Incidente de phishing bajo NIS 2
Cómo el phishing cruza el umbral de incidente significativo, qué exige la cascada de notificación, y qué gestiona en paralelo un manual de actuación típico.
Qué cubre esta página
El phishing no es una categoría regulatoria separada bajo NIS 2. La directiva trata un intento de phishing exitoso como un posible incidente significativo entre otros. La prueba cualitativa del artículo 23(3) NIS 2 es la misma que cualquier otro tipo de incidente tiene que superar. El Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR) nombra categorías en la Sección 11.6 del Anexo que, para las entidades de infraestructura digital, cuentan como significativas por defecto.
El desencadenante que la mayoría de los operadores pasan por alto es el compromiso de credenciales. Un correo de phishing que captura un conjunto funcional de credenciales de una cuenta crítica no es un cuasi accidente. Es un evento exitoso de acceso no autorizado. Si luego cumple el umbral del artículo 23(3) depende de a qué puede llegar la cuenta, qué se extrajo y qué servicios se vieron afectados.
Esta página expone la mecánica, no el asesoramiento jurídico. Describe los relojes de la alerta temprana, la notificación de incidentes y el informe final conforme al artículo 23(4) NIS 2, cómo un manual de actuación típico de un SOC gestiona la contención y la preservación de la evidencia, y dónde corre en paralelo el artículo 33 del GDPR cuando hay datos personales implicados.
Directiva NIS 2 (UE) 2022/2555, art. 23(3)
Un incidente se considerará significativo si: a) ha causado o puede causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada; b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables.
Esta es la única definición general de incidente significativo en el derecho de la UE. Ambos puntos usan «puede causar», por lo que el daño potencial cuenta tanto como el daño real. Un evento de phishing que comprometió credenciales de una cuenta privilegiada puede cumplir el punto a) incluso antes de que ningún servicio se haya detenido realmente.
CIR (UE) 2024/2690, Anexo Sección 11.6
Un incidente se considerará significativo cuando cause o pueda causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada, o cuando haya afectado o pueda afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables.
La Sección 11.6 enumera categorías que siempre se consideran significativas para las entidades de infraestructura digital cubiertas por el CIR: ransomware, exfiltración de datos personales o sensibles, denegación de servicio contra servicios esenciales, y pérdida de confidencialidad o integridad de activos críticos. Un caso de phishing que acaba en cualquiera de estas ha cruzado el umbral por definición. Para los sectores fuera del CIR, la prueba cualitativa del artículo 23(3) rige por sí sola.
§32 BSIG (Alemania)
Las entidades esenciales e importantes notificarán al Bundesamt los incidentes significativos sin demora indebida, a más tardar dentro de los plazos nombrados en el artículo 23(4) de la Directiva (UE) 2022/2555.
Alemania toma la cascada de la directiva tal cual y encamina la notificación a través del portal del BSI en meldung.bsi.bund.de. El §32 BSIG es el anclaje alemán. Los plazos sustantivos siguen siendo los del artículo 23(4) NIS 2: una alerta temprana en un plazo de 24 horas, una notificación de incidente en un plazo de 72 horas, y un informe final en un plazo de un mes.
Triaje y decisión sobre el umbral
El reloj arranca cuando la entidad tiene conocimiento del incidente. El conocimiento es cuando una persona competente dentro de la organización sabe lo suficiente para sospechar un incidente significativo, no cuando se completa la investigación. El triaje responde a tres preguntas: qué cuentas se vieron comprometidas, a qué pueden llegar esas cuentas, y si encaja alguna categoría de la Sección 11.6 del Anexo del CIR. En caso afirmativo, la cuestión del umbral queda zanjada y se prepara la alerta temprana.
Contención y evidencia
Un manual de actuación típico de un SOC restablece las credenciales comprometidas, revoca las sesiones activas, bloquea el dominio del remitente, aísla de la red los puntos finales afectados y preserva el buzón, la imagen de disco del punto final y los registros de autenticación antes de cualquier reimagen. Borrar una máquina con phishing antes de obtener su imagen destruye el registro forense que más tarde responde a qué alcanzó realmente el atacante.
La cascada de 24 h / 72 h / 1 mes
El artículo 23(4) NIS 2 fija tres plazos desde el momento del conocimiento. En un plazo de 24 horas la entidad presenta una alerta temprana indicando si se sospecha que el incidente está causado por actos ilícitos o malintencionados o tiene un impacto transfronterizo. En un plazo de 72 horas una notificación de incidente actualiza la alerta temprana con una evaluación inicial, indicadores de compromiso y gravedad. En un plazo de un mes un informe final describe la causa raíz, la mitigación y cualquier impacto transfronterizo.
El alcance del daño es lo que hace significativo al phishing
Al artículo 23(3) no le importa la técnica. Le importa el efecto. Un correo de phishing abierto por un solo administrativo de finanzas no es significativo. El mismo correo, si capturó credenciales funcionales que permiten el acceso al sistema de facturación, a las nóminas o a una base de datos de clientes, puede cumplir el punto a) sobre perturbación operativa potencial o el punto b) sobre daño a personas físicas o jurídicas. La cuestión del alcance es: a qué podía llegar la credencial comprometida antes de ser revocada, y qué se alcanzó durante la ventana de acceso.
La rapidez vence a la exhaustividad
La posición del BSI es «Schnelligkeit vor Vollständigkeit». La alerta temprana de 24 horas está construida para el momento en que el cuadro está incompleto. El formulario pide una clasificación inicial y los hechos conocidos, no un análisis final de causa raíz. Retener la alerta temprana hasta que todo se sepa incumple el plazo; el plazo no puede recuperarse después, incluso si el incidente luego resulta no haber sido significativo.
BSI: notificación NIS 2 en meldung.bsi.bund.de
El BSI gestiona el canal único del §32 BSIG para la notificación de incidentes NIS 2. El portal preestructura las presentaciones de 24 h, 72 h y un mes y almacena el registro de auditoría. La guía pública del BSI repite la redacción del artículo 23(3) y confirma «Schnelligkeit vor Vollständigkeit». Los incidentes impulsados por phishing que cumplen la prueba cualitativa pasan por este canal, con independencia de si también afectan a datos personales.
BfDI / DPA estatal: paralelo del artículo 33 del GDPR
Si el evento de phishing expuso datos personales, el artículo 33 del GDPR corre junto a NIS 2. La notificación de protección de datos se dirige a la autoridad de control competente en un plazo de 72 horas desde el conocimiento, salvo que sea improbable que la violación entrañe un riesgo para las personas físicas. El informe NIS 2 y la notificación del GDPR son documentos separados a autoridades separadas; los hechos subyacentes se solapan, los canales formales no.
ZAC LKA: denuncia penal como decisión separada
Un ataque de phishing exitoso suele ser un acto delictivo conforme al §202a, §202b o §263a StGB. La Zentrale Ansprechstelle Cybercrime (ZAC) del Landeskriminalamt responsable es el punto de entrada para la denuncia penal. Presentarla es una decisión de la dirección separada de la notificación regulatoria y no pausa ninguno de los relojes.
«Fue solo un usuario, no es significativo»
La prueba del artículo 23(3) pregunta si el incidente puede causar una perturbación operativa grave o un daño considerable a terceros. Un conjunto de credenciales funcionales de una cuenta privilegiada en manos de un atacante puede causar ambos, con independencia de cuántos usuarios fueran objeto del phishing. La significatividad se decide por a qué puede llegar la credencial, no por el tamaño de la población que hizo clic.
«Reimagina el portátil de inmediato por seguridad»
Borrar el punto final antes de obtener una imagen forense destruye el único registro de lo que el atacante hizo realmente durante la ventana de acceso. La notificación de incidente de 72 horas y el informe final de un mes piden ambos indicadores de compromiso y causa raíz. Sin la imagen, esas respuestas son conjeturas. Un manual de actuación típico aísla primero, obtiene la imagen del punto final y del buzón afectado, y solo entonces reimagina.
«El silencio es más seguro, no se lo digas a nadie internamente»
El artículo 23(1)(h) NIS 2 obliga a la entidad, cuando proceda, a comunicar a los destinatarios de sus servicios potencialmente afectados. El silencio en el lado interno retrasa la segunda oleada de detección: otro personal que recibió el mismo correo, otras cuentas que ya pueden estar comprometidas. Una nota interna breve y factual en las primeras horas es parte de la respuesta, no un comunicado de prensa.
Lo más útil que un equipo pequeño puede ensayar antes del evento real es la decisión sobre el umbral. Anote, por adelantado, qué cuentas son «críticas» para la entidad (consolas de administración, sistemas de pago, proveedor de identidad, base de datos de clientes, control OT). Un evento de phishing que capture cualquiera de ellas es, por su propia definición, un candidato de la Sección 11.6 y el reloj de 24 horas arranca.
Lo segundo más útil es la plantilla de informe. El portal del BSI pide un conjunto estructurado de hechos. Redactar la alerta temprana por primera vez durante un incidente real desperdicia las dos primeras horas. Una plantilla precargada con los identificadores de la empresa, el sector, los canales de contacto y una sección de relato en blanco puede presentarse en treinta minutos una vez que se tienen los hechos.
El módulo de incidentes abre un caso a partir de una única marca de tiempo de «conocimiento» y ancla tres relojes: 24 horas, 72 horas, un mes. Cada reloj tiene su propia plantilla, precargada con los campos que piden el artículo 23(4) y la Sección 11.6 del Anexo del CIR. Usted introduce lo que se sabe, la plataforma muestra lo que aún falta. Un temporizador separado del artículo 33 del GDPR se activa si se marcan datos personales en el caso.
El registro del caso preserva la cadena del tiempo de conocimiento, las acciones de contención, las comunicaciones y las presentaciones. Ese registro es la evidencia de auditoría que el portal del BSI no puede generar por usted y el documento que un auditor pedirá en una revisión del §61 BSIG.
- Directiva (UE) 2022/2555 (NIS 2), artículo 23 (notificación de incidentes), artículo 21(2)(g) (formación de concienciación en seguridad), considerando 101 (factores de significatividad). EUR-Lex.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión de 17 de octubre de 2024, Anexo Sección 11.6 (categorías de incidentes siempre considerados significativos para las entidades de infraestructura digital). EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §32 (notificación de incidentes al BSI). gesetze-im-internet.de.
- Reglamento (UE) 2016/679 (GDPR), artículo 33 (notificación de una violación de la seguridad de los datos personales a la autoridad de control en un plazo de 72 horas). EUR-Lex.
- BSI, guía pública sobre la cascada de notificación de NIS 2 y el principio «Schnelligkeit vor Vollständigkeit». bsi.bund.de.
- Strafgesetzbuch (StGB) §202a Ausspähen von Daten, §202b Abfangen von Daten, §263a Computerbetrug. gesetze-im-internet.de.