Art. 21+23 NIS 2 + §32 BSIG

Respuesta a ransomware conforme a NIS2

La mecánica de las primeras 24 horas: qué contener, a quién avisar, y qué exige realmente la directiva.

Simon OrzelSimon Orzel·

Qué es esta página

El ransomware no es una categoría regulatoria separada. NIS2 lo trata como un incidente significativo más entre otros. El Reglamento de Ejecución (UE) 2024/2690 de la Comisión enumera explícitamente el ransomware en la sección 11.6 del Anexo como un tipo reconocido de incidente significativo para las entidades de infraestructura digital, pero las obligaciones residen en el artículo 21 (medidas de gestión de riesgos) y en el artículo 23 (cascada de notificación) de la propia directiva.

La página está escrita para un director gerente, un responsable de TI o un CISO en una empresa de 50 a 250 personas que acaba de ser atacada o que quiere saber cómo deberían ser las primeras horas. No es asesoramiento jurídico y no sustituye a un contrato de respuesta a incidentes. Es la mecánica legal que rodea el trabajo técnico.

La frase más útil de todas: la contención, la notificación, la decisión de la dirección y la aplicación de la ley se ejecutan en paralelo, no en secuencia. La directiva no le permite terminar una antes de empezar la siguiente.

Anclaje legal
Tres capas apiladas: directiva, reglamento de ejecución, transposición alemana.

Directiva (UE) 2022/2555 (NIS2)

Artículo 21(2)(c): políticas y procedimientos relativos a la continuidad de negocio, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis. Artículo 21(2)(i): políticas y procedimientos relativos al uso de la criptografía y, cuando proceda, del cifrado.

El artículo 21(2)(c) es donde reside la obligación de copia de seguridad recuperable. La existencia de una copia de seguridad no es la prueba. La restaurabilidad en condiciones de ataque sí lo es. El artículo 21(2)(i) cubre la postura de cifrado que decide si el atacante lee todo lo que toca. El artículo 23 fija entonces la cascada de notificación de cuatro fases: alerta temprana en un plazo de 24 horas, notificación del incidente en un plazo de 72 horas, informe intermedio a petición, informe final en un plazo de un mes.

Reglamento de Ejecución (UE) 2024/2690 de la Comisión

La sección 11.6 del Anexo enumera el ransomware entre los escenarios de incidente que constituyen un incidente significativo para las entidades que prestan servicios de infraestructura digital.

La CIR es vinculante sin transposición nacional y le indica qué cuenta como significativo para los tipos de entidad que cubre (esencialmente las 11 categorías de infraestructura digital y de servicios digitales). Para los sectores fuera de su ámbito, sigue aplicándose la prueba de significatividad del artículo 23(3) de NIS2: perturbación operativa grave, pérdida financiera, o daño material o no material a terceros. El ransomware que bloquea la producción casi siempre cumple esa prueba.

BSIG (Alemania)

§30 BSIG: medidas técnicas y organizativas adecuadas al riesgo. §32 BSIG: notificación al BSI a través del Meldeportal en bsi.bund.de. §44 BSIG: cooperación del BSI con las autoridades policiales.

El BSIG es el ejemplo de transposición alemán. NL y AT tienen los suyos. La cascada de 24 / 72 horas / intermedio / un mes es de nivel de directiva e idéntica en todos los Estados miembros. El canal de notificación es nacional: en Alemania el Meldeportal del BSI, por separado la autoridad de control de protección de datos conforme al artículo 33 del GDPR si hay datos personales implicados, y por separado de nuevo la Oficina Estatal de Policía Criminal (LKA) o el BKA si desea una investigación penal.

Cuatro vías paralelas
La contención, la decisión de la dirección, la notificación y la aplicación de la ley se ejecutan al mismo tiempo. La página divide las tres primeras en tarjetas; la aplicación de la ley se cubre en la sección de visión nacional.
Vía 1

Contención técnica y preservación forense

Aísle los segmentos afectados sin borrarlos. El error más común bajo pánico es apagar y reinstalar la imagen antes de que se tome imagen alguna, lo que destruye tanto la evidencia que el BSI y la policía necesitan como los indicadores de compromiso que le dicen qué más tocó el atacante. Desconecte de la red, no apague. Tome imágenes de memoria y de disco antes de la remediación. Inicie la restauración desde la copia de seguridad limpia verificada más reciente en infraestructura aislada. El artículo 21(2)(c) de NIS2 exige que la copia de seguridad sea recuperable, no solo que esté presente. El modo de fallo más común en los incidentes auditados son las copias de seguridad que estaban en línea y quedaron cifradas junto con la producción.

Vía 2

Decisión del órgano de dirección

El artículo 20 de NIS2 pone al órgano de dirección a cargo. En un incidente de ransomware en curso hay tres decisiones que solo el órgano de dirección puede firmar: declarar un incidente significativo conforme al artículo 23, autorizar el gasto en respuesta a incidentes externa, y rechazar o considerar cualquier demanda de rescate. La decisión y su razonamiento tienen que documentarse en tiempo real. El registro de auditoría de la plataforma está construido para esto. El objetivo no es tener una respuesta perfecta en la hora dos. El objetivo es tener una decisión registrada por una persona responsable.

Vía 3

Cascada de notificación al regulador

El artículo 23 de NIS2 es una cascada de cuatro fases con relojes estrictos. Alerta temprana al CSIRT nacional o a la autoridad competente en un plazo de 24 horas desde que se tiene conocimiento. Notificación del incidente en un plazo de 72 horas con una evaluación inicial de la gravedad y el impacto y cualquier indicador de compromiso disponible. Actualización intermedia a petición de la autoridad. Informe final en un plazo de un mes. En Alemania esto pasa por el Meldeportal del BSI conforme al §32 BSIG. Si hay datos personales afectados, el artículo 33 del GDPR corre en paralelo con su propio reloj de 72 horas ante la autoridad de control de protección de datos. Los dos informes son separados y van a autoridades separadas.

Dos principios que deciden cómo transcurre el primer día
Ambos vienen directamente del BSI y del texto de la directiva.

Rapidez antes que exhaustividad

La posición del BSI es explícita: Schnelligkeit vor Vollständigkeit. La alerta temprana de 24 horas conforme al artículo 23(4) de NIS2 no es un informe completo. Es un aviso con lo que sabe. Le está permitido decir que el alcance aún no se conoce. No le está permitido esperar hasta que se conozca. Presentar una alerta temprana incompleta a tiempo y actualizarla más tarde es la vía conforme a la directiva. Esperar a tener claridad no lo es.

El pago es una decisión de negocio, no un atajo de cumplimiento

El BSI desaconseja pagar el rescate y la posición es clara en que los pagos de seguros no son una transferencia del riesgo en el sentido del artículo 21: pauschaler Risikotransfer ist ausgeschlossen. Pagar no extingue la obligación de notificación, no satisface la obligación de copia de seguridad recuperable del artículo 21(2)(c), y no detiene una investigación penal. La decisión de pagar o no es independiente de las cuatro vías paralelas anteriores y nunca las sustituye.

A quién llama realmente
Tres autoridades distintas para tres vías distintas. Cooperan pero no son el mismo canal.
Regulador

BSI y CERT-Bund (Alemania)

El Bundesamt für Sicherheit in der Informationstechnik es la autoridad competente para la notificación conforme a NIS2 en Alemania. Los informes conforme al §32 BSIG pasan por el Meldeportal del BSI en bsi.bund.de. CERT-Bund, dentro del BSI, gestiona la coordinación de la respuesta técnica. Para la capa de la UE, la red de CSIRT coordinada por ENISA es el canal ascendente entre los CSIRT nacionales.

Aplicación de la ley

BKA y unidades de cibercrimen de los LKA estatales

El ransomware es un delito conforme a los §202a, §202b, §303a y §303b StGB. La investigación penal se ejecuta por separado del informe regulatorio. Cada Oficina Estatal de Policía Criminal (LKA) tiene una Zentrale Ansprechstelle Cybercrime (ZAC). El BKA lleva la vía federal de cibercrimen. El §44 BSIG prevé explícitamente la cooperación del BSI con la aplicación de la ley, lo que significa que presentar ante uno no presenta ante el otro. Presentar una denuncia penal es una decisión separada que el órgano de dirección tiene que tomar.

Sector y datos

Regulador sectorial, autoridad de protección de datos, cadena de suministro

Tres canales adicionales pueden estar abiertos al mismo tiempo. Si hay datos personales afectados, la notificación del artículo 33 del GDPR a la autoridad de control de protección de datos competente corre en su propio reloj de 72 horas. Algunos sectores (energía, finanzas, salud) tienen notificación sectorial específica adicional conforme a sus propios regímenes que NIS2 preserva explícitamente. Y conforme al artículo 21(2)(d) de NIS2, el ransomware que afecta a un proveedor puede activar sus deberes contractuales de notificación a sus clientes, aunque no sea usted la entidad directamente afectada.

Trampas comunes
Tres modos de fallo observados en revisiones de incidentes publicadas y en la orientación del BSI.
  • Paga el rescate, obtén la clave, sigue adelante.

    El pago no cierra el expediente. La cascada de notificación del artículo 23 de NIS2 sigue corriendo. La obligación de copia de seguridad recuperable del artículo 21(2)(c) la sigue probando un auditor el año que viene y una recuperación pagada no es evidencia de ella. La autoridad de protección de datos seguirá preguntando conforme al artículo 33 del GDPR qué datos personales salieron del perímetro. Y en la mayoría de los casos publicados, los atacantes o vuelven por un segundo pago o venden el acceso a otro grupo de todos modos.

  • Apaga todo inmediatamente para detener la propagación.

    Apagar destruye la memoria volátil antes de que pueda tomarse imagen alguna. La evidencia forense que el BSI necesita para la alerta temprana, los indicadores de compromiso que el resto de su parque necesita, y los artefactos de los que depende una investigación penal están todos en la RAM en el momento del ataque. Aísle a nivel de red, preserve las imágenes de memoria y de disco, luego remedie. Los quince minutos de evidencia preservada valen más que los quince minutos de propagación evitada en segmentos ya aislados.

  • Esperar hasta conocer el alcance completo antes de presentar.

    El artículo 23(4) de NIS2 exige la alerta temprana en un plazo de 24 horas desde que se tiene conocimiento, no en un plazo de 24 horas desde la comprensión completa. La directiva permite explícitamente que la alerta temprana sea un cuadro parcial. Esperar más allá de la marca de 24 horas para tener claridad es la razón más común por la que las entidades incumplen el plazo. La posición del BSI, Schnelligkeit vor Vollständigkeit, es la intención de la directiva.

Visión del profesional: Maschinenbau de 180 empleados, hora a hora

Una empresa de ingeniería mecánica de 180 personas en Baden-Württemberg, clasificada como wichtige Einrichtung conforme a NIS2 porque el sector y la plantilla la sitúan dentro del ámbito de aplicación. 07:42 de un martes: el ERP de producción arroja errores de certificado, los recursos compartidos de archivos ilegibles, una nota de rescate en tres servidores. 07:58: el responsable de TI desconecta la VLAN afectada en el conmutador, deja las máquinas en marcha. 08:15: se informa al CEO, decide convocar al órgano de dirección dentro de la hora y activar el contrato de IR externo que la empresa tenía registrado. 09:30: órgano de dirección en una sala, tres decisiones documentadas en el registro de auditoría: declarar incidente significativo conforme al artículo 23, autorizar el encargo de IR, ninguna decisión de rescate aún. 10:40: el IR externo comienza el imaging de memoria en los hosts afectados. 12:15: alerta temprana de 24 horas presentada a través del Meldeportal del BSI conforme al §32 BSIG, indicando alcance desconocido, familia de ransomware sospechada, sin exfiltración de datos personales confirmada aún.

14:00: el delegado de protección de datos confirma que hay datos personales en dos de los recursos compartidos de archivos afectados. Notificación del artículo 33 del GDPR redactada, el reloj de 72 horas empieza a correr frente a la autoridad estatal de control de protección de datos. 16:30: copias de seguridad verificadas como limpias en infraestructura aislada, la restauración comienza en una VLAN separada. Al día siguiente: denuncia penal presentada ante la unidad estatal de cibercrimen del LKA. Día tres: notificación del incidente de 72 horas conforme al artículo 23 de NIS2 con un cuadro más nítido: vector de entrada inicial, alcance del cifrado, sin perturbación de servicios públicos (la empresa no presta servicios esenciales a terceros). En cuatro semanas: el informe final conforme al artículo 23(4)(d). Las copias de seguridad recuperables, las cuatro vías paralelas, las decisiones documentadas del órgano de dirección, y el registro de auditoría son lo que salvó a esta empresa. La postura de cifrado conforme al artículo 21(2)(i) es lo que limitó la exfiltración de datos. Nada de esto requirió un encargo de consultoría de seis cifras antes del incidente. Requirió cuatro cosas escritas en la pared: quién llama a quién, qué se notifica y cuándo, quién puede firmar qué decisión, y dónde están realmente las copias de seguridad recuperables.

Cómo ayuda la plataforma

La plataforma almacena las cuatro cosas escritas en la pared: la lista de contactos para el BSI, la autoridad de protección de datos y el LKA; las plantillas de notificación para la cascada de 24 / 72 horas / un mes conforme al artículo 23; la asignación de qué miembro del órgano de dirección puede firmar qué decisión; y el enlace a la evidencia de configuración de copias de seguridad exigida por el artículo 21(2)(c). Todo se captura en el registro de auditoría con marcas de tiempo de modo que el informe final posterior al incidente pueda producirse a partir de datos reales, no de memoria.

La plataforma es gratuita y de código abierto. No hay nivel de pago ni lock-in. El objetivo de esta página no es vender nada. Es asegurar que si un incidente de ransomware golpea la semana que viene, el órgano de dirección sepa qué cuatro llamadas hacer, en qué orden, en qué reloj.

Fuentes
  • Directiva (UE) 2022/2555 (NIS2): Artículo 20 (rendición de cuentas del órgano de dirección), Artículo 21(2)(c) e (i) (continuidad, copia de seguridad, recuperación, criptografía), Artículo 23 (cascada de notificación). EUR-Lex.
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo sección 11.6 (ransomware como categoría de incidente significativo para las entidades de infraestructura digital). EUR-Lex.
  • BSIG (Alemania): §30 (medidas de gestión de riesgos), §32 (Meldeportal del BSI), §44 (cooperación con la aplicación de la ley). Gesetze im Internet.
  • Reglamento (UE) 2016/679 (GDPR): Artículo 33 (notificación de una violación de datos personales a la autoridad de control). EUR-Lex.
  • BSI: paquetes de información de NIS2 sobre Schnelligkeit vor Vollständigkeit y la posición de que pauschaler Risikotransfer no sustituye a las medidas técnicas y organizativas. bsi.bund.de.
  • ENISA: coordinación de la red de CSIRT para incidentes transfronterizos. enisa.europa.eu.
Tenga las plantillas listas antes de necesitarlas
Plantillas de notificación, lista de contactos, registro de firmas del órgano de dirección y lista de comprobación de evidencia de copias de seguridad. Gratuito, de código abierto, sin lock-in.