Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Todos los artículos
KRITIS · Ley Marco · NIS-2

Notificación NIS-2: cumplir el plazo de 24 horas

Notificación NIS-2 al detalle: alerta temprana 24h, informe 72h, informe final. Cadena de notificación, sanciones y plan de 90 días para CISO.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Inversor y autor · Founding Partner
Seguir en LinkedIn

La obligación de notificación NIS-2 tiene en la práctica tres plazos, no uno. Quien confunde 24 horas, 72 horas y un mes se expone a multas y responsabilidad personal. Este artículo separa las fases y muestra la cadena de notificación desde el sensor hasta el portal del BSI.

Notificación NIS-2: los tres plazos en panorámica

La Directiva (UE) 2022/2555 prescribe un procedimiento de notificación en tres fases: alerta temprana en 24 horas, notificación del incidente en 72 horas, informe final en un mes (EUR-Lex, Directiva 2022/2555).

Fase 1, alerta temprana. En las 24 horas siguientes a tener conocimiento de un incidente significativo, debe remitirse una primera notificación al BSI. Contenido: sospecha de actuación ilícita, efecto transfronterizo, servicio afectado.

Fase 2, notificación del incidente. En 72 horas sigue la valoración con nivel de gravedad, impacto, primeros indicadores (IOC) y estado de la contención.

Fase 3, informe final. A más tardar un mes después de la notificación del incidente, la entidad documenta el análisis de causas, las medidas y los efectos transfronterizos.

El BSI puede exigir un informe intermedio en cualquier momento. Este requerimiento es independiente de los plazos estándar.

Punto crítico: el plazo empieza con el momento en que la entidad tiene conocimiento, no con la ocurrencia real del incidente. Un incidente detectado un domingo a las 23:50 activa la alerta temprana hasta el lunes a las 23:50. Esto se aplica con independencia del modelo de guardia.

Siguiente paso: la visión general de cumplimiento NIS-2 agrupa todas las obligaciones de la entidad en una matriz.

Qué se considera un incidente significativo

No toda alarma es notificable. Un incidente es significativo si causa una perturbación grave del servicio, genera pérdidas financieras para la entidad o afecta a otras personas físicas o jurídicas con daños materiales o inmateriales.

Cuatro clases de ejemplo de la práctica operativa:

  1. Ransomware con cifrado de sistemas productivos: siempre notificable.
  2. DDoS con interrupción del servicio por encima de los umbrales de la KritisV: notificable (BSI-KritisV).
  3. Incidentes físicos en el perímetro: notificables tan pronto como afecten a servicios digitales. Una entrada por la fuerza en una sala de servidores cuenta, incluso sin fuga de datos.
  4. Sobrevuelos de drones con sospecha de sensórica sobre instalaciones KRITIS: sujetos a obligación de documentación y verificación. La alerta temprana se activa en cuanto no se pueda descartar un impacto sobre el servicio.

Los casos sospechosos sin impacto confirmado no activan la alerta temprana frente al BSI. Sí están sujetos a la obligación interna de registro y deben ser trazables en la auditoría. Quien notifica demasiado pronto genera ruido. Quien notifica demasiado tarde infringe el §38 BSIG-nuevo (BSIG-E, anteproyecto BMI).

Siguiente paso: los criterios de clasificación están desglosados por sector en la lista de verificación KRITIS-Dachgesetz 2026.

Cadena de notificación: del sensor al portal del BSI

La cadena de notificación es un proceso con cronómetro. Seis pasos:

