe enviarse “en el plazo de un mes” desde la transmisión de la notificación del incidente.

Contenido: El informe final debe incluir:

  • Una descripción detallada del incidente, incluida su gravedad y su impacto,
  • El tipo de amenaza o la causa raíz que probablemente desencadenó el incidente,
  • Las medidas de mitigación adoptadas y en curso, y
  • Cuando proceda, el impacto transfronterizo del incidente.

Incidentes en curso: Si el incidente aún está en curso cuando vence el plazo del informe final, la entidad debe:

  • Proporcionar un informe de progreso en ese momento, y
  • Presentar un informe final en el plazo de un mes desde la resolución del incidente.

4. Requisitos adicionales y consideraciones

Incidente significativo: Los requisitos de notificación se activan ante “incidentes significativos”. Un incidente se considera significativo si cumple uno de los siguientes criterios:

  • Ha causado o es capaz de causar una interrupción sustancial en la prestación de los servicios de la entidad o una pérdida financiera para la entidad, o
  • Ha tenido o es capaz de tener un impacto sustancial en otras personas físicas o jurídicas, resultando en daños materiales o inmateriales considerables.

Divulgación de vulnerabilidades: La Directiva NIS2 introduce un proceso de divulgación coordinada de vulnerabilidades a través de un CSIRT designado, facilitando la comunicación entre quienes descubren vulnerabilidades y los proveedores de productos/servicios TIC afectados. Este proceso tiene como objetivo abordar las vulnerabilidades de manera oportuna y minimizar su impacto potencial.

Intercambio de información: Se anima a las entidades esenciales e importantes a establecer acuerdos para el intercambio de información sobre ciberseguridad, incluidas amenazas, incidentes y mejores prácticas, para promover un enfoque más proactivo y colaborativo hacia la ciberseguridad.

Los requisitos de notificación de incidentes de la Directiva NIS2 enfatizan un enfoque proactivo y multinivel para el intercambio de información y la respuesta a incidentes. Al proporcionar informes oportunos y completos a las autoridades, las organizaciones contribuyen a una postura de ciberseguridad más robusta en toda la UE.

In