ISMS Copilot
NIS2 con IA

Cómo implementar el reporte de incidentes NIS2 mediante IA

Descripción general

Aprenderá a utilizar la IA para desarrollar una capacidad completa de notificación de incidentes NIS2 alineada con el Artículo 23. Esta guía cubre los criterios de significatividad de los incidentes, el flujo de trabajo obligatorio de notificación (24 horas/72 horas/un mes), plantillas de alerta temprana, formatos de notificación de incidentes con indicadores de compromiso (IOC), estructura del informe final con análisis de causa raíz, notificación voluntaria de amenazas y cuasi incidentes, e integración con su CSIRT nacional.

A quién va dirigido

Esta guía es para:

  • Responsables de respuesta a incidentes y líderes de SOC que desarrollan flujos de trabajo de notificación conformes con NIS2

  • CISOs responsables de establecer capacidades de notificación de incidentes que cumplan con los plazos del Artículo 23

  • Responsables de cumplimiento que necesiten asegurar que los procedimientos de notificación satisfagan a las autoridades de control

  • Consultores de seguridad que implementan la notificación de incidentes para clientes en sectores regulados por NIS2

  • Miembros de los órganos de dirección que deben comprender sus obligaciones de notificación y responsabilidades de supervisión

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Su clasificación de entidad NIS2 (esencial o importante); consulte Cómo empezar la implementación de NIS2 mediante IA

  • Datos de contacto de su CSIRT nacional y de la autoridad competente

  • Su Política de Respuesta a Incidentes (consulte Cómo crear políticas de ciberseguridad NIS2 mediante IA para obtener orientación sobre su generación)

  • Comprensión de sus servicios y sistemas críticos a partir de su evaluación de riesgos (consulte Cómo realizar una evaluación de riesgos NIS2 mediante IA)

Se aplican plazos estrictos: El Artículo 23 de NIS2 exige una alerta temprana a las 24 horas, una notificación de incidente a las 72 horas y un informe final al mes para incidentes significativos. El incumplimiento de estos plazos puede dar lugar a sanciones de hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales. Crear flujos de trabajo de notificación sólidos antes de que ocurra un incidente no es opcional: es una necesidad de cumplimiento.

Comprensión de los requisitos de notificación de incidentes de NIS2

Lo que exige el Artículo 23

El artículo 23 de la Directiva NIS2 establece un marco de notificación en varias etapas para incidentes significativos. Cada etapa tiene requisitos de contenido y plazos específicos.

Etapa de notificación

Plazo

Requisitos de contenido

Destinatario

Alerta temprana

En un plazo de 24 horas tras tener conocimiento

Indicación de si se sospecha que el incidente ha sido causado por actos ilícitos o malintencionados; indicación de si podría tener un impacto transfronterizo

CSIRT nacional o autoridad competente

Notificación de incidente

En un plazo de 72 horas tras tener conocimiento

Actualización de la alerta temprana; evaluación inicial de la gravedad y el impacto; indicadores de compromiso (IOC) cuando estén disponibles

CSIRT nacional o autoridad competente

Informe intermedio

A petición del CSIRT o de la autoridad competente

Actualizaciones de estado pertinentes sobre la gestión del incidente y la recuperación

CSIRT nacional o autoridad competente

Informe final

En el plazo de un mes tras la notificación del incidente

Descripción detallada del incidente, incluyendo gravedad e impacto; tipo de amenaza o causa raíz; medidas de mitigación aplicadas y en curso; impacto transfronterizo (si procede)

CSIRT nacional o autoridad competente

Informe de progreso (para incidentes en curso)

Al cumplirse el mes si el incidente sigue en curso

Actualización del progreso en lugar del informe final; informe final debido en el plazo de un mes tras la resolución del incidente

CSIRT nacional o autoridad competente

El reloj empieza al tener conocimiento: Los plazos de 24 y 72 horas comienzan en el momento en que la entidad tiene conocimiento del incidente significativo, no cuando se confirma o analiza por completo. Esto significa que sus procesos de detección y triaje deben ser lo suficientemente rápidos para identificar posibles incidentes significativos y activar la notificación en cuestión de horas.

