Gestión de Incidentes NIS2: Notificación Obligatoria en 24h
Cuando un incidente de ciberseguridad afecta a tu empresa, cada minuto cuenta. Si tu PYME está sujeta a la Directiva NIS2, la gestión de incidentes implica obligaciones legales con plazos muy específicos que pueden acarrear sanciones económicas importantes si no los cumples. No solo debes detectar y contener el incidente: tienes que comunicarlo a las autoridades competentes en ventanas de tiempo estrictas. Este artículo te explica exactamente qué debes hacer, a quién avisar y en qué tiempos, sin tecnicismos innecesarios.
Qué es la Directiva NIS2 y por qué afecta a tu PYME
La Directiva NIS2 (Network and Information Security Directive 2) es la normativa europea de ciberseguridad que España está en proceso de transponer a su legislación nacional. A diferencia de la anterior NIS1, NIS2 amplía significativamente el alcance de empresas obligadas, incluyendo ahora a muchas PYMEs que antes no estaban reguladas.
Si tu empresa opera en sectores considerados críticos —energía, agua, transporte, sanidad, telecomunicaciones, servicios financieros, infraestructuras digitales— o presta servicios esenciales, probablemente seas una entidad obligada. Incluso algunas PYMEs de otros sectores pueden estarlo como proveedores de servicios críticos.
La normativa establece un régimen de notificación obligatoria de incidentes de ciberseguridad que no es opcional: es un requisito legal con consecuencias reales si no se cumple correctamente.
Los Tres Plazos Clave de Notificación NIS2 en 24, 72 Horas y 1 Mes
La gestión de incidentes NIS2 se estructura en tres momentos diferenciados, cada uno con sus propios plazos y destinatarios. Entender esta estructura es el punto de partida para cumplir correctamente con las obligaciones de notificación.
Notificación NIS2 en 24 horas: el primer paso crítico
Cuando detectes un incidente que afecte a la seguridad de tus redes o sistemas de información, debes notificarlo a la autoridad competente en España en el plazo máximo de 24 horas.
Este plazo comienza desde el momento en que tienes conocimiento razonable del incidente, no desde que ocurrió. Y aquí conviene ser claro: no necesitas un análisis completo en 24 horas. Basta con comunicar que algo ha sucedido, aunque sea de forma preliminar.
La notificación de 24 horas incluye:
- Confirmación de que ha ocurrido un incidente
- Descripción general del tipo de incidente
- Sectores afectados
- Número estimado de usuarios afectados (si es posible)
Notificación en 72 horas: información técnica ampliada
Dentro de los tres días siguientes al incidente, debes proporcionar información más completa a la autoridad competente. Este es el momento para incluir detalles que requieren un análisis más profundo.
En esta notificación ampliada incluyes:
- Descripción técnica detallada del incidente
- Causa raíz (si se conoce)
- Sistemas y datos afectados
- Medidas de contención aplicadas
- Impacto estimado en servicios esenciales
Informe final en 30 días: cierre del ciclo de respuesta
Dentro de 30 días desde la detección del incidente, debes enviar un informe completo y definitivo que incluya:
- Análisis forense completo
- Lecciones aprendidas
- Plan de remediación
- Medidas preventivas implementadas
- Cronología detallada de eventos
A Quién Notificar: La Cadena de Comunicación
Uno de los aspectos que genera más confusión es saber exactamente a quién comunicar el incidente. La respuesta depende de varios factores.
Notificación a autoridades: el CCN-CERT e INCIBE-CERT
En España, la autoridad competente para recibir notificaciones varía según el tipo de entidad. Las del sector público y los operadores de infraestructuras críticas notifican al CCN-CERT (Centro Criptológico Nacional). Las entidades privadas del ámbito empresarial dirigen sus notificaciones a través del INCIBE-CERT. Ambos organismos trabajan de forma coordinada bajo el paraguas del esquema nacional de respuesta a incidentes.
Puedes iniciar el proceso de notificación a través de:
- Portal de notificación de incidentes de INCIBE: accesible desde www.incibe.es
- Correo y canales oficiales del CCN-CERT para entidades del sector público
- Teléfono de emergencias para incidentes de especial gravedad
Vale la pena señalar que INCIBE (Instituto Nacional de Ciberseguridad de España) ofrece recursos y orientación gratuita para ayudarte a cumplir con estas obligaciones, incluyendo guías, plantillas y asesoramiento sin coste. La coordinación entre el CCN-CERT y el INCIBE-CERT garantiza que el incidente sea gestionado por el organismo adecuado según tu perfil de entidad.
Notificación a usuarios afectados
Si el incidente compromete datos personales o afecta significativamente a usuarios o clientes, también debes notificar a los afectados. Los plazos varían según si se trata de un incidente de protección de datos bajo el RGPD o de seguridad NIS2 en sentido general, pero la comunicación debe producirse sin demora injustificada.
Notificación a proveedores y clientes
Si el incidente afecta a servicios que proporcionas a otras empresas, debes informar también a tus clientes. Si el incidente proviene de un proveedor tuyo, debes notificárselo a él. La cadena de suministro digital es uno de los vectores de riesgo que NIS2 regula con mayor atención.
Protocolo Interno: Antes de Notificar Oficialmente
Antes de que el incidente llegue a la notificación oficial, tu organización debe tener un protocolo interno claro. En mi experiencia, improvisar en plena crisis es la causa más frecuente de incumplimiento de plazos, y también la más evitable.
Paso 1: Detección y confirmación
El primer paso es confirmar que realmente existe un incidente. No todo lo que parece un problema es un incidente de ciberseguridad que requiera notificación NIS2. Necesitas evidencia clara de que ha habido un evento de seguridad real.
Paso 2: Contención inmediata
Mientras se confirma el incidente, debes tomar medidas para contenerlo y evitar que se agrave. Esto puede incluir:
- Desconexión de sistemas afectados
- Bloqueo de accesos sospechosos
- Aislamiento de datos comprometidos
Paso 3: Documentación y preservación de evidencia
Desde el primer momento, documenta todo lo que ocurre. Preserva logs, registros de eventos y cualquier evidencia técnica. Esto será crucial para la notificación en 72 horas y el informe de 30 días.
Paso 4: Activación del equipo de respuesta
Si tienes un equipo de respuesta a incidentes (CSIRT o similar), actívalo de inmediato. Si no dispones de uno, considera externalizarlo con un proveedor de servicios gestionados de ciberseguridad (MSSP). La capacidad de respuesta, sea interna o externa, es un requisito de fondo de NIS2.
Tabla Comparativa: Plazos y Contenidos de Notificación NIS2
| Plazo | Destinatario | Contenido mínimo | Carácter |
|---|---|---|---|
| 24 horas | CCN-CERT / INCIBE-CERT | Confirmación del incidente, tipo general, sectores afectados | Obligatorio |
| 72 horas | CCN-CERT / INCIBE-CERT | Análisis técnico, causa raíz, sistemas afectados, medidas de contención | Obligatorio |
| Sin plazo fijo | Usuarios y afectados | Naturaleza del incidente, datos comprometidos, recomendaciones | Si hay datos personales comprometidos |
| 30 días | CCN-CERT / INCIBE-CERT | Informe completo, lecciones aprendidas, plan de remediación | Obligatorio |
Consecuencias del Incumplimiento de NIS2
Las sanciones por no cumplir correctamente con la gestión de incidentes NIS2 son significativas. Para las entidades esenciales, las multas pueden alcanzar 10 millones de euros o el 2% del volumen de negocio global anual (la cantidad que sea mayor). Para entidades importantes, los límites son algo inferiores, pero igualmente relevantes.
Más allá de las sanciones económicas, el incumplimiento puede derivar en:
- Pérdida de confianza de clientes y socios
- Daño reputacional difícil de revertir
- Restricciones en la prestación de servicios
- Responsabilidad civil frente a afectados
Herramientas y Recursos Gratuitos: INCIBE como Punto de Partida
No estás solo en este proceso. Lo que más sorprende a muchas PYMEs cuando se acercan a este tema es descubrir que INCIBE pone a su disposición, de forma completamente gratuita, recursos específicos para la gestión de incidentes de ciberseguridad:
- Guías de gestión de incidentes: documentos paso a paso para implementar procesos de respuesta
- Plantillas de notificación: formatos predefinidos para asegurar que incluyes toda la información requerida
- Asesoramiento técnico: puedes contactar con especialistas del INCIBE-CERT para resolver dudas concretas
- Formación y webinars: sesiones educativas sobre cumplimiento NIS2 y respuesta a incidentes
- Repositorio de herramientas: acceso a soluciones de código abierto para detección y respuesta
Accede a estos recursos en www.incibe.es. Muchas PYMEs desconocen que este apoyo existe, cuando en realidad es uno de los mejores puntos de partida para cumplir correctamente con NIS2 sin incurrir en costes elevados desde el primer día.
Preguntas Frecuentes sobre Gestión de Incidentes NIS2
¿Gestión de Incidentes NIS2?
Protocolo de gestión y notificación de incidentes de ciberseguridad según NIS2: plazos de 24h, 72h y 1 mes, a quién notificar.
¿Cuándo entra en vigor NIS2 en España?
La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
¿Qué pasa si mi empresa no cumple NIS2?
Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.
¿Necesito una consultora para cumplir NIS2?
Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.
¿Qué se considera un incidente que requiere notificación NIS2?
Un incidente es cualquier evento que afecta negativamente a la disponibilidad, integridad o confidencialidad de sistemas o datos. Incluye ataques de malware, accesos no autorizados, fallos de seguridad o errores de configuración que comprometan la seguridad. No todos los problemas técnicos son incidentes NIS2, pero los relacionados con seguridad de redes y sistemas de información sí.
¿Puedo notificar después de 24 horas si aún no tengo toda la información?
No. El plazo de 24 horas es obligatorio. Dicho esto, puedes notificar con información preliminar e incompleta. Es preferible notificar rápido con lo que sabes que esperar a tener todos los datos y llegar tarde.
¿Qué pasa si descubro un incidente que ocurrió hace semanas sin que lo supiera?
El plazo de 24 horas comienza desde el momento en que tienes conocimiento razonable del incidente, no desde que ocurrió. Si descubres ahora un incidente antiguo, debes notificarlo de inmediato. Aunque hayas incumplido el plazo original, notificar tarde es siempre mejor que no notificar.
Conclusión: Prepárate Antes de que Llegue el Incidente
La gestión de incidentes NIS2 no es algo que debas dejar para cuando ocurra el problema. El momento de prepararse es ahora. Si aún no tienes un proceso documentado de respuesta a incidentes, plazos claros de notificación y responsabilidades asignadas, tienes trabajo por delante.
Empieza por verificar si tu empresa está sujeta a NIS2, consulta las guías gratuitas de INCIBE, y establece un protocolo simple pero efectivo. Cuando llegue el incidente de ciberseguridad —y estadísticamente, llegará— estarás en condiciones de responder en 24 horas sin improvisaciones. Esa diferencia separa el cumplimiento legal de las sanciones. Accede hoy a los recursos de INCIBE y empieza a construir tu capacidad de respuesta a incidentes.
Preguntas frecuentes
- ¿Gestión de Incidentes NIS2?
- Protocolo de gestión y notificación de incidentes de ciberseguridad según NIS2: plazos de 24h, 72h y 1 mes, a quién notificar.
- ¿Cuándo entra en vigor NIS2 en España?
- La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
- ¿Qué pasa si mi empresa no cumple NIS2?
- Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.
- ¿Necesito una consultora para cumplir NIS2?
- Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.
