NIS2: los tres plazos de notificación de incidentes que no puedes ignorar
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
El artículo 23 de la Directiva NIS2 establece un régimen de notificación de incidentes con tres hitos temporales obligatorios. El incumplimiento de estos plazos puede dar lugar a sanciones independientes del propio incidente. Comprender qué se considera incidente 'significativo' y qué información debe incluirse en cada notificación es esencial.
Puntos clave
- 1Un incidente es 'significativo' si causa interrupción grave del servicio o pérdidas económicas/reputacionales relevantes
- 2La alerta temprana debe enviarse en 24 horas desde que se tiene conocimiento
- 3La notificación completa debe enviarse en 72 horas con evaluación inicial de impacto
- 4El informe final debe enviarse en 1 mes con causa raíz y medidas adoptadas
- 5En España: INCIBE-CERT para entidades privadas, CCN-CERT para el sector público
- 6Las notificaciones deben incluirse siempre en el registro interno aunque no sean obligatorias externamente
¿Qué es un incidente 'significativo'?
NIS2 define incidente significativo como aquel que (a) ha causado o puede causar graves perturbaciones operativas o pérdidas financieras para la entidad afectada, o (b) ha afectado o puede afectar a otras personas físicas o jurídicas causándoles perjuicios materiales o inmateriales considerables. Los criterios específicos los desarrollará ENISA mediante actos de ejecución.
- Interrupción del servicio superior a umbrales definidos por sector
- Número de personas afectadas por el incidente
- Alcance geográfico (si afecta a varios Estados miembros)
- Pérdida de integridad, confidencialidad o disponibilidad de datos críticos
- Impacto en infraestructura crítica o servicios esenciales de terceros
Los tres hitos de notificación en detalle
Cada hito tiene un contenido mínimo distinto. El incumplimiento de los plazos es sancionable con independencia de si el incidente en sí mismo fue manejado correctamente. Es fundamental tener el procedimiento documentado antes de que ocurra un incidente.
| Hito | Plazo | Destinatario | Contenido obligatorio |
|---|---|---|---|
| Alerta temprana | ≤ 24 h | INCIBE-CERT / CCN-CERT | Existencia del incidente, tipo (malware, DDoS…), posible causa inicial |
| Notificación | ≤ 72 h | INCIBE-CERT / CCN-CERT | Evaluación actualizada, gravedad, impacto, indicadores de compromiso (IoC) |
| Informe final | ≤ 1 mes | INCIBE-CERT / CCN-CERT | Causa raíz, impacto real cuantificado, medidas adoptadas y lecciones aprendidas |
Comunicación a los afectados
Si el incidente puede afectar significativamente a los usuarios del servicio, la entidad también debe informarles sin demora indebida de las medidas que pueden adoptar para protegerse. Esta obligación es independiente de la notificación a la autoridad y se suma a la eventual obligación de notificación de brechas bajo el RGPD (72 horas a la AEPD, art. 33 RGPD).
Próximos pasos recomendados
- 1Documenta el procedimiento de notificación de incidentes antes de que ocurra uno
- 2Designa un equipo responsable de la detección y comunicación de incidentes
- 3Prepara plantillas de notificación para cada uno de los tres hitos
- 4Verifica que tu plataforma de ticketing o SIEM puede generar los registros necesarios para el informe final
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Art. 23 Directiva NIS2 — EUR-Lex — Texto oficial del artículo de notificación de incidentes
- ENISA — Incident Notification Guidelines — Guías de ENISA sobre notificación de incidentes NIS2
- INCIBE-CERT — Notificación de incidentes — Portal de notificación de incidentes de INCIBE para empresas
- CCN-CERT — Notificación sector público — Procedimiento de notificación CCN-CERT para entidades del sector público
También en NIS2