Qué hace que un incidente sea "significativo"

El artículo 23, apartado 3, define un incidente significativo como aquel que:

  • (a) Haya causado o pueda causar una perturbación operativa grave de los servicios o pérdidas financieras para la entidad afectada

  • (b) Haya afectado o pueda afectar a otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables

La Comisión Europea puede especificar más detalladamente los criterios de significatividad de los incidentes mediante actos de ejecución. Las leyes nacionales de transposición también pueden definir umbrales adicionales o más específicos. Su organización debe establecer criterios de clasificación internos que se ajusten a estas definiciones.

Notificación voluntaria

El Artículo 23 también fomenta la notificación voluntaria de:

  • Cuasi incidentes (incidentes que podrían haber causado un impacto significativo pero que fueron evitados o detectados a tiempo)

  • Ciberamenazas significativas que podrían causar potencialmente incidentes significativos

  • Información que podría ayudar a prevenir o responder a incidentes que afecten a otras entidades

Paso 1: Desarrolle su matriz de clasificación de incidentes

Definición de umbrales de significatividad

Antes de poder notificar incidentes, necesita criterios claros y unívocos para determinar cuándo un incidente cruza el umbral de "significativo" y activa las obligaciones de notificación de NIS2.

  1. Generar la matriz de clasificación:

    "Crea una matriz integral de clasificación de incidentes para el cumplimiento del Artículo 23 de NIS2 en nuestra organización del [sector] (clasificada como entidad [esencial/importante]). La matriz debe incluir: cuatro niveles de gravedad (Crítico, Alto, Medio, Bajo) con criterios claros para cada uno. Para cada nivel, define: umbrales de impacto operativo (duración de la interrupción del servicio, porcentaje de usuarios afectados, nivel de degradación), umbrales de impacto financiero (costes directos, posibles sanciones regulatorias, pérdida de ingresos), umbrales de impacto en los datos (registros expuestos, tipos de datos afectados, impacto en confidencialidad/integridad/disponibilidad), impacto en terceros (número de entidades afectadas, potencial de impacto en todo el sector) e impacto reputacional. Marca claramente qué niveles de gravedad constituyen un 'incidente significativo' según el Artículo 23(3) y activan la notificación obligatoria. Incluye ejemplos específicos para el [sector]."

  2. Crear el árbol de decisión de triaje:

    "Crea un árbol de decisión para que el personal de primera respuesta determine rápidamente si un incidente es 'significativo' bajo NIS2 Artículo 23 y requiere notificación. El árbol de decisión debe poder utilizarse en los 30 minutos siguientes a la detección del incidente. Incluye preguntas de sí/no que cubran: (1) ¿Está afectada o en riesgo la prestación del servicio? (2) ¿Afecta el incidente a sistemas o datos críticos? (3) ¿Podría impactar a otras entidades o personas? (4) ¿Hay evidencia de actividad maliciosa o ilícita? (5) ¿Podría haber un impacto transfronterizo? Mapea cada camino a un nivel de clasificación y a las acciones de respuesta requeridas."

  3. Generar ejemplos de significatividad específicos del sector:

    "Genera 15 escenarios de incidentes realistas para una organización del [sector] y clasifica cada uno como significativo o no significativo según NIS2 Artículo 23(3). Para cada escenario, explica la lógica de la clasificación. Incluye escenarios limítrofes para ilustrar dónde se necesitan juicios de valor. Esto servirá como referencia de formación para nuestro equipo de respuesta a incidentes."

En caso de duda, notifique: Las consecuencias de una notificación tardía son más graves que las de notificar un incidente que resulta no ser significativo. Si existe alguna posibilidad razonable de que un incidente cumpla los criterios de significatividad, inicie la alerta temprana de 24 horas. Puede actualizar la clasificación en las notificaciones posteriores.

Paso 2: Crear el flujo de trabajo y la plantilla de alerta temprana de 24 horas

Comprensión de los requisitos de alerta temprana

La alerta temprana es su primera comunicación al CSIRT nacional o a la autoridad competente. Debe enviarse en un plazo de 24 horas tras tener conocimiento de un incidente significativo. Los requisitos de contenido son deliberadamente mínimos para permitir una notificación rápida; no se espera que tenga una visión completa en esta etapa.

  1. Generar la plantilla de alerta temprana:

    "Crea una plantilla de informe de alerta temprana del Artículo 23 de NIS2 para nuestra organización del [sector]. La plantilla debe incluir todos los campos requeridos en el plazo de 24 horas: identificación de la entidad informante (nombre, número de registro NIS2, sector, clasificación de la entidad), identificador del incidente (número de referencia interno), fecha y hora de conocimiento, breve descripción del incidente (qué ocurrió, qué sistemas/servicios están afectados), si se sospecha que el incidente fue causado por actos ilícitos o malintencionados (sí/no/desconocido con justificación), si podría tener impacto transfronterizo (sí/no/desconocido con justificación), evaluación inicial del alcance (servicios afectados, alcance geográfico), persona de contacto para el seguimiento (nombre, cargo, teléfono, correo electrónico, canal de comunicación seguro) y cualquier acción inmediata tomada. Formatea como un formulario que se pueda completar en 15 minutos."

  2. Desarrollar el flujo de trabajo de alerta temprana:

    "Crea un flujo de trabajo paso a paso para enviar la alerta temprana de 24 horas de NIS2, desde la detección del incidente hasta el envío del informe. Incluye: (1) detección y triaje inicial (objetivo: 2 horas), (2) evaluación de significatividad mediante nuestra matriz de clasificación (objetivo: 1 hora), (3) notificación al responsable de incidentes y al enlace con el CSIRT (objetivo: 30 minutos), (4) cumplimentación del informe de alerta temprana (objetivo: 30 minutos), (5) aprobación interna (CISO o autoridad designada) (objetivo: 1 hora), (6) envío al CSIRT nacional a través de [especificar canal], (7) documentación interna y seguimiento. Incluye objetivos de tiempo para cada paso que aseguren el cumplimiento del plazo de 24 horas con margen. Especifica quién es responsable de cada paso, procedimientos de escalada si las personas responsables no están disponibles y procedimientos fuera del horario laboral."

24 horas significa 24 horas: El reloj corre continuamente desde el momento del conocimiento, incluidos fines de semana, festivos y horas no laborables. Su flujo de trabajo debe incluir procedimientos para fuera del horario de oficina y fines de semana con personal de guardia designado y autorizado para enviar alertas tempranas. Un incidente significativo un viernes a las 23:00 aún requiere notificación antes de las 23:00 del sábado.

Paso 3: Crear el flujo de trabajo y la plantilla de notificación de incidente de 72 horas

Comprensión de los requisitos de notificación

La notificación de incidente de 72 horas actualiza la alerta temprana con detalles adicionales. En esta etapa, su investigación debería haber avanzado lo suficiente como para proporcionar una evaluación inicial de la gravedad, el impacto e indicadores de compromiso.

  1. Generar la plantilla de notificación de incidente:

    "Crea una plantilla de notificación de incidente del Artículo 23 de NIS2 (informe de 72 horas) para nuestra organización. Incluye todos los campos requeridos: referencia al informe de alerta temprana, descripción actualizada del incidente con detalles adicionales, evaluación inicial de la gravedad del incidente (usando nuestra matriz de clasificación), evaluación del impacto (servicios afectados, número de usuarios/entidades impactadas, duración de la interrupción, indicadores de compromiso (IOC) cuando estén disponibles: direcciones IP, dominios, hashes de archivos, firmas de malware, TTP (tácticas, técnicas y procedimientos) observados), identificación del vector de ataque (si se conoce), sistemas y redes afectados, medidas iniciales de contención y mitigación tomadas, evaluación del impacto transfronterizo, evaluación de si fue causado por actos ilícitos o malintencionados y cualquier asistencia solicitada al CSIRT. Incluye una sección de apéndice para detalles técnicos de los IOC."

  2. Desarrollar el procedimiento de recopilación de IOC:

    "Crea un procedimiento para recopilar y formatear indicadores de compromiso (IOC) para la notificación de incidentes NIS2. Cubre: tipos de IOC a recopilar (red, host, correo electrónico, archivos), métodos y herramientas de recopilación, preservación de evidencia y cadena de custodia, estándares de formato de IOC (STIX/TAXII si aplica), clasificación de IOC (marcado TLP - Protocolo del Semáforo), qué incluir en el informe de 72 horas frente a qué compartir por separado con el CSIRT, y cómo manejar IOC sensibles que podrían revelar la arquitectura interna."

  3. Desarrollar el flujo de trabajo de notificación de 72 horas:

    "Crea un flujo de trabajo detallado para la notificación de incidente NIS2 de 72 horas. Incluye: actividades de investigación a completar en el plazo de 72 horas (análisis de logs, triaje forense, extracción de IOC, evaluación de impacto), pasos de recogida y preservación de pruebas, proceso de redacción del informe con aportaciones del equipo técnico/legal/comunicación, cadena de revisión y aprobación interna, procedimiento de envío al CSIRT nacional, notificación a las partes interesadas (órgano de dirección, partes afectadas, fuerzas del orden si procede) y requisitos de documentación. Especifica roles, objetivos de tiempo y procedimientos de escalada."

Paso 4: Crear el flujo de trabajo y la plantilla del informe final de un mes

Comprensión de los requisitos del informe final

El informe final es el envío más completo y debe incluir una descripción detallada del incidente, el análisis de la causa raíz y las medidas de mitigación. Si el incidente sigue en curso al cumplirse el mes, envíe un informe de progreso y entregue el informe final en el plazo de un mes tras la resolución del incidente.

  1. Generar la plantilla del informe final:

    "Crea una plantilla de informe final de incidente del Artículo 23 de NIS2 para nuestra organización del [sector]. Incluye todas las secciones requeridas: (1) Resumen Ejecutivo (visión general de una página para la dirección y la autoridad), (2) Cronología del Incidente (secuencia cronológica desde los primeros indicadores hasta la detección, notificación, contención, erradicación y recuperación, con marcas de tiempo), (3) Descripción Detallada del Incidente (sistemas afectados, vector de ataque, evaluación del actor de la amenaza, datos afectados), (4) Evaluación de Gravedad e Impacto (evaluación final del impacto operativo, financiero, de datos y a terceros usando nuestra matriz), (5) Análisis de Causa Raíz (causa raíz técnica, factores contribuyentes, debilidades sistémicas que permitieron el incidente), (6) Indicadores de Compromiso (lista completa de IOC con clasificaciones), (7) Medidas de Mitigación Aplicadas (contención inmediata, acciones de erradicación, pasos de recuperación), (8) Medidas de Mitigación en Curso (correcciones a largo plazo, mejoras de control, mejoras de monitorización), (9) Evaluación del Impacto Transfronterizo, (10) Lecciones Aprendidas y Recomendaciones Preventivas, (11) Apéndices (evidencia técnica, detalles de cronología, detalles de IOC). Formatea para el envío al CSIRT nacional."

  2. Generar la metodología de análisis de causa raíz:

    "Crea una metodología de análisis de causa raíz (RCA) para los informes finales de incidentes de NIS2. Incluye: técnicas de RCA adecuadas para incidentes de ciberseguridad (Los 5 Porqués, Diagrama de Ishikawa/Espina de Pescado, Análisis del Árbol de Fallos), cómo distinguir entre causa inmediata y causa raíz, plantilla para documentar el proceso y los hallazgos de RCA, cómo identificar factores contribuyentes (técnicos, de proceso, humanos, organizativos), cómo derivar acciones correctivas y preventivas de las causas raíz, y cómo presentar los hallazgos de RCA tanto a audiencias técnicas como al órgano de dirección."

  3. Desarrollar la plantilla del informe de progreso para incidentes en curso:

    "Crea una plantilla de informe de progreso NIS2 para incidentes que sigan activos al mes de su notificación. Incluye: referencia a la alerta temprana y notificación originales, estado actual del incidente y fase de respuesta, evaluación de impacto actualizada, acciones tomadas desde el último informe, medidas de contención y erradicación en curso, cronograma estimado para la resolución y cualquier actualización de IOC o inteligencia de amenazas."

La calidad importa: El informe final es el documento que las autoridades de control examinarán con más atención. Un análisis exhaustivo de la causa raíz que identifique debilidades sistémicas y proponga acciones correctivas concretas demuestra una gestión de incidentes madura. Un informe superficial que atribuya el incidente a un único punto de fallo sin explorar factores contribuyentes atraerá un escrutinio adicional.

Paso 5: Desarrollar playbooks de respuesta a incidentes

Playbooks específicos para escenarios con notificación NIS2 integrada

Los playbooks traducen su política de respuesta a incidentes y sus flujos de trabajo de notificación en procedimientos específicos y accionables para tipos comunes de incidentes. Cada playbook debe integrar los hitos de notificación de NIS2 en el flujo de respuesta.

  1. Generar un playbook de ransomware:

    "Crea un playbook integral de respuesta a incidentes de ransomware para nuestra organización del [sector] con la notificación del Artículo 23 de NIS2 integrada. Incluye: disparadores de detección e indicadores iniciales, acciones de contención inmediata (aislamiento de red, rotación de credenciales), evaluación de significatividad NIS2 (un ransomware que afecta a servicios esenciales/importantes es casi siempre significativo), activador y cumplimentación de la alerta temprana de 24 horas, preservación de evidencia (no apagar sistemas cifrados, captura de memoria), pasos de investigación forense, extracción de IOC para la notificación de 72 horas, pasos de erradicación (eliminación de malware, cierre del vector de acceso), recuperación desde copias de seguridad offline, evaluación de exfiltración de datos, cumplimentación de la notificación de 72 horas con IOC, coordinación con fuerzas del orden, marco de decisión sobre pago de rescate, verificación de restauración del servicio, informe final de un mes con análisis de causa raíz y mejoras post-incidente."

  2. Generar un playbook de brecha de datos:

    "Crea un playbook de respuesta a incidentes de brecha de datos con la notificación de NIS2 Artículo 23 y RGPD Artículo 33/34 integrada. Cubre: detección y evaluación de exposición de datos, determinación del alcance (qué datos, cuántos registros, qué categorías), evaluación de significatividad NIS2, alerta temprana de 24 horas, contención del acceso no autorizado, evaluación de notificación RGPD 72 horas (paralela a NIS2), recopilación de IOC y notificación NIS2 de 72 horas, evaluación de notificación a interesados (RGPD Art. 34), investigación forense y preservación de pruebas, informe final NIS2 de un mes y coordinación entre la notificación al CSIRT de NIS2 y a la autoridad de protección de datos del RGPD."

  3. Generar un playbook de ataque DDoS:

    "Crea un playbook de respuesta a incidentes DDoS para nuestra organización del [sector] con notificación NIS2. Cubre: detección (anomalías de tráfico, monitorización de degradación del servicio), evaluación inicial (ataque volumétrico, de protocolo o de capa de aplicación), evaluación de significatividad NIS2 (¿se ve afectada la prestación del servicio a usuarios/entidades dependientes?), alerta temprana de 24 horas si es significativo, activación de mitigación DDoS (filtrado upstream, CDN, servicios de scrubbing), monitorización continua del servicio, recopilación de IOC (IPs de origen, firmas de ataque, patrones), notificación de 72 horas si procede, investigación de DDoS como distracción para un ataque secundario y análisis post-incidente."

  4. Generar un playbook de compromiso de la cadena de suministro:

    "Crea un playbook de respuesta a incidentes de compromiso de la cadena de suministro con notificación NIS2. Cubre: detección de compromiso del proveedor (notificación del proveedor, comportamiento anómalo de software/servicios de confianza), evaluación del impacto en nuestros sistemas y datos, evaluación de significatividad NIS2 (el compromiso de la cadena de suministro suele tener implicaciones transfronterizas), alerta temprana de 24 horas con evaluación de impacto transfronterizo, contención (aislar conexiones del proveedor afectado, revocar credenciales, bloquear actualizaciones comprometidas), coordinación con el proveedor comprometido, evaluación de movimiento lateral, extracción y compartición de IOC, notificación de 72 horas, notificación a entidades dependientes a las que servimos e informe final de un mes con lecciones aprendidas de la cadena de suministro."

  5. Generar playbooks específicos para el sector:

    "Crea un playbook de respuesta a [compromiso de OT/ICS | interrupción del sistema sanitario | brecha del sistema financiero | incidente en la red energética] específico para nuestro [sector] con la notificación NIS2 integrada. Aborda consideraciones sectoriales como [implicaciones de seguridad física, impacto en pacientes, estabilidad del mercado financiero, continuidad del suministro energético] y la coordinación con las autoridades sectoriales específicas."

Ejercicios de simulación (Tabletop): Tras generar sus playbooks, utilice ISMS Copilot para crear escenarios de ejercicios de simulación que pongan a prueba la capacidad de su equipo para seguir los playbooks y cumplir los plazos de notificación de NIS2. Pregunte: "Crea un escenario de ejercicio tabletop para un incidente de [ransomware/brecha de datos/cadena de suministro] en una organización del [sector]. Incluye una cronología de eventos (injects), acciones esperadas en cada etapa, puntos de decisión de notificación NIS2 y criterios de evaluación."

Paso 6: Establecer la integración con el CSIRT y los canales de comunicación

Conexión con su CSIRT nacional

NIS2 exige la notificación a su CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) nacional o a la autoridad competente designada. Cada Estado miembro de la UE ha designado autoridades específicas y establecido mecanismos de notificación.

  1. Identificar su autoridad de notificación:

    "Ayúdame a identificar la autoridad competente de NIS2 y el CSIRT para [Estado miembro]. Proporciona: el nombre oficial y la información de contacto, el portal de notificación o método de envío, cualquier formato de informe específico requerido por la ley de transposición de este Estado miembro, los requisitos de registro y cualquier canal de notificación sectorial que pueda aplicarse a nuestro [sector]."

  2. Crear el procedimiento de comunicación con el CSIRT:

    "Crea un procedimiento de comunicación con el CSIRT para nuestra notificación de incidentes NIS2. Cubre: métodos de envío principales y de respaldo (portal online, correo electrónico, teléfono), canales de comunicación seguros para compartir IOC sensibles, personas de enlace designadas con el CSIRT (principal y suplente, con cobertura 24/7), procedimientos de escalada si los canales de comunicación del CSIRT no están disponibles, gestión de la orientación e instrucciones recibidas del CSIRT durante la respuesta al incidente, clasificación y manejo de la información (qué se puede compartir, marcados TLP) y coordinación con el CSIRT para incidentes que afecten a múltiples entidades."

Apoyo del CSIRT: Su CSIRT nacional no es solo un receptor de informes, sino también un recurso durante los incidentes. Los CSIRT pueden proporcionar asistencia técnica, inteligencia de amenazas, coordinación con otras entidades afectadas y orientación específica del sector. Establezca la relación antes de necesitarla; no realice su primer contacto durante una crisis.

Paso 7: Desarrollar procedimientos de notificación voluntaria

Notificación de cuasi incidentes y amenazas

NIS2 fomenta (pero no obliga) la notificación voluntaria de cuasi incidentes, ciberamenazas significativas e información que pueda ayudar a prevenir incidentes que afecten a otras entidades. Establecer la notificación voluntaria demuestra una gobernanza de seguridad madura y genera confianza con las autoridades supervisoras.

  1. Generar un procedimiento de notificación voluntaria:

    "Crea un procedimiento de notificación voluntaria de incidentes y amenazas para el cumplimiento de NIS2. Cubre: definición de cuasi incidentes notificables (incidentes prevenidos por controles, campañas de phishing detectadas, intentos de intrusión bloqueados), definición de amenazas notificables (inteligencia sobre amenazas inminentes para nuestro sector, vulnerabilidades recién descubiertas en sistemas ampliamente utilizados), formato de notificación para avisos voluntarios (más ligero que los informes obligatorios, centrado en inteligencia accionable), proceso interno para decidir cuándo enviar informes voluntarios, consideraciones de anonimización cuando proceda y beneficios de la notificación voluntaria (relación con el CSIRT, intercambio de inteligencia sectorial)."

Paso 8: Implementar métricas de notificación y mejora continua

Medición de la eficacia de la notificación de incidentes

El Artículo 21(2)(f) exige la evaluación de la eficacia de sus medidas de ciberseguridad. Su capacidad de notificación de incidentes debe medirse y mejorarse regularmente.

  1. Definir KPI de notificación:

    "Crea un conjunto de KPIs para medir la eficacia de nuestra capacidad de notificación de incidentes NIS2. Incluye: tiempo medio de detección de incidentes significativos, tiempo medio desde la detección hasta el envío de la alerta temprana, porcentaje de alertas tempranas enviadas en 24 horas, porcentaje de notificaciones enviadas en 72 horas, porcentaje de informes finales enviados en un mes, puntuación de calidad por integridad y precisión de los informes, número de incidentes correctamente clasificados como significativos frente a no significativos, puntuaciones de rendimiento en ejercicios tabletop, tiempo para establecer comunicación con el CSIRT durante incidentes y frecuencia de notificación al órgano de dirección sobre métricas de incidentes."

  2. Crear el procedimiento de revisión post-incidente:

    "Crea un procedimiento de revisión post-incidente que evalúe específicamente nuestro rendimiento en la notificación NIS2. Después de cada incidente significativo (y de incidentes no significativos seleccionados), revisa: (1) ¿se clasificó correctamente el incidente por su significatividad NIS2? (2) ¿se cumplieron todos los plazos de notificación? (3) ¿era el contenido del informe completo y preciso? (4) ¿fue eficaz la comunicación con el CSIRT? (5) ¿se notificó adecuadamente a todos los interesados internos? (6) ¿qué mejoras se necesitan en nuestros flujos de detección, triaje o notificación? Documenta los hallazgos y realiza un seguimiento de las acciones correctivas."

Informes al órgano de dirección: Según el Artículo 20, el órgano de dirección debe supervisar la implementación de las medidas de ciberseguridad. Esto incluye la notificación de incidentes. Establezca una cadencia regular (trimestral como mínimo) para informar sobre métricas de incidentes, incidentes significativos y rendimiento de la notificación al órgano de dirección. Documente estas sesiones en las actas del consejo.

Desafíos comunes en la notificación de incidentes y soluciones

Desafío

Riesgo

Solución

Criterios de significatividad poco claros

Notificación tardía o exceso de notificaciones

Implementar la matriz de clasificación y el árbol de decisión con ejemplos específicos del sector

Sin cobertura fuera del horario laboral

Incumplimiento del plazo de 24 horas para incidentes detectados fuera del horario comercial

Establecer turnos de guardia 24/7 con autoridad para enviar alertas tempranas

Brechas en la recopilación de IOC

Notificación de 72 horas incompleta

Integrar la recopilación de IOC en los procedimientos forenses estándar; preconfigurar herramientas de recopilación

Profundidad del análisis de causa raíz

Informes finales que no satisfacen a las autoridades de control

Utilizar una metodología de RCA estructurada; mirar más allá de la causa inmediata hacia factores sistémicos

Coordinación RGPD/NIS2

Notificaciones duplicadas o contradictorias a diferentes autoridades

Crear un flujo de trabajo de notificación unificado que aborde los requisitos de NIS2 y RGPD

Fallo de comunicación con el CSIRT

No se pueden enviar informes durante un incidente grave

Establecer canales de comunicación de respaldo; probarlos regularmente

Preocupaciones legales sobre la divulgación

Retraso en la notificación debido a cuellos de botella en la revisión legal

Preaprobar plantillas de notificación; involucrar al departamento legal en el desarrollo de playbooks, no en la aprobación caso por caso

Próximos pasos

Con su capacidad de notificación de incidentes establecida, ha abordado una de las áreas más críticas y escrutadas del cumplimiento de NIS2.

Continúe con la siguiente guía de esta serie:

  • Seguridad en la cadena de suministro: Consulte Cómo gestionar la seguridad de la cadena de suministro NIS2 mediante IA para desarrollar la capacidad de gestión de riesgos de la cadena de suministro exigida por el Artículo 21(2)(d), incluyendo cómo los incidentes de la cadena de suministro alimentan sus flujos de trabajo de notificación.

Si aún no ha completado los pasos anteriores, consulte:

  • Cómo empezar la implementación de NIS2 mediante IA para la configuración del alcance y la gobernanza

  • Cómo realizar una evaluación de riesgos NIS2 mediante IA para la evaluación de riesgos que informa su clasificación de incidentes

  • Cómo crear políticas de ciberseguridad NIS2 mediante IA para el marco de políticas que rige su respuesta ante incidentes

Para obtener prompts de notificación de incidentes listos para usar, explore la Biblioteca de Prompts de la Directiva NIS2. Para una visión general completa de todos los requisitos de NIS2, consulte la Guía de cumplimiento de NIS2 para empresas dentro del alcance.

Cómo obtener ayuda

Para obtener asistencia adicional con la notificación de incidentes de NIS2:

  • Pregunte a ISMS Copilot: Utilice su espacio de trabajo NIS2 para preguntas sobre notificación de incidentes, personalización de plantillas y desarrollo de playbooks

  • Simule incidentes: Pida a ISMS Copilot que genere escenarios de incidentes realistas para ejercicios de simulación y formación de equipos

  • Revise informes: Suba borradores de informes de incidentes y solicite una revisión de su integridad frente a los requisitos del Artículo 23

  • Requisitos nacionales: Pregunte sobre formatos de informe específicos, portales o requisitos adicionales impuestos por la ley de transposición de su Estado miembro

¿Está listo para desarrollar su capacidad de notificación de incidentes NIS2? Abra su espacio de trabajo NIS2 en chat.ismscopilot.com y comience por generar su matriz de clasificación de incidentes. A partir de ahí, desarrolle sus plantillas de notificación y playbooks de forma sistemática. Con ISMS Copilot, puede desarrollar un flujo de trabajo de notificación de incidentes completo y probado en días en lugar de meses.

¿Te fue útil?