§32 BSIG

Manual de notificación de incidentes NIS2

El §32 BSIG transpone el art. 23(4) NIS 2: tres informes obligatorios con plazos fijos (24 h, 72 h, 1 mes) más dos informes condicionales (a petición, si el incidente sigue en curso). Incumplir un plazo es una infracción independiente del propio incidente.

Simon OrzelSimon Orzel·Laufend geprüft

Notificación de incidentes según NIS2

El §32 BSIG aplica el artículo 23 de la Directiva NIS2. Establece un régimen obligatorio de notificación para los incidentes de seguridad significativos. Toda entidad clasificada como entidad esencial o entidad importante debe notificar al BSI cuando un incidente cumple los criterios de carácter significativo. La cascada tiene tres informes obligatorios con plazos fijos y dos informes condicionales, activados a petición o por un incidente en curso. La obligación no puede delegarse en un proveedor de servicios gestionados de seguridad; la propia entidad es responsable de notificar a tiempo.

Los plazos de notificación son estrictos y comienzan cuando la entidad tiene conocimiento del incidente, no cuando se completa la investigación. Esta es una distinción crítica: la alerta temprana de 24 horas debe presentarse sobre la base del conocimiento inicial, aunque se desconozcan el alcance e impacto completos. Esperar a tener información completa antes de notificar constituye en sí mismo una infracción.

Cascada de notificación conforme al art. 23(4) NIS 2
Tres fases obligatorias con plazos fijos desde el momento del conocimiento, más hasta dos informes condicionales (intermedio a petición de la autoridad, informe de situación si el incidente sigue en curso el día en que vence el informe final).
1

Alerta temprana (Frühwarnung)

En un plazo de 24 horas

La notificación inicial al BSI de que se ha detectado un incidente potencialmente significativo. Debe presentarse en un plazo de 24 horas desde que se tiene conocimiento del incidente. Su finalidad es permitir al BSI evaluar el impacto intersectorial y emitir advertencias a otras entidades si es necesario.

  • Confirmación de que se ha producido o se sospecha un incidente significativo
  • Si se sospecha que el incidente fue causado por actos ilícitos o malintencionados
  • Si el incidente podría tener un impacto transfronterizo
  • Nombre de la entidad, sector y datos de contacto para el seguimiento
2

Notificación del incidente (Meldung)

En un plazo de 72 horas

Una notificación más detallada que actualiza la alerta temprana con información adicional recabada durante la respuesta inicial. Debe presentarse en un plazo de 72 horas desde el conocimiento. Actualiza al BSI sobre la naturaleza, gravedad y evaluación inicial del impacto del incidente.

  • Evaluación actualizada de la gravedad y el impacto del incidente
  • Indicadores de compromiso (IoC) cuando estén disponibles
  • Evaluación inicial de la naturaleza y la causa del incidente
  • Medidas adoptadas o previstas para mitigar el incidente
  • Evaluación del impacto transfronterizo, si procede
3

Informe intermedio (Zwischenbericht)

A petición

Se presenta a petición del BSI entre la notificación de las 72 horas y el informe final. Actualización del estado actual de la gestión del incidente. No es automático; lo activa la autoridad.

  • Estado actual de la contención y la subsanación
  • Nuevos hallazgos sobre la causa, el alcance o el impacto
  • Ajustes a las contramedidas
  • Evaluación actualizada de los daños
4

Informe final (Abschlussbericht)

1 mes después de la notificación de las 72 h

Un informe final completo presentado en el plazo de un mes desde la notificación del incidente de las 72 horas. Documentación completa del incidente y de la respuesta.

  • Descripción detallada del incidente, incluidas la gravedad y el impacto
  • Análisis de la causa raíz: el tipo de amenaza o vulnerabilidad que causó el incidente
  • Medidas aplicadas y en curso para mitigar el incidente y sus efectos
  • Impacto transfronterizo, si procede
  • Lecciones aprendidas y acciones correctivas previstas o aplicadas
5

Informe de situación (Verlaufsbericht)

Si el incidente sigue en curso

Si el incidente aún no se ha resuelto en el momento en que vence el informe final, el informe de situación lo sustituye. El informe final posterior vence entonces en el plazo de un mes desde la resolución del incidente.

  • Estado actual, dado que el incidente sigue en curso
  • Medidas de contención aplicadas hasta el momento
  • Duración prevista hasta la resolución del incidente, cuando sea previsible
  • Plan para el eventual informe final tras la resolución del incidente
Qué hace que un incidente sea 'significativo'
No todo evento de seguridad activa la obligación de notificación del §32 BSIG. Un incidente es significativo si cumple uno o varios de los criterios siguientes, tal como se definen en el artículo 23(3) de la Directiva NIS2 y se especifican con mayor detalle en el artículo 3 del CIR 2024/2690.

Interrupción del servicio

El incidente ha causado o es capaz de causar una grave perturbación operativa de los servicios prestados por la entidad. Para los proveedores de DNS y los registros de TLD, el CIR especifica umbrales, incluida una disponibilidad inferior al 99,9 % o la entrega incorrecta de respuestas de DNS.

Pérdida económica

El incidente ha causado o es capaz de causar una pérdida económica a la entidad. El artículo 3 del CIR 2024/2690 especifica un umbral de 500 000 EUR o del 5 % del volumen de negocios anual, lo que sea inferior. Incluye costes directos (subsanación, análisis forense) y costes indirectos (pérdida de ingresos, penalizaciones contractuales).

Impacto en otras entidades

El incidente ha causado o podría causar un daño considerable a otras personas físicas o jurídicas. Incluye los incidentes que se propagan por las cadenas de suministro, afectan a infraestructuras compartidas o exponen datos pertenecientes a terceros.

Vulneración de datos

El incidente implica acceso no autorizado a datos, su destrucción o su alteración. Tenga en cuenta que la notificación de incidentes NIS2 conforme al §32 BSIG es independiente y adicional a la notificación de violaciones de datos conforme a los art. 33/34 GDPR: ambas obligaciones pueden aplicarse simultáneamente.

Interrupción prolongada

El incidente ha causado o se espera que cause una interrupción prolongada de los servicios de la entidad. El umbral de duración no está fijado en la Directiva, pero el CIR 2024/2690 ofrece criterios específicos por entidad. Las interrupciones prolongadas que afectan a servicios críticos se presumen significativas.

Campos de notificación obligatorios
El portal de notificación del BSI requiere información estructurada. Tener estos campos preparados de antemano reduce considerablemente el riesgo de incumplir el plazo de 24 horas.

  • Identificación de la entidad

    Nombre de la empresa, número de registro del BSI, clasificación sectorial, código NACE y punto de contacto designado para la coordinación de incidentes. Esta información debe estar preconfigurada en su plan de respuesta a incidentes, no buscarse durante una crisis.

  • Naturaleza y clasificación del incidente

    Tipo de incidente (ransomware, DDoS, vulneración de datos, amenaza interna, compromiso de la cadena de suministro, etc.), sistemas y servicios afectados, cronología de los hechos desde la detección hasta el estado actual, y clasificación inicial de la gravedad.

  • Evaluación del impacto

    Número de usuarios o clientes afectados, servicios interrumpidos, impacto económico estimado, categorías de datos afectadas (si las hay) y duración de la interrupción. Para la alerta temprana, las estimaciones son admisibles: la precisión llega en la notificación de las 72 horas y en el informe final.

  • Impacto transfronterizo

    Si el incidente afecta o podría afectar a entidades o ciudadanos de otros Estados miembros de la UE. Esto activa el intercambio de información entre los CSIRT nacionales y puede implicar la coordinación de ENISA. Debe evaluarse tanto en la alerta temprana como en las notificaciones posteriores.

  • Medidas de respuesta

    Acciones adoptadas para contener, erradicar y recuperarse del incidente. Incluye medidas técnicas (aislamiento, aplicación de parches, rotación de credenciales), medidas de comunicación (notificación a clientes, información a las partes interesadas) y medidas organizativas (activación del equipo de crisis, contratación de apoyo externo).

Dónde y cómo notificar
La notificación se realiza exclusivamente a través del portal digital de notificación del BSI.

Todos los informes de incidentes conforme al §32 BSIG deben presentarse a través del portal oficial de notificación del BSI. El BSI no acepta notificaciones por correo electrónico, teléfono o carta como sustituto de la presentación por el portal, aunque el contacto telefónico con el equipo de respuesta a incidentes del BSI (CERT-Bund) es apropiado para coordinar la respuesta a incidentes críticos en paralelo con el informe formal.

El portal de notificación está disponible en el sitio web del BSI, en la sección de NIS2. El acceso requiere un registro previo conforme al §33 BSIG, lo que significa que las entidades no registradas se enfrentan a un problema agravado: no pueden presentar informes de incidentes por el canal adecuado porque no han completado el registro previo requerido. Esta es otra razón por la que el registro ante el BSI no debe retrasarse.

Sanciones por incumplimientos de la notificación
La falta de notificación se sanciona con independencia del propio incidente. Una empresa que sufre un incidente y lo gestiona bien técnicamente, pero no lo notifica, se enfrenta a una acción de ejecución separada.

Hasta 10 000 000 EUR o el 2 % del volumen de negocios

Entidades esenciales

La mayor de las cifras entre 10 millones EUR o el 2 % del volumen de negocios anual mundial del ejercicio anterior. Se aplica a las entidades esenciales de los sectores enumerados en el anexo 1 del BSIG (energía, transporte, banca, sanidad, agua, infraestructura digital, espacio, administración pública).

Hasta 7 000 000 EUR o el 1,4 % del volumen de negocios

Entidades importantes

La mayor de las cifras entre 7 millones EUR o el 1,4 % del volumen de negocios anual mundial. Se aplica a las entidades importantes de los sectores enumerados en el anexo 2 del BSIG (servicios postales, gestión de residuos, productos químicos, alimentación, fabricación, proveedores digitales, investigación).

Responsabilidad personal - §38 BSIG

Dirección (Geschäftsleitung)

Si la dirección tuvo conocimiento de un incidente y no garantizó su notificación a tiempo, ello constituye una infracción del deber de supervisión conforme al §38(1) BSIG. La dirección puede ser considerada personalmente responsable frente a la empresa por los daños derivados del incumplimiento de la notificación, con independencia de las sanciones impuestas a la propia empresa.

Fuentes
  • Directiva NIS2 (UE) 2022/2555 - artículo 23 (obligaciones de notificación)
  • BSIG - §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG - §38 (Billigung, Überwachung, Schulung - Geschäftsleitung)
  • BSIG - §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690 - artículo 3 (carácter significativo de los incidentes), artículo 4 (incidentes recurrentes)
  • ENISA - Orientaciones sobre las obligaciones de notificación de incidentes NIS2 y plantillas (2024)
  • BSI - Documentación y FAQ del portal de notificación de NIS2
Esté preparado para notificar antes de que llegue el incidente
La plataforma preconfigura sus campos de notificación del BSI, mantiene un registro de incidentes con flujos de trabajo de clasificación y hace seguimiento de los plazos de 24 h / 72 h / 1 mes, para que cumpla cada obligación bajo presión.
Inicie su proceso de cumplimiento de NIS2