Cumplimiento

Notificación de incidentes NIS2: plazos 24/72 h

Notificación de incidentes NIS2: las tres fases del art. 23 (alerta 24 h, notificación 72 h, informe 1 mes), a quién notificar en España y encaje con el RGPD.

También disponible en:English·Deutsch

En una frase. El art. 23 de NIS2 obliga a las entidades esenciales e importantes a notificar los incidentes significativos en tres fases: una alerta temprana en 24 horas, una notificación completa en 72 horas y un informe final en un mes. En España el destinatario es el CSIRT competente (INCIBE-CERT, CCN-CERT o ESPDEF-CERT según la entidad), y si el incidente afecta a datos personales, se suma la notificación a la AEPD.

Puntos clave

  • Tres plazos escalonados: 24 h (alerta), 72 h (notificación), 1 mes (informe final).
  • Solo se notifican los incidentes significativos, no cualquier anomalía.
  • Destinatario en España: INCIBE-CERT (privado), CCN-CERT (sector público) o ESPDEF-CERT (Defensa).
  • Si hay datos personales en riesgo, doble notificación: CSIRT (NIS2) + AEPD (RGPD).
  • Los relojes son distintos: 24 h de NIS2 frente a 72 h del RGPD.

1. Qué es un incidente significativo

No todo incidente de seguridad se notifica. El art. 23.3 NIS2 define como significativo el incidente que:

  • Haya causado o pueda causar una perturbación operativa grave de los servicios o pérdidas económicas para la entidad; o
  • Haya afectado o pueda afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables.

Los umbrales concretos se precisan en actos de ejecución de la Comisión para ciertos tipos de proveedores digitales, y en España se completarán con el desarrollo del marco de transposición. En la práctica: una caída puntual de cinco minutos sin impacto no se notifica; un ransomware que paraliza la operación, sí.

2. Las tres fases del art. 23

Este es el corazón del régimen y donde más equipos fallan por desconocer los plazos.

Fase 1 — Alerta temprana: 24 horas

Dentro de las 24 horas siguientes a tener constancia del incidente, la entidad envía una alerta temprana al CSIRT. Es una comunicación breve: indica si el incidente puede deberse a actos ilícitos o malintencionados y si puede tener impacto transfronterizo. No exige aún un análisis completo; es un aviso para activar la respuesta.

Fase 2 — Notificación: 72 horas

Dentro de las 72 horas, una notificación que actualiza la alerta con una evaluación inicial del incidente: gravedad, impacto, y en su caso indicadores de compromiso. Aquí ya se espera un diagnóstico razonable de lo ocurrido.

Fase 3 — Informe final: 1 mes

En el plazo de un mes desde la notificación, un informe final con la descripción detallada del incidente, su tipo de amenaza y causa raíz, las medidas de mitigación aplicadas y, si procede, su impacto transfronterizo. Si el incidente sigue en curso, se presenta un informe de situación y el final cuando se resuelva.

Tabla resumen de las fases:

Fase Plazo Contenido
Alerta temprana 24 h Aviso inicial; ¿acto malicioso?, ¿impacto transfronterizo?
Notificación 72 h Evaluación inicial: gravedad, impacto, IoC
Informe intermedio A petición Estado de la respuesta
Informe final 1 mes Causa raíz, mitigación, impacto

3. A quién se notifica en España

España canaliza la notificación a través de sus CSIRT de referencia, según el tipo de entidad:

  • INCIBE-CERT: entidades del sector privado y ciudadanos. Es el CSIRT de referencia para la mayoría de empresas.
  • CCN-CERT: sector público y entidades del ámbito del Esquema Nacional de Seguridad.
  • ESPDEF-CERT: entidades vinculadas al Ministerio de Defensa.

La plataforma de notificación y el reparto exacto de competencias se concretan en el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Para saber si tu organización está obligada, revisa entidades esenciales e importantes.

4. El solapamiento con el RGPD: dos relojes a la vez

Cuando el incidente afecta a datos personales —lo habitual en un ransomware o una exfiltración—, se activan dos regímenes en paralelo:

  • NIS2: alerta al CSIRT en 24 horas.
  • RGPD: notificación de brecha de seguridad a la AEPD en 72 horas (art. 33) y comunicación a los afectados si el riesgo es alto (art. 34).

El error clásico es aplicar solo el reloj de 72 horas del RGPD y perder el plazo de 24 horas de NIS2. La comparación completa de ambos marcos está en NIS2 vs RGPD. Para el sector financiero, además, DORA impone su propio calendario de notificación (véase DORA vs NIS2).

5. Cómo prepararse: el procedimiento interno

Cumplir estos plazos no se improvisa a las 3 de la madrugada de un ataque. Necesitas un procedimiento interno de gestión de incidentes que, desde el minuto cero, contemple los tres relojes (NIS2 24 h, RGPD 72 h y, si aplica, DORA) y asigne responsables, plantillas y canales.

Los pilares:

  1. Detección y clasificación rápida: ¿es significativo?, ¿hay datos personales?
  2. Activación paralela de las notificaciones que correspondan.
  3. Registro documental de todo el ciclo, imprescindible para el informe final y para acreditar diligencia.

Ese registro documental es también la base del cumplimiento del RGPD. Mantener el inventario de activos, el mapa de responsables y la trazabilidad de la respuesta en una herramienta de cumplimiento como Legiscope evita empezar de cero cuando el reloj ya corre.

El error de cálculo más caro: quién empieza a contar. El plazo de 24 horas no arranca cuando termina el análisis forense, sino cuando la entidad tiene constancia del incidente. Ese matiz destroza a los equipos que esperan a “entenderlo todo” antes de avisar. NIS2 asume que la alerta temprana se envía con información incompleta —de eso se trata—: sirve para activar al CSIRT y a la red de respuesta, no para entregar un informe cerrado. Retrasar la alerta con la excusa de que aún no se conocen el alcance ni la causa es precisamente lo que la norma quiere evitar.

Por eso la práctica recomendable es tener predefinido el umbral de decisión: qué señales convierten un incidente en “significativo” y disparan el reloj. Cuando ese criterio está escrito y el equipo de guardia lo conoce, la decisión de notificar deja de improvisarse a medianoche. Si no lo está, se pierde el plazo o se notifica de más, saturando al CSIRT con ruido.

Coordinación transfronteriza. Un incidente que afecta a servicios prestados en varios Estados miembros activa la cooperación entre CSIRT a través de la red europea. La entidad notifica a su CSIRT nacional, pero la información puede compartirse con las autoridades de otros países afectados y, cuando proceda, con ENISA. Para grupos con filiales en la UE, esto significa que el diseño del procedimiento de notificación debe contemplar no solo España, sino los puntos de contacto de cada jurisdicción donde operan, evitando notificaciones descoordinadas que dejen huecos o dupliquen esfuerzos.

6. Recursos oficiales

Véase también: NIS2 en el sector sanitario, NIS2 en el sector energético y pruebas de resiliencia DORA (TLPT).

FAQ

¿Cuáles son los plazos de notificación de NIS2?

Tres: alerta temprana en 24 horas, notificación completa en 72 horas e informe final en un mes desde la notificación (art. 23 NIS2). Si el incidente sigue abierto, se presenta un informe de situación.

¿Tengo que notificar todos los incidentes de seguridad?

No. Solo los significativos: los que causen o puedan causar una perturbación operativa grave, pérdidas económicas relevantes o daños considerables a terceros. Una anomalía menor sin impacto no se notifica.

¿A quién notifico en España?

Al CSIRT de referencia: INCIBE-CERT para el sector privado, CCN-CERT para el sector público y ESPDEF-CERT para Defensa. El reparto se cierra con la ley de transposición.

¿Y si el incidente afecta a datos personales?

Se activan dos obligaciones a la vez: la alerta de 24 h al CSIRT (NIS2) y la notificación de brecha en 72 h a la AEPD (RGPD), más la comunicación a los afectados si el riesgo es alto.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →