La Directiva NIS 2 (SRI 2) regula las obligaciones de notificación en el artículo 23, un artículo bastante largo y complejo. En cualquier caso, es imprescindible saber qué incidentes debe denunciar, a quién debe denunciarlos y cómo debe hacerlo
- Una alerta temprana
- Una notificación del incidente
- Un informe intermedio
- Un informe final
- Un informe de situación
¿Qué es un incidente significativo según la NIS2?
Según la NIS 2, un incidente es “todo hecho que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios ofrecidos por sistemas de redes y de información o accesibles a través de ellos”.
La NIS 2 solo exige que se notifiquen los incidentes significativos: define un incidente significativo como “cualquier incidente que tenga un impacto significativo en la prestación” de los servicios que prestan las entidades esenciales e importantes, si:
- “a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
- b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables”.
En el preámbulo de la NIS 2, el considerando (101) indica que “Indicadores como la medida en que se ve afectado el funcionamiento del servicio, la duración de un incidente o el número de destinatarios de los servicios afectados podrían ser importantes a la hora de determinar si la perturbación operativa del servicio es grave”.
Aparte de esto, no se ha publicado ninguna directriz sobre lo que significaría una “pérdida económica grave”, o lo que sería un “perjuicio material o inmaterial considerable”.
Tanto las entidades esenciales como las importantes están obligadas a notificar los incidentes significativos, mientras que no hay obligación de notificar otro tipo de incidentes.
¿A quién se comunican los incidentes?
La NIS 2 obliga a que las entidades esenciales e importantes notifiquen los incidentes significativos a las siguientes partes:
- El equipo de respuesta a incidentes de seguridad informática (CSIRT) o una autoridad competente (estas autoridades son designadas por los Estados miembros para ser responsables de la ciberseguridad y de las tareas de supervisión)
- Los destinatarios de servicios de entidades esenciales o importantes que puedan verse afectados por el incidente significativo
¿Cómo se notifican los incidentes significativos?
El artículo 23 obliga a las empresas a notificar los incidentes significativos como sigue:
Requisitos de la NIS2 | Artículo correspondiente de la NIS2 | Cuándo notificar | Qué notificar | Nombre sugerido para el documento |
Una notificación (para los destinatarios de servicios que están potencialmente afectados por una ciberamenaza significativa) | Artículo 23, párrafo 2 | Sin demora indebida | Cualquier medida o solución que esos destinatarios puedan aplicar en respuesta a la amenaza; también se notificará la propia ciberamenaza significativa a esos destinatarios | Notificación de incidentes significativos a los destinatarios de servicios |
Una alerta temprana (para CSIRT o autoridad competente) | Artículo 23, párrafo 4, punto a | Sin demora indebida y, en cualquier caso, dentro de las 24 horas desde que se haya tenido constancia del incidente significativo | Indica si cabe sospechar que el incidente significativo responde a una acción ilícita o malintencionada o puede tener repercusiones transfronterizas | Alerta Temprana de Incidente Significativo |
Una notificación del incidente (para CSIRT o autoridad competente) | Artículo 23, párrafo 4, punto b | Sin demora indebida y, en cualquier caso, dentro de las 72 horas desde que se haya tenido constancia del incidente significativo | Contiene una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso, cuando estén disponibles | Notificación de Incidentes Significativos al CSIRT/Autoridad competente |
Un informe intermedio (para CSIRT o autoridad competente) | Artículo 23, párrafo 4, punto c | A petición de un CSIRT o de la autoridad competente | Actualizaciones pertinentes sobre la situación |
Informe Intermedio de Incidente Significativo |
Un informe final (para CSIRT o autoridad competente) | Artículo 23, párrafo 4, punto d | A más tardar, un mes después de presentar la notificación del incidente | (i) una descripción detallada del incidente, incluyendo su gravedad e impacto; (ii) el tipo de amenaza o causa principal que probablemente haya desencadenado el incidente; (iii) las medidas paliativas aplicadas y en curso; (iv) cuando proceda, las repercusiones transfronterizas del incidente. |
Informe Final de Incidente Significativo |
Un informe de situación (para CSIRT o autoridad competente) | Artículo 23, párrafo 4, punto e | En el caso de que el incidente siga en curso | (no especificado) | Informe de Situación de Incidente Significativo |
Espera lo mejor; prepárate para lo peor
Tras implementar por completo las medidas de ciberseguridad exigidas por la NIS2, se reducen mucho las posibilidades de sufrir un incidente (especialmente incidentes significativos).
De todos modos, no hay ciberseguridad perfecta… A pesar de todos sus esfuerzos, es posible que uno de estos incidentes ocurra. Por eso necesita estar preparado no solo para hacerle frente, también para notificarlo correctamente.
Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.