NIS2: Notificación de incidentes en 24 horas

Cuando ocurre un incidente de ciberseguridad significativo, NIS2 exige una notificación en 24 horas. No se trata de una recomendación: es una obligación legal con sanciones millonarias. En España, la notificación se canaliza a través del CCN-CERT (sector público y operadores esenciales) o el INCIBE-CERT (empresas privadas y entidades importantes).

Los 3 plazos obligatorios

NIS2 establece un sistema de notificación escalonado:

Alerta inicial — 24 horas

Desde el momento en que se detecta el incidente, tienes 24 horas para enviar una alerta inicial a la autoridad competente. Esta primera comunicación debe incluir:

• Descripción general del incidente
• Evaluación preliminar de la gravedad
• Impacto transfronterizo potencial (si aplica)
• Indicadores de compromiso (IoC) si están disponibles

No necesitas tener todos los detalles: lo importante es notificar rápidamente.

Informe de seguimiento — 72 horas

En las siguientes 72 horas, debes enviar un informe más completo con:

• Evaluación detallada de la gravedad y el impacto
• Tipo de amenaza o causa raíz probable
• Medidas de mitigación aplicadas o en curso
• Impacto transfronterizo confirmado o descartado

Informe final — 1 mes

Un mes después del incidente, se requiere un informe final que contenga:

• Descripción completa del incidente
• Causa raíz identificada
• Medidas de mitigación definitivas
• Impacto real (servicios afectados, datos comprometidos, usuarios impactados)
• Lecciones aprendidas

¿Qué es un "incidente significativo"?

No todos los incidentes requieren notificación. NIS2 define como significativo un incidente que:

• Causa o puede causar perturbación grave en la prestación de servicios
• Causa o puede causar pérdidas económicas significativas para la entidad
• Afecta o puede afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables

En la práctica, esto incluye: ransomware que paraliza operaciones, filtración de datos personales masiva, ataque DDoS que interrumpe servicios críticos, o compromiso de la cadena de suministro.

Proceso de notificación en España

Para entidades del sector público y operadores esenciales

1. Notificar al CCN-CERT (Centro Criptológico Nacional)
2. Plataforma: Sistema LUCIA (herramienta de gestión de ciberincidentes)
3. Contacto de emergencia: [email protected]

Para empresas privadas y entidades importantes

1. Notificar al INCIBE-CERT
2. Plataforma: formulario web del INCIBE-CERT
3. Contacto de emergencia: [email protected]
4. Teléfono 017 para orientación

Incidentes con datos personales

Si el incidente implica datos personales, también debes notificar a la AEPD (Agencia Española de Protección de Datos) en un plazo de 72 horas según el RGPD. Son dos notificaciones distintas que pueden ejecutarse en paralelo.

Plantilla de alerta inicial (24h)

Para agilizar la primera notificación, prepara esta información:

ALERTA INICIAL DE INCIDENTE NIS2
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Organización: [Razón social]
CIF: [CIF empresa]
Sector: [Sector NIS2]
Fecha/hora detección: [DD/MM/AAAA HH:MM]
Fecha/hora estimada inicio: [DD/MM/AAAA HH:MM]

Descripción: [Resumen en 2-3 frases]
Tipo de incidente: [Ransomware/DDoS/Filtración/Otro]
Sistemas afectados: [Lista]
Servicios impactados: [Lista]
Impacto transfronterizo: [Sí/No/Por determinar]

Medidas inmediatas adoptadas: [Lista]
Contacto técnico: [Nombre, teléfono, email]

Errores frecuentes en la notificación

No notificar por falta de información completa. La alerta inicial de 24h no requiere un análisis forense completo. Notifica lo que sabes y actualiza después.

Confundir los plazos RGPD y NIS2. NIS2 exige 24h para la alerta inicial; el RGPD exige 72h para la notificación a la AEPD. Son obligaciones distintas y complementarias.

No tener un procedimiento definido previamente. En medio de una crisis no es momento de buscar a quién llamar. Define roles, contactos y canales antes de que ocurra.

Notificar solo al regulador y no a los usuarios afectados. Si el incidente afecta a usuarios finales, NIS2 puede exigir comunicación pública o directa.

Prepara tu organización

Plan de respuesta a incidentes

1. Equipo de respuesta: define quién lidera, quién comunica, quién investiga
2. Contactos: ten preparados los datos del CCN-CERT o INCIBE-CERT
3. Plantillas: alerta inicial, informe de seguimiento, comunicación a usuarios
4. Simulacros: practica al menos una vez al año con un ejercicio tabletop

Herramientas de detección

Sin detección no hay notificación en 24h. Necesitas:

• Monitorización continua de tu infraestructura web
• Alertas automáticas ante anomalías
• Registros (logs) centralizados y consultables
• Escaneos de vulnerabilidades periódicos

Coordinación con el RGPD

Un aspecto que muchas empresas pasan por alto es la doble obligación de notificación. Cuando un incidente de ciberseguridad afecta a datos personales, se activan dos marcos regulatorios simultáneamente:

• NIS2: alerta inicial en 24 horas al CCN-CERT o INCIBE-CERT
• RGPD: notificación a la AEPD en 72 horas si hay brecha de datos personales

Ambas notificaciones son independientes y complementarias. Tener plantillas preparadas para ambos marcos ahorra tiempo crítico durante la gestión del incidente. El INCIBE recomienda designar un único coordinador de notificaciones que gestione ambos canales para evitar inconsistencias entre los informes.

Cómo WarDek facilita el cumplimiento

WarDek no sustituye un SIEM ni un equipo de respuesta, pero automatiza la capa de prevención:

• Escaneos programados: detecta vulnerabilidades antes de que se conviertan en incidentes
• Dashboard NIS2: visualiza tu nivel de cumplimiento por cada control del Artículo 21
• Alertas de degradación: notificación automática cuando tu postura de seguridad empeora
• Informes exportables: documentación lista para auditorías y reguladores

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.