  1. Detección. La sensórica en el perímetro, en el SIEM o en el EDR registra un evento con marca temporal en formato UTC. UTC es obligatorio, porque la comunicación con la autoridad se realiza con neutralidad de zona horaria.
  2. Escalado. La alarma se traslada en 30 minutos al SOC o al centro de control de seguridad. Este plazo no es legal, pero sí necesario operativamente. Solo así puede mantenerse el plazo de 24 horas.
  3. Valoración. El equipo de respuesta a incidentes verifica en 4 horas contra el umbral NIS-2: perturbación grave del servicio, daño financiero, efecto sobre terceros.
  4. Aprobación. El CISO o un suplente designado nominalmente aprueba la alerta temprana con firma. La regla de suplencia para fines de semana y vacaciones es obligatoria.
  5. Transmisión. La notificación se envía a través del portal de notificación del BSI. El BSI es el punto central de notificación para incidentes NIS-2 en Alemania (BMI sobre la transposición NIS-2). Documentar el número de expediente, fijar reavivado para la fase de 72 horas.
  6. Información a la dirección. En paralelo, no a posteriori. La responsabilidad personal según §38 BSIG-nuevo se activa en cuanto la dirección conoce el incidente y no actúa (BSIG-E, anteproyecto BMI).

La separación entre valoración y aprobación no es formalismo. Evita que un único analista bajo presión temporal active u omita una notificación.

Incidentes físicos y la obligación de notificación NIS-2

NIS-2 no es una directiva exclusivamente cibernética. Los incidentes físicos con impacto sobre el servicio son notificables.

Cuatro categorías de la práctica de centro de control:

  • Acceso no autorizado a centros de datos, distribuidores de red o puestos de mando. La obligación de notificación surge en cuanto no pueda descartarse un impacto sobre el servicio.
  • Sabotaje contra refrigeración, energía de emergencia o trazados de fibra óptica. El plazo de 24 horas comienza con la detección por el centro de control.
  • Robo de hardware con datos potencialmente aprovechables o medios de acceso (llaves, tokens).
  • Sobrevuelos de drones con sospecha de sensórica. Sin aseguramiento de pruebas solo queda el registro de sospecha.

Los robots de patrulla QR-2 documentan marcas temporales, geocoordenadas y material de imagen a prueba de revisión. El QR-3 con LiDAR y detección de drones aporta datos forenses adicionales para el informe final: nubes de puntos 3D del lugar del hecho, espectros RF en la detección de drones, registro de patrulla sin lagunas.

Lo que funciona: el registro de auditoría de la patrulla robótica sustituye la llevanza manual del libro de guardia. Cierra lagunas de prueba que en las auditorías NIS-2 se señalan con regularidad (protocolos de ronda con lagunas, falta de sincronización de marcas temporales).

Lo que no funciona: robótica sin conexión al SOC y al ticketing. Un robot que registra incidentes pero no los escala ayuda en el informe final, no en el plazo de 24 horas.

El modelo Robotics-as-a-Service integra sensórica, escalado y registro de auditoría en un solo contrato. Un cálculo frente a la vigilancia clásica se encuentra en la comparativa de costes vigilancia frente a robótica.

Sanciones por notificación tardía u omitida

Las cuantías de las multas distinguen dos clases:

  • Entidades esenciales: hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial, el importe que sea mayor (Directiva 2022/2555, art. 34).
  • Entidades importantes: hasta 7 millones de euros o el 1,4 por ciento de la facturación anual mundial (Directiva 2022/2555, art. 34).

Responsabilidad personal de la dirección según §38 BSIG-nuevo. Consejeros y administradores responden con su patrimonio privado por incumplimientos. Esto afecta tanto a la gestión de riesgos como a la práctica de notificación. Un seguro D&O solo cubre la culpa grave de forma limitada.

En infracciones reiteradas o graves, el BSI puede pronunciar una prohibición temporal del ejercicio de la función directiva. Esta sanción se dirige contra el administrador responsable en persona. Esta sanción es nueva en el derecho de supervisión alemán y sigue el modelo de la supervisión RGPD.

Daño reputacional: el BSI puede ordenar la publicación del incidente. Esto afecta por igual a accionistas, clientes y aseguradores.

Los detalles sobre el régimen de responsabilidad están en la responsabilidad del consejo bajo NIS-2.

Herramientas y plantillas para la cadena de notificación

Una cadena de notificación sin herramientas preparadas fracasa en la primera ronda de fin de semana. Cinco componentes:

Formulario de notificación con campos obligatorios. Marca temporal de la detección (UTC), sector según KritisV, servicio afectado, indicadores (hashes, IP, direcciones MAC, indicios físicos), primera valoración. El formulario está disponible offline, porque la caída de la infraestructura TI puede bloquear el acceso online.

Matriz de escalado. Suplentes designados nominalmente para disponibilidad 24/7. Como mínimo tres personas por rol (CISO, delegado de protección de datos, dirección), probadas mediante llamadas no anunciadas.

Ejercicio tabletop. Al menos dos veces al año, con resultado documentado. Escenario: incidente simulado un viernes por la noche con validación cronometrada del plazo de 24 horas.

Interfaz entre centro de control físico y SOC cibernético. Lógica de ticketing común. Un incidente recibe un número de expediente, ya sea detectado en un torno o en el SIEM.

Autorizaciones de comunicación. Línea de mensajes acordada de antemano con consejo de vigilancia y oficina de prensa. Quien durante el incidente busca por primera vez la aprobación para la nota de prensa pierde cuatro horas.

Interacción con el KRITIS-Dachgesetz y obligaciones sectoriales

El KRITIS-Dachgesetz complementa NIS-2 con la obligación de notificar al BBK los incidentes físicos de seguridad (Bundestag-Drucksache 20/9262). El BBK coordina estas notificaciones y lleva el registro de instalaciones críticas (BBK Bundesamt für Bevölkerungsschutz).

Consecuencia para incidentes híbridos: doble notificación. Una entrada por la fuerza en el centro de datos con robo posterior de datos activa dos notificaciones. La componente cibernética va al BSI según NIS-2, la componente física al BBK según KRITIS-Dachgesetz. Ambas notificaciones siguen plazos y formularios distintos.

Las disposiciones sectoriales pueden prever plazos más cortos. Energía, agua y salud tienen cada una su propio reglamento sectorial con umbrales y vías de notificación divergentes. Antes de unificar procesos internos hay que revisar la situación sectorial.

Estructura de grupo: la obligación de notificar recae sobre la entidad regulada, no sobre la matriz. Una holding no notifica por sus filiales. Quien opera una estructura de servicios compartidos aclara contractualmente quién activa la alerta temprana.

Incidentes transfronterizos: si un incidente afecta a otros Estados miembros de la UE, el BSI informa a las autoridades nacionales competentes. La entidad no debe coordinarlo por sí misma, pero sí documentarlo en el informe final.

La parte BBK del proceso está descrita paso a paso en el registro BBK paso a paso.

Implantación operativa en los primeros 90 días

Un plan de construcción para responsables de seguridad sin cadena de notificación NIS-2 existente:

Semana 1 a 2: inventario. ¿Qué vías de notificación existen? ¿Quién tiene hoy facultad de aprobación? Análisis de brechas frente a los tres plazos. Resultado: lista de brechas con responsables.

Semana 3 a 6: matriz de escalado y formación. Construcción de la regla nominal de suplencia. Formación al centro de control, SOC y servicio de guardia sobre los umbrales y formularios. Tres ensayos en seco sin cronómetro.

Semana 7 a 10: integración de la sensórica física. Robótica, control de acceso, videoanálisis, detección de drones se conectan al ticketing. Números de expediente comunes para incidentes cibernéticos y físicos.

Semana 11 a 12: ejercicio tabletop con cronómetro. Incidente simulado un viernes a las 17:30. Validación del plazo de 24 horas en condiciones realistas, incluida la ausencia del primer responsable.

A partir del día 90: operación regular. Revisión trimestral de la cadena de notificación por la auditoría interna. Revisión anual por un auditor externo con experiencia en NIS-2 y KRITIS-Dachgesetz. Los resultados se incorporan al informe al consejo y al consejo de vigilancia.

Quien recorre los 90 días con disciplina dispone de una cadena de notificación auditable. Quien acorta camino se arriesga a que la primera crisis real haga visibles las debilidades.

Las plantillas para el formulario de notificación, la matriz de escalado y el escenario tabletop están disponibles para descarga en la visión general de cumplimiento NIS-2.

Traducciones

Más de este clúster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →