NIS2 y la notificacion de incidentes: 24 horas para avisar, 72 horas para explicar

Los plazos que no puedes ignorar

El articulo 23 de la Directiva NIS2 establece un sistema de notificacion de incidentes en tres fases. Primera notificacion en 24 horas desde que detectas el incidente. Informe completo en 72 horas. Informe final en un mes. Estos plazos son vinculantes para todas las entidades esenciales e importantes.

Que cuenta como incidente significativo

NIS2 define un incidente significativo como aquel que causa o puede causar una grave perturbacion operativa, perdidas financieras importantes o danos a otras personas fisicas o juridicas. La evaluacion de si un incidente es significativo es responsabilidad de la entidad afectada.

A quien debes notificar

La notificacion se dirige al CSIRT nacional o a la autoridad competente del sector. En Espana, el INCIBE-CERT actua como CSIRT de referencia para empresas privadas. Para entidades del sector publico, el CCN-CERT es el organismo competente.

Que debe incluir la notificacion inicial de 24 horas

La notificacion inicial no requiere un analisis completo. Debe incluir una descripcion basica del incidente, la fecha y hora de deteccion, el tipo de incidente y una evaluacion preliminar del impacto. La precision llega en el informe de 72 horas.

Como prepararse antes de que ocurra

Las entidades bajo NIS2 deben tener un plan de respuesta a incidentes documentado antes de que ocurra el primero. Ese plan debe incluir los procedimientos de notificacion, los contactos de los CSIRTs y los umbrales de escalado. Kardu incluye formularios pre-estructurados para las notificaciones NIS2.