La Red de CSIRT y EU-CyCLONe conforme a los artículos 15 y 16
NIS 2 construye dos redes de cooperación transfronteriza. La Red de CSIRT gestiona la respuesta técnica a incidentes entre los CSIRT nacionales. EU-CyCLONe gestiona la coordinación política cuando una crisis cibernética sobrepasa un país. Ambas tienen a ENISA como secretaría.
La versión breve
NIS 2 hace dos cosas a la vez. Indica a las entidades en el ámbito que notifiquen los incidentes a su CSIRT nacional o autoridad competente. También indica a los Estados miembros que hablen entre sí cuando un incidente cruza fronteras o amenaza a más de un país. La parte de hablar entre sí es lo que crean los artículos 15 y 16.
El artículo 15 crea la Red de CSIRT. Es la capa técnica y operativa. Los CSIRT nacionales (en Alemania: CERT-Bund en el BSI) más CERT-EU forman parte de ella. Intercambian datos sobre amenazas, coordinan la respuesta transfronteriza a incidentes y comparten herramientas. ENISA gestiona la secretaría.
El artículo 16 crea EU-CyCLONe, la Red europea de organizaciones de enlace para las crisis cibernéticas. Es la capa política. Las autoridades de los Estados miembros para la gestión de crisis cibernéticas (en Alemania: el Ministerio Federal del Interior) forman parte de ella. Coordinan la respuesta política a los incidentes a gran escala. ENISA gestiona también la secretaría. Misma agencia, dos capas.
Artículo 15(1) y artículo 16(1) de la Directiva NIS 2 (2022/2555)
A fin de contribuir al desarrollo de la confianza entre los Estados miembros y de promover una cooperación operativa rápida y eficaz, se crea una red de CSIRT nacionales. […] A fin de apoyar la gestión coordinada de los incidentes y crisis de ciberseguridad a gran escala a nivel operativo y de garantizar el intercambio periódico de información pertinente entre los Estados miembros y las instituciones, órganos y organismos de la Unión, se crea una red europea de organizaciones de enlace para las crisis cibernéticas (EU-CyCLONe).
Dos artículos contiguos. Dos redes. El artículo 15 se sitúa en el nivel operativo. El artículo 16 se sitúa en el nivel político. La directiva crea ambos órganos directamente. No se necesita más Derecho de la UE para que existan.
N/A — Instituciones de nivel de artículo
No existe un reglamento de ejecución que especifique con más detalle la Red de CSIRT o EU-CyCLONe.
A diferencia del artículo 21(2) (que el CIR desarrolla), los artículos 15 y 16 son de aplicación autónoma. Las redes han publicado sus propios reglamentos internos, pero esos son documentos de trabajo, no legislación de la UE. Lo que importa para las entidades en el ámbito es quiénes son sus interlocutores nacionales, no los procedimientos operativos internos de las redes.
Designación de CSIRT nacional conforme al art. 10 NIS 2 + autoridad nacional de crisis cibernéticas
Alemania: CERT-Bund (en el BSI) es el CSIRT nacional designado en la Red del artículo 15. El Ministerio Federal del Interior (BMI) representa a Alemania en EU-CyCLONe.
Cada Estado miembro nombra un CSIRT nacional conforme al artículo 10 NIS 2 y nombra a la autoridad responsable de la gestión de crisis cibernéticas. Para Alemania, el BSIG confirma al BSI como autoridad nacional y a CERT-Bund como CSIRT nacional. El representante de nivel político en EU-CyCLONe es el BMI.
Red de CSIRT: cooperación operativa
La Red intercambia información sobre las capacidades de los CSIRT, comparte herramientas y procedimientos, intercambia datos sobre incidentes y amenazas, coordina la respuesta a incidentes transfronterizos, apoya a los Estados miembros con incidentes que les afectan y alimenta la divulgación coordinada de vulnerabilidades conforme al artículo 12. Trabajo técnico entre equipos técnicos.
EU-CyCLONe: coordinación política
EU-CyCLONe desarrolla la preparación para gestionar incidentes y crisis de ciberseguridad a gran escala, elabora una imagen situacional compartida, evalúa las consecuencias y propone cómo subsanarlas, coordina la respuesta política y (a petición de un Estado miembro) examina los planes nacionales de respuesta a incidentes a gran escala. Trabajo político entre representantes políticos.
Cuándo escala la capa operativa a la capa política
Los incidentes transfronterizos pequeños o rutinarios se quedan en la Red de CSIRT. Los incidentes a gran escala que requieren decisiones a nivel ministerial (impacto intersectorial, comunicaciones públicas, declaraciones a nivel de la UE) escalan a EU-CyCLONe. Las dos redes están diseñadas para traspasarse trabajo entre sí, con ENISA como secretaría de enlace.
Lo técnico y lo político son trabajos distintos
Un analista de CSIRT que comparte firmas de malware a través de las fronteras tiene un trabajo distinto del de un asesor ministerial que informa a un gabinete sobre si atribuir un ataque a un actor estatal. NIS 2 los mantiene en redes separadas a propósito. Mezclar las dos capas es la forma de ralentizar la respuesta técnica y desplazar la toma de decisiones política.
ENISA como tejido conectivo
ENISA gestiona la secretaría de ambas redes. Misma agencia, mismo edificio, misma conciencia situacional. Esa es la opción de diseño deliberada de la UE: mantener las dos capas de cooperación estructuralmente separadas, pero asegurarse de que comparten una imagen operativa común. Sin ella, la capa política estaría reaccionando con información obsoleta.
CERT-Bund (BSI) + BMI
CERT-Bund en el BSI es el CSIRT nacional de Alemania en la Red del artículo 15. El Ministerio Federal del Interior (BMI) representa a Alemania en EU-CyCLONe. Para una entidad en el ámbito, el contacto práctico es el BSI. La capa política funciona por encima de su cabeza, pero sus decisiones pueden condicionar lo que el BSI le indique hacer.
ENISA como secretaría de ambas redes
ENISA, la agencia de ciberseguridad de la UE, presta la secretaría de la Red de CSIRT y de EU-CyCLONe. Produce documentos de orientación que emergen de ambas redes (manuales de respuesta a incidentes, informes de amenazas, informes de ejercicios). Esas publicaciones retroalimentan las orientaciones nacionales como los Infopakete del BSI.
CSIRT nacionales + autoridades nacionales de crisis cibernéticas
Cada Estado miembro nombra uno. Los Países Bajos: NCSC-NL en la Red de CSIRT, el Ministerio de Justicia y Seguridad en EU-CyCLONe. Austria: GovCERT Austria en la Red, la Cancillería Federal en el nivel político. La estructura es idéntica en toda la UE; las agencias difieren según el país.
La Red de CSIRT gestiona todo lo cibernético a nivel de la UE.
No es así. La Red de CSIRT es la capa operativa y técnica. Los incidentes a gran escala que requieren coordinación política (comunicaciones intersectoriales, decisiones de atribución, informes ministeriales) escalan a EU-CyCLONe. Dos redes, dos capas, por diseño.
EU-CyCLONe es un regulador al que notificamos.
No lo es. EU-CyCLONe es un órgano de coordinación entre las autoridades de los Estados miembros. No regula a las entidades en el ámbito. No recibe informes de incidentes. La notificación conforme al artículo 23 NIS 2 va a su CSIRT nacional o autoridad competente. EU-CyCLONe opera una capa por encima de eso, entre gobiernos.
Presentamos nuestros informes de incidentes a la Red de CSIRT.
No es así. El artículo 23 NIS 2 establece que usted notifica a su CSIRT nacional o autoridad competente. En Alemania, eso es el BSI. El CSIRT nacional comparte entonces la información pertinente con la Red de CSIRT cuando se necesita coordinación transfronteriza. La Red es la contraparte de su CSIRT, no la suya.
Para un Stadtwerk o un operador de TI del Mittelstand, el punto de contacto práctico es su CSIRT nacional. En Alemania, eso es CERT-Bund en el BSI. Usted les notifica los incidentes conforme al artículo 23 NIS 2, lee sus avisos, los llama cuando algo está en llamas. La Red de CSIRT y EU-CyCLONe funcionan detrás de esa interfaz.
Por qué estas redes siguen importándole: cuando golpea un incidente transfronterizo (piense en un ataque a la cadena de suministro que afecta a quince países a la vez), la coordinación que se produce a nivel de la Red de CSIRT es lo que hace que la respuesta de su CSIRT nacional sea coherente con el resto de la UE. Y la coordinación política a nivel de EU-CyCLONe es lo que determina si la respuesta se detiene en la contención técnica o se convierte en una declaración pública. Ambas condicionan el asesoramiento que finalmente recibe.
El módulo de incidentes enruta las notificaciones a su CSIRT nacional conforme al artículo 23 (en Alemania: BSI). Usted no interactúa directamente con la Red de CSIRT ni con EU-CyCLONe; el CSIRT nacional es su única contraparte para la notificación de incidentes. La plataforma se encarga de los plazos (alerta temprana de 24 h, notificación de 72 h, informe final de un mes).
Nuestra capa de referencia muestra las publicaciones y documentos de orientación de ENISA que salen del trabajo de la Red de CSIRT. Avisos de amenazas, informes conjuntos, hallazgos de ejercicios: estos alimentan cómo interpretamos lo 'adecuado y proporcionado' conforme al artículo 21(1). No tiene que seguirlos usted mismo.
- Directiva (UE) 2022/2555 (NIS 2), artículos 15 y 16 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), artículo 10 (designación de CSIRT) y artículo 23 (notificación de incidentes)
- Sitio web de ENISA sobre la Red de CSIRT y EU-CyCLONe — enisa.europa.eu
- Ley del BSI (BSIG), CERT-Bund como CSIRT nacional conforme al §5 BSIG
- Procedimientos operativos estándar de EU-CyCLONe (resumidos públicamente por ENISA)