Caída del proveedor de la nube bajo NIS 2
Que su proveedor esté caído es la prueba de su plan de continuidad, no una exención de él.
Qué es esta página
Un gran proveedor de la nube se cae. La producción se detiene. La pregunta en la sala es si las obligaciones de NIS 2 recaen en el proveedor o en su entidad. La respuesta de la directiva es que ambas capas cargan con sus propias obligaciones y una no libera de la otra. Sus deberes bajo el Artículo 21(2)(c) NIS 2 de mantener la continuidad de negocio, las copias de seguridad y la recuperación, y bajo el Artículo 23 de notificar los incidentes significativos, se aplican a su entidad con independencia de lo que haga su proveedor en su propio reloj.
Esta página está escrita para un responsable de TI o un director gerente de una empresa de 50 a 250 personas que ejecuta la mayor parte de su producción sobre un hiperescalador o una nube regional. No es asesoramiento jurídico. Es la mecánica de qué cláusula se aplica a quién cuando la página de estado del proveedor se pone en rojo.
La frase más útil: una caída de la nube es la prueba en vivo de su plan de recuperación del Artículo 21(2)(c). Si el plan funciona, no ha ocurrido ningún incidente significativo en su entidad. Si el plan no funciona, el Artículo 23 empieza a correr en su reloj, no en el del proveedor.
Directiva (UE) 2022/2555 (NIS 2)
Artículo 21(2)(c): políticas y procedimientos relativos a la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis. Artículo 21(2)(d): seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad referidos a las relaciones entre cada entidad y sus proveedores directos o prestadores de servicios.
El Artículo 21(2)(c) sitúa la obligación de continuidad, copias de seguridad y recuperación en la entidad. La directiva no permite que esa obligación se delegue en un proveedor de la nube mediante un contrato. El Artículo 21(2)(d) es la pata del riesgo de proveedores: está obligado a evaluar y gestionar la seguridad de sus proveedores directos, lo que incluye cláusulas contractuales de notificación de caídas e incidentes en el proveedor. El Artículo 23 establece después la cascada de notificación con la alerta temprana de 24 horas, la notificación del incidente a 72 horas, una actualización intermedia previa solicitud, y un informe final en el plazo de un mes.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión
Artículo 23(3) NIS 2: Un incidente se considerará significativo si ha causado o puede causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada, o si ha afectado o puede afectar a otras personas físicas o jurídicas al ocasionar daños materiales o inmateriales considerables.
El CIR cuantifica qué cuenta como significativo para las 11 categorías de infraestructura digital y servicios digitales que cubre, lo que incluye a los proveedores de servicios de computación en la nube bajo el sector 8 del Anexo I de NIS 2. La sección 11 del Anexo del CIR enumera los escenarios que constituyen un incidente significativo en esa capa de proveedor. Para las entidades fuera del ámbito del CIR, la prueba de significatividad del Artículo 23(3) es la que se aplica y una caída en cascada que detiene la producción casi siempre la cumple.
BSIG (Alemania)
§30 BSIG: medidas técnicas y organizativas adecuadas al riesgo. §32 BSIG: notificación de incidentes significativos al BSI a través del Meldeportal en bsi.bund.de. §31 BSIG: deberes de seguridad de la cadena de suministro para la entidad.
El BSIG es el ejemplo de la transposición alemana. Los Países Bajos (Cyberbeveiligingswet) y Austria (NISG 2024) tienen los suyos propios. La cascada de 24 / 72 horas / intermedio / un mes es a nivel de directiva e idéntica en todos los Estados miembros. Un proveedor de la nube que es a su vez una entidad NIS 2 en la UE tiene su propio deber de notificación del §32 BSIG o equivalente nacional. Ese deber no extingue el suyo.
Evalúe frente a su plan del Artículo 21(2)(c)
Abra el plan de continuidad de negocio y de recuperación ante desastres y ejecútelo. La pregunta no es si el proveedor está caído. La pregunta es si sus servicios pueden seguir operando bajo el plan que escribió. Conmute a una región secundaria, cambie a un flujo de trabajo offline documentado, o restaure a partir de una copia de seguridad guardada fuera del proveedor afectado. El Artículo 21(2)(c) NIS 2 sitúa el deber de continuidad en su entidad. Si la caída revela que no había plan, ese es el primer hallazgo, no la caída.
Active su proceso de proveedor del Artículo 21(2)(d)
El Artículo 21(2)(d) NIS 2 le exige gestionar la seguridad de sus proveedores directos. En la práctica eso significa tres cosas en una caída: abrir el contrato y leer las cláusulas de notificación y de SLA, registrar la referencia de incidente del proveedor y cualquier cronología que publique, y capturar la evidencia en su rastro de auditoría. Si el contrato no exige la notificación por el proveedor de los incidentes que le afectan, ese es el segundo hallazgo, separado de la caída en sí.
