Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/NIS2/12 de abril de 20265 min

NIS2: los tres plazos de notificación de incidentes que no puedes ignorar

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

El artículo 23 de la Directiva NIS2 establece un régimen de notificación de incidentes con tres hitos temporales obligatