Art. 23 NIS 2 + §32 BSIG

Cómo notificar un incidente NIS 2 en 24 horas

El Artículo 23 NIS 2 establece una cascada en toda la Unión: alerta temprana a las 24 horas, notificación del incidente a las 72 horas, informe intermedio a petición, informe final en el plazo de un mes. El reloj empieza cuando tiene conocimiento del incidente, no cuando ocurrió.

Simon OrzelSimon Orzel·

La versión corta

Si le golpea un incidente significativo, debe a su CSIRT nacional (en Alemania: el BSI) cuatro informes en un orden fijo. El primero vence 24 horas después de que tenga conocimiento del incidente. La palabra desencadenante es conocimiento, no ocurrencia. En el minuto en que alguien de su casa pueda decir que es más que un fallo, el reloj ya ha empezado.

El Artículo 23(4) NIS 2 nombra las cuatro etapas. El Reglamento de Ejecución (UE) 2024/2690 de la Comisión §11 detalla qué deben contener los informes y enumera las categorías de incidentes que siempre cuentan como significativos. El §32 BSIG y el Meldeportal del BSI son el canal alemán para ello.

Esta página recorre primero la capa de la UE y luego la capa operativa alemana. La cascada es la misma en toda la Unión. El portal y la mesa de contacto cambian de un país a otro.

La fuente jurídica
Tres capas apiladas. La directiva fija la cascada. El reglamento de ejecución fija el contenido y el umbral de significatividad. El BSIG alemán lo convierte en un canal nacional de notificación.

Artículo 23(4) Directiva NIS 2 (2022/2555)

Los Estados miembros velarán por que las entidades afectadas presenten al CSIRT o, en su caso, a la autoridad competente: a) sin demora indebida y, en cualquier caso, en un plazo de 24 horas desde que tengan conocimiento del incidente significativo, una alerta temprana; b) sin demora indebida y, en cualquier caso, en un plazo de 72 horas desde que tengan conocimiento del incidente significativo, una notificación de incidente; c) previa solicitud de un CSIRT o, en su caso, de la autoridad competente, un informe de situación intermedio sobre las actualizaciones de estado pertinentes; d) un informe final a más tardar un mes después de la presentación de la notificación de incidente prevista en la letra b).

Cuatro etapas, una cascada. La redacción es vinculante en todos los Estados miembros. El anclaje del reloj es el mismo en cada paso: desde que se tiene conocimiento, no desde el momento en que el incidente comenzó.

CIR (UE) 2024/2690, Anexo §11.6

Un incidente se considerará significativo cuando cause o pueda causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada, o cuando haya afectado o pueda afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables.

El §11.6 enumera las categorías que siempre cuentan como significativas: ransomware, exfiltración de datos personales o sensibles, denegación de servicio contra servicios esenciales, pérdida de confidencialidad o integridad de activos críticos, etc. Si encaja una categoría, la cuestión del umbral queda cerrada. La notificación empieza.

§32 BSIG (Alemania)

Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.

Alemania copia la cascada de la directiva y apunta al Meldeportal del BSI como canal operativo. El §32 BSIG es el gancho alemán. El Artículo 23(4) NIS 2 es la regla sustantiva a la que se refiere el texto alemán.

La cascada en la práctica
Tres etapas de notificación sobre un reloj fijo, más un informe intermedio que el regulador puede solicitar entre el hito de las 72 horas y el informe final. Cada etapa tiene su propia finalidad. Presenta cada una incluso si la siguiente ya vence.
24 horas

Alerta temprana

En el plazo de 24 horas desde que tiene conocimiento del incidente, presente una alerta temprana en el Meldeportal del BSI. Nombra la entidad, señala si sospecha de un acto malicioso e indica si es posible un impacto transfronterizo. Aún no necesita la causa raíz, el alcance ni la atribución. El objetivo es poner al CSIRT en alerta e iniciar la coordinación.

72 horas

Notificación del incidente

En el plazo de 72 horas desde que tiene conocimiento, presente la notificación del incidente. Actualice lo que dijo a las 24 horas. Añada una evaluación inicial de gravedad e impacto. Añada indicadores de compromiso si los tiene. Esta es la primera vez que se espera que caracterice el incidente, no solo que lo anuncie. La mejor estimación sobre datos parciales aún supera al silencio.

1 mes

Informe final (e intermedio a petición)

Entre las 72 horas y el informe final, el CSIRT o la autoridad competente puede solicitar un informe intermedio sobre las actualizaciones de estado pertinentes en cualquier momento. El propio informe final vence a más tardar un mes después de la notificación de las 72 horas. Contiene la descripción confirmada del incidente, el análisis de la causa raíz, las medidas de mitigación aplicadas y cualquier impacto transfronterizo. Si el incidente sigue en curso al mes, presente un informe de progreso y uno final cuando se cierre.

Dos reglas que gobiernan toda la cascada
Ambas salen de la directiva y de la propia orientación publicada del BSI. Deciden si ha cumplido el estándar, incluso más que los propios plazos.

Rapidez sobre exhaustividad, conocimiento sobre ocurrencia

El BSI lo dice sin rodeos: „Schnelligkeit vor Vollständigkeit“. Envíe el informe con lo que sabe ahora. Actualice después. El reloj empieza en el momento en que alguien con responsabilidad puede decir que esto es más que una perturbación normal, no en el momento en que el ataque comenzó realmente. Un informe tardío y completo es incumplimiento. Un informe rápido y parcial es cumplimiento.

Las vías de notificación pueden correr en paralelo

Si hay datos personales implicados, el Artículo 33 GDPR corre su propio reloj de 72 horas hacia la autoridad de protección de datos (en Alemania: el BfDI o la Landesdatenschutzbehörde competente). Ese reloj es independiente de la cascada de NIS 2. Puede deber ambos al mismo tiempo. Presentar uno no satisface el otro. Lo mismo se aplica a los reguladores sectoriales donde existan.

Cómo operacionaliza esto Alemania
La UE fija la cascada. Alemania gestiona el canal. Esto es ante quién presenta realmente en Alemania y cómo corre la vía paralela de protección de datos.
Alemania

Meldeportal del BSI conforme al §32 BSIG

Presenta a través del Meldeportal del BSI en meldeportal.bsi.bund.de. El portal le guía por las cuatro etapas y hace seguimiento de los plazos. El BSI publica orientación bajo el lema „Schnelligkeit vor Vollständigkeit“: no espere a la certeza forense. Envíe lo que tenga. El portal le permite actualizar el mismo caso a lo largo de la cascada.

Alemania / UE

Artículo 33 GDPR — corre en paralelo

Si el incidente implica datos personales, también debe una notificación conforme al Artículo 33 GDPR en el plazo de 72 horas desde que tiene conocimiento. Esa va a la autoridad de protección de datos, no al BSI. El reloj de 72 horas es el mismo número pero un reloj distinto y un destinatario distinto. Presentar a través del Meldeportal del BSI no detiene el reloj del GDPR. Haga seguimiento de ambos.

Toda la UE

Coordinación de ENISA y reguladores sectoriales

El Artículo 23(11) NIS 2 permite a la autoridad competente y al CSIRT compartir el informe con autoridades homólogas de otros Estados miembros cuando es posible un impacto transfronterizo, y con ENISA. Si opera a través de fronteras, espere coordinación, no presentaciones duplicadas. Donde exista un regulador sectorial (financiero bajo DORA, telecomunicaciones bajo TKG), presente bajo ese régimen en lugar de o junto a NIS 2, según prescriba el acto pertinente.

Tres trampas que convierten la cascada en un hallazgo
Cada una de estas es una razón del mundo real por la que un regulador constata una no conformidad incluso cuando la entidad lo intentó de buena fe.

  • Notificaremos una vez que sepamos qué pasó realmente.

    Para cuando sepa qué pasó realmente, la ventana de 24 horas se ha cerrado y la de 72 horas se está cerrando. El Artículo 23(4)(a) no exige la causa raíz a las 24 horas. Exige la alerta temprana. La causa raíz pertenece al informe final, un mes después. Esperar a la certeza es la forma más común de incumplir el primer plazo.

  • Hasta que confirmemos que es significativo, no presentamos.

    Confirmar la significatividad de antemano no es la prueba. El CIR §11.6 enumera categorías que son significativas por definición. La alerta temprana de las 24 horas está hecha precisamente para la situación en la que aún no está seguro. Omita el paso de las 24 horas y ya habrá incumplido un plazo que no puede recuperar, aunque después resulte que el incidente no era significativo.

  • Enviamos la notificación, hemos terminado.

    La notificación de las 72 horas es una de cuatro etapas, no la última. El informe intermedio puede solicitarse en cualquier momento. El informe final vence un mes después de la notificación de las 72 horas. La mayoría de las multas de la primera ola de aplicación se concentran en el informe final ausente, no en la alerta temprana.

Un ejemplo real de ransomware en un Stadtwerk

Martes 07:42, un analista del SOC de un Stadtwerk advierte que la aplicación de facturación es inalcanzable y que en tres recursos compartidos de archivos están apareciendo notas de rescate. A las 08:10, el responsable de TI confirma el cifrado en una base de datos de facturación. Ese es el sello de tiempo del conocimiento. El reloj de 24 horas empieza a las 08:10 del martes, el reloj de 72 horas empieza a las 08:10 del martes, el reloj de un mes del informe final empieza en el momento en que se presenta la notificación de las 72 horas.

A las 14:00 del martes la entidad presenta una alerta temprana a través del Meldeportal del BSI: ransomware sospechado, acto malicioso sí, impacto transfronterizo poco claro (doce horas antes del plazo). El viernes a las 06:00 la entidad presenta la notificación de las 72 horas con la gravedad inicial y los indicadores de compromiso de los registros del EDR. En el día 18, el BSI solicita un informe intermedio sobre el progreso de la restauración; la entidad lo presenta. En el día 29, la entidad presenta el informe final con la causa raíz confirmada, la mitigación aplicada y el resumen de lecciones aprendidas. Cuatro informes, un anclaje de reloj: las 08:10 del martes.

Cómo gestionamos la cascada en la plataforma

El módulo de Incidentes de la plataforma refleja la cascada de cuatro etapas. Cuando se abre un incidente, el sello de tiempo del conocimiento ancla tres relojes de cuenta atrás: 24 horas, 72 horas, un mes. Cada reloj tiene su propia plantilla precargada con lo que piden el Artículo 23(4) y el CIR §11.6, de modo que rellena lo que sabe ahora y la plataforma le dice qué falta todavía.

La presentación se hace a través del Meldeportal del BSI en Alemania. La plataforma no sustituye al portal. Prepara el contenido, hace seguimiento de los plazos, conserva el rastro de auditoría y recuerda al propietario responsable que el siguiente paso de la cascada vence. Los propios informes permanecen listos para exportar, de modo que pueda pegarlos en el portal bajo presión de tiempo.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Artículo 23(3), 23(4), 23(11) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo §11 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ley del BSI (BSIG), §32 en la versión de la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
  • Meldeportal del BSI — meldeportal.bsi.bund.de
  • BSI Infopakete „NIS 2 Pflichten“ sobre notificación de incidentes — bsi.bund.de/dok/nis-2-infopakete
  • Reglamento (UE) 2016/679 (GDPR), Artículo 33 — eur-lex.europa.eu/eli/reg/2016/679/oj
Ejecute la cascada de cuatro etapas sin perder un reloj
Sello de tiempo del conocimiento, tres relojes de cuenta atrás, plantillas de informe precargadas, rastro de auditoría. Gratis, de código abierto, sin lock-in.
Abra la plataforma gratuita