Esquema de notificación de incidentes de NIS2

Categoría bajo la cual se presenta esta notificación. El art. 23(3) NIS2 solo obliga a notificar los incidentes significativos; la notificación de cuasi-incidentes y de incidentes no significativos es voluntaria conforme al art. 30 NIS2.

Evaluación inicial de la gravedad del incidente. El art. 23(4)(b) NIS2 exige que la notificación del incidente (72h) contenga una evaluación inicial de la gravedad y el impacto. El CIR 2024/2690 cuantifica los umbrales de significatividad para las categorías de proveedores de servicios digitales que abarca.

Resumen en lenguaje claro de lo ocurrido. El art. 23(4)(a) NIS2 exige que la alerta temprana indique si se sospecha que el incidente significativo es de naturaleza ilícita o malintencionada: este campo recoge ese relato inicial.

Conforme al texto literal del art. 23(4)(d) NIS2: el informe final contendrá 'una descripción detallada del incidente, incluida su gravedad e impacto'. Este campo acumula las conclusiones a lo largo del ciclo de notificación.

El art. 23(4)(a) NIS2 exige que la alerta temprana de 24 horas indique si se sospecha que el incidente significativo ha sido causado por actos ilícitos o malintencionados.

Art. 23(2) NIS2: cuando proceda, la entidad comunicará sin demora indebida a los destinatarios de sus servicios potencialmente afectados por una ciberamenaza significativa cualesquiera medidas o remedios que puedan adoptar.

Mensaje en lenguaje claro dirigido a los destinatarios de los servicios de la entidad sobre la amenaza y las acciones correctivas recomendadas. Obligatorio si customerNotificationRequired es verdadero.

Hora conocida más temprana en que se produjo el incidente. Puede ser 'desconocida' si la cronología forense está incompleta.

Hora en que la entidad tuvo conocimiento del incidente significativo. Inicia los plazos de 24h / 72h / 1m conforme al art. 23(4) NIS 2.

Hora en que el incidente fue contenido y subsanado. Obligatorio para el informe final conforme al art. 23(4)(d) NIS 2.

Conforme al texto literal del art. 23(4)(d)(ii) NIS2: el informe final indicará 'el tipo de amenaza o la causa raíz que probablemente haya desencadenado el incidente'.

Análisis descriptivo que respalda la clasificación de la causa raíz. Cuando el análisis sea incompleto, indique la hipótesis mejor fundamentada y las pruebas que la sustentan.

Evaluación de la entidad sobre si el incidente constituye un ataque dirigido (específico a la entidad o al sector) o no dirigido (oportunista / campaña masiva).

Cuáles de la confidencialidad, integridad, disponibilidad ha afectado el incidente. El art. 6(6) NIS2 define el 'incidente significativo' en parte en función de estas propiedades.

Conforme al texto literal del art. 23(4)(b) NIS2: la notificación del incidente (72h) indicará 'una evaluación inicial del incidente significativo, incluida su gravedad e impacto, así como, cuando estén disponibles, los indicadores de compromiso'. Aporte artefactos observables (resúmenes de archivos, direcciones IP, dominios, URLs, firmas de software malicioso, patrones de comportamiento) que los defensores posteriores puedan utilizar para detectar la misma amenaza. Opcional y no obligatorio, ya que la directiva lo condiciona a la disponibilidad; si el análisis forense no ha revelado ningún IoC en el momento de la presentación, dejar vacío.

Medidas técnicas, organizativas y operativas ya adoptadas para contener el incidente. Obligatorio para la notificación de incidente (72h) y actualizado en los informes posteriores.

Conforme al texto literal del art. 23(4)(d)(iii) NIS 2: el informe final deberá describir las 'medidas de mitigación aplicadas y en curso'.

Cómo se detectó el incidente por primera vez. Utilizado por los CSIRT para identificar lagunas sistémicas de detección en todo el sector.

Medidas previstas para evitar que se repita. Aporta el ciclo de 'lecciones aprendidas' exigido por la ENISA TIG para el informe final.

Número estimado de usuarios afectados. CIR 2024/2690 cuantifica umbrales para las categorías de proveedores de servicios digitales que regula; para las demás entidades la evaluación es cualitativa conforme al art. 6(6) y al art. 23(3) NIS 2.

Descripción de qué servicios (operativos, de cara al cliente, internos) se vieron degradados o no disponibles y durante cuánto tiempo. El art. 6(6) NIS 2 convierte la interrupción del servicio en un criterio que define un 'incidente significativo'.

Daño financiero directo e indirecto estimado. El art. 6(6) NIS 2 incluye la pérdida financiera entre los criterios que elevan un incidente a 'significativo'.

Evaluación de la entidad sobre si el incidente ha causado o es probable que cause un daño reputacional. Uno de los criterios que califican un 'incidente significativo' conforme al art. 6(6) NIS 2.

El art. 23(4)(a) NIS 2 exige que la alerta temprana indique si el incidente significativo tiene un impacto transfronterizo. Los CSIRT de los demás Estados miembros afectados son informados a través del mecanismo de cooperación del art. 15 NIS 2.

Lista de los Estados miembros de la UE cuyas entidades, usuarios o servicios se ven afectados por el incidente. Utilizada por el CSIRT para informar a las autoridades homólogas.

Sectores afectados por el incidente, correspondientes al anexo I NIS 2 (sectores de alta criticidad) y al anexo II (otros sectores críticos). Puede ser necesario informar a los CSIRT sectoriales.

Nombre de la persona física que presenta la notificación en nombre de la entidad. Exigido por todos los portales nacionales para que el CSIRT pueda dar seguimiento.

Dirección de correo electrónico que el CSIRT puede utilizar para contactar al notificante para preguntas de seguimiento, solicitudes de informe intermedio y entrega de comentarios conforme al art. 23(5) NIS2.

Número de teléfono para el contacto urgente con el CSIRT, especialmente durante la ventana de alerta temprana, cuando el correo electrónico puede ser lento.

Número de referencia interno del incidente propio de la entidad. Permite al CSIRT correlacionar varias presentaciones sobre el mismo incidente.