§ 32 BSIG: la obligación de notificación de incidentes NIS 2
Tres fases, una cuenta atrás de 24 horas y qué significa realmente significativo.
Qué exige el § 32 BSIG
El § 32 BSIG traspone al derecho alemán la obligación de notificación del artículo 23 NIS 2. Las entidades afectadas deben notificar los incidentes significativos a la Oficina Federal de Seguridad de la Información (BSI) en tres fases. La pregunta difícil rara vez es cómo notificar, sino si un incidente es significativo.
La cuenta atrás de 24 horas comienza cuando la entidad tiene conocimiento del incidente. Quien solo se plantea durante la emergencia si un incidente es notificable ya ha consumido la mitad de ese plazo.
Alerta temprana en 24 horas
Una primera alerta temprana al BSI en las 24 horas siguientes al conocimiento del incidente significativo, indicando si se sospecha que está causado por actos ilícitos o malintencionados y si podría tener un impacto transfronterizo.
Notificación en 72 horas
Una notificación más completa en 72 horas, que complementa la alerta temprana con una primera evaluación del incidente, su gravedad e impacto, así como indicadores de compromiso cuando estén disponibles.
Informe final tras un mes
Un informe final a más tardar un mes después de la notificación: una descripción detallada, el tipo de amenaza o la causa, las medidas correctoras aplicadas y cualquier impacto transfronterizo.
A nivel de la UE, los umbrales cuantitativos de un incidente significativo están fijados en el Reglamento de Ejecución (UE) 2024/2690, pero solo se aplican directamente a los proveedores de infraestructuras y servicios digitales que en él se designan. Para la mayoría de las entidades afectadas, como producción, logística, sanidad o residuos, no existen cifras de la UE.
Para esas entidades, lo significativo se rige por los criterios cualitativos del artículo 23(3) NIS 2, traspuestos como definición legal en el § 2 número 11 BSIG. Cada empresa debe decidir por sí misma, en 24 horas, si un incidente es notificable, y poder documentar esa decisión. La valoración documentada es la prueba.
Las notificaciones van al BSI, en Alemania a través de su portal de notificación. Defina internamente, con antelación, quién decide notificar y quién presenta efectivamente la notificación. Aclararlo durante un incidente cuesta un tiempo del que no dispone.
Definir la ruta de decisión antes de un incidente, aunque sea como un árbol de decisión de una página, forma parte de la propia medida de gestión de incidentes del artículo 21(2)(b) NIS 2.
Si un incidente afecta a datos personales, puede aplicarse en paralelo una obligación de notificación distinta conforme al artículo 33 RGPD. Ambos regímenes tienen destinatarios y plazos diferentes.
No presente uno en lugar del otro. Un incidente de ransomware que cifra datos de clientes puede activar tanto la cascada de notificación del § 32 BSIG como la notificación de la violación en 72 horas conforme al RGPD a la autoridad de protección de datos.
Preguntas frecuentes
¿Cuándo empieza el plazo de 24 horas?
Cuando la entidad tiene conocimiento del incidente significativo, no cuando comenzó.
¿Existen umbrales fijos en euros para un incidente significativo?
Solo para los proveedores de servicios digitales designados en el RE (UE) 2024/2690. Para todas las demás entidades se aplican los criterios cualitativos del artículo 23(3) NIS 2.
¿Qué hago si no estoy seguro de si un incidente es significativo?
Documente su valoración y los motivos. La decisión motivada es lo que un auditor espera ver; la ausencia de toda valoración es el verdadero fallo.
¿Tengo que notificar también conforme al RGPD?
Si hay datos personales afectados, compruebe por separado el artículo 33 RGPD. Tiene su propio plazo de 72 horas y un destinatario diferente.
¿Qué ocurre tras la notificación?
El BSI puede solicitar más información, y el informe final sigue a más tardar un mes después de la notificación.