Notifique si su entidad tiene un incidente significativo
La prueba del Artículo 23(3) se aplica a su entidad, no al proveedor. Si la caída causa una perturbación operativa grave de sus servicios, pérdidas financieras para usted, o daños considerables a otros que dependen de usted, entonces el Artículo 23 NIS 2 empieza a correr en su reloj. Alerta temprana al CSIRT nacional o a la autoridad competente en el plazo de 24 horas desde que tenga conocimiento, notificación del incidente en el plazo de 72 horas, informe intermedio previa solicitud, informe final en el plazo de un mes. En Alemania esto va a través del Meldeportal del BSI bajo el §32 BSIG. El propio informe del proveedor bajo su propio estatus NIS 2 es independiente y no presenta por usted.
La continuidad es deber de la entidad, no del proveedor
El Artículo 21(2)(c) NIS 2 sitúa el deber de continuidad, copias de seguridad y recuperación en la entidad. Un contrato con un hiperescalador que promete un objetivo de disponibilidad del 99,99 por ciento no es un plan de continuidad en el sentido de la directiva. El plan tiene que describir qué hace su entidad cuando el proveedor no está disponible. El auditor del año que viene comprueba si existe tal plan y si se ejercitó, no si se honró el SLA.
Las copias de seguridad tienen que ser recuperables, no solo existir
La posición del BSI es que la existencia de una copia de seguridad no es la prueba. La restaurabilidad bajo las condiciones de un incidente real lo es. Una copia de seguridad guardada en la misma región de la nube que el sistema de producción, contra el mismo proveedor de identidad, no es una copia de seguridad en el sentido del Artículo 21(2)(c) cuando lo que falla es la región o la capa de identidad. La obligación de copia de seguridad recuperable exige la separación a través del dominio de fallo que intenta sobrevivir.
Meldeportal del BSI (Alemania), CSIRT nacional (otros Estados miembros)
Si la caída causa un incidente significativo en su entidad bajo el Artículo 23(3), el informe va a través de su canal nacional. En Alemania ese es el Meldeportal del BSI bajo el §32 BSIG. En los Países Bajos el National Cyber Security Centre, en Austria el GovCERT. El informe es suyo, hay que presentarlo aunque la causa raíz esté en el proveedor. La página de estado de un proveedor no es una presentación.
El proveedor de la nube como entidad NIS 2, sector 8 del Anexo I
Un proveedor de servicios de computación en la nube establecido en la UE es una entidad esencial o importante bajo el sector 8 del Anexo I de NIS 2 (infraestructura digital). Debe su propia notificación del Artículo 23 en su propio reloj a su propia autoridad competente o CSIRT. El CIR 2024/2690 especifica los umbrales de significatividad para los proveedores de infraestructura digital. El informe del proveedor no es su informe. Un proveedor fuera de la UE está fuera del ámbito de la directiva, en cuyo caso la gestión del riesgo de proveedores del Artículo 21(2)(d) es su único asidero sobre él.
ENISA y la red de CSIRT
Las caídas transfronterizas de grandes proveedores de la nube se coordinan a través de la red de CSIRT coordinada por ENISA bajo el Artículo 15 NIS 2. ENISA publica conciencia situacional en los Estados miembros. Para una entidad individual esto es material de referencia más que un canal de notificación. El canal de notificación es nacional. ENISA es donde lee qué está ocurriendo a nivel de la UE cuando el proveedor está caído en varios países.
La nube es problema del proveedor. NIS 2 recae en ellos.
El Artículo 21(2)(c) NIS 2 sitúa la obligación de continuidad, copias de seguridad y recuperación en su entidad. El Artículo 21(2)(d) sitúa la obligación de riesgo de proveedores en su entidad. El proveedor tiene sus propios deberes bajo la directiva si es un proveedor de la nube establecido en la UE bajo el sector 8 del Anexo I, pero esos deberes corren en paralelo con los suyos y no le liberan de ellos. La auditoría del año que viene comprueba su plan, no el SLA del proveedor.
Esperar al informe de SLA posincidente del proveedor antes de presentar o revisar.
El Artículo 23(4) NIS 2 exige la alerta temprana en el plazo de 24 horas desde que se tiene conocimiento de un incidente significativo en su entidad. El informe del proveedor puede tardar semanas. Si la caída causó una perturbación operativa grave en su entidad, el reloj de 24 horas corre contra usted haya emitido o no algo el proveedor. Esperar al informe de SLA es el motivo más frecuente por el que las entidades incumplen el plazo en los casos de caída de la nube.
El proveedor volvió, todo funciona de nuevo, el incidente está cerrado.
El Artículo 21(2)(c) NIS 2 espera que el plan de continuidad y recuperación se ejercite y se mejore. Una caída de la nube es un ejercicio en vivo de ese plan, y la revisión posincidente es lo que alimenta la siguiente iteración. El auditor preguntará qué cambió en el plan de recuperación tras la última caída. Si no cambió nada y la misma brecha sigue ahí, eso es un hallazgo. Una vuelta a las operaciones normales no es un incidente cerrado en el sentido de la directiva.
Una empresa de logística de 110 personas en Renania del Norte-Westfalia, clasificada como wichtige Einrichtung bajo NIS 2 porque el sector y el número de empleados la sitúan en el ámbito. Martes 09:14: la región central de la UE del hiperescalador se degrada y el sistema de gestión de transporte de la empresa, el proveedor de identidad y el almacenamiento de archivos compartido quedan todos inaccesibles. 09:20: el responsable de TI abre el plan de continuidad, conmuta la expedición al flujo de trabajo offline documentado en portátiles locales, e informa al director gerente. 09:35: órgano de dirección informado, decisión registrada en el rastro de auditoría de tratar esto como un evento de continuidad bajo el Artículo 21(2)(c) y de monitorizar frente a la prueba de significatividad del Artículo 23(3). Se hace una captura de pantalla de la página de estado del proveedor y se adjunta al registro del incidente.
11:50: la caída ha durado más de dos horas y ahora afecta a los compromisos de entrega a clientes. Se reevalúa la prueba del Artículo 23(3): se cumple la perturbación operativa grave de los servicios. La alerta temprana de 24 horas se presenta a través del Meldeportal del BSI bajo el §32 BSIG citando la referencia de incidente del proveedor y el propio impacto de la empresa. 14:30: el proveedor recupera la región. La empresa ejecuta la revisión posincidente a la mañana siguiente. Hallazgo: el proveedor de identidad secundario estaba sobre el papel pero nunca se ejercitó, de modo que la conmutación tardó 40 minutos más de lo que el plan asumía. Dos cambios escritos entran en el plan: ejercicio mensual del proveedor de identidad secundario, y una enmienda contractual con el proveedor de la nube para exigir la notificación de incidentes regionales en el plazo de 30 minutos. El informe intermedio y el informe final de un mes bajo el Artículo 23 se presentan a partir del rastro de auditoría, no de memoria.
La plataforma almacena las cuatro cosas escritas que necesita antes de la próxima caída del proveedor: el plan de continuidad ligado al Artículo 21(2)(c), la configuración de copia de seguridad recuperable con evidencia de su separación del dominio de fallo primario, el registro de proveedores con cláusulas de notificación y de SLA ligadas al Artículo 21(2)(d), y las plantillas de notificación y la lista de contactos para la cascada del Artículo 23. Cada cambio y cada ejercicio se captura en el rastro de auditoría con marcas de tiempo, de modo que el auditor del año que viene ve un plan que se ejecutó realmente, no un documento que se escribió una vez.
La plataforma es gratuita y de código abierto. No hay nivel de pago ni lock-in. El objetivo de esta página no es vender nada. Es asegurar que, cuando la página de estado del proveedor se ponga en rojo, su órgano de dirección sepa si el reloj de la directiva está corriendo contra usted y cuál es el siguiente paso escrito.
- Directiva (UE) 2022/2555 (NIS 2): Artículo 21(2)(c) (continuidad de negocio, copias de seguridad, recuperación, gestión de crisis), Artículo 21(2)(d) (seguridad de la cadena de suministro), Artículo 23 (cascada de notificación) y Artículo 23(3) (prueba de significatividad). Anexo I sector 8 (infraestructura digital, incluidos los proveedores de servicios de computación en la nube). EUR-Lex.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión: requisitos técnicos y metodológicos y umbrales de significatividad para los proveedores de infraestructura digital y servicios digitales, incluidos los proveedores de la nube. Anexo sección 11. EUR-Lex.
- BSIG (Alemania): §30 (medidas de gestión de riesgos), §31 (seguridad de la cadena de suministro), §32 (Meldeportal del BSI). Gesetze im Internet.
- BSI: paquetes informativos de NIS 2 sobre continuidad, copias de seguridad recuperables y la posición de que la existencia de una copia de seguridad no es la prueba. bsi.bund.de.
- ENISA: coordinación de la red de CSIRT bajo el Artículo 15 NIS 2 para incidentes transfronterizos. enisa.europa.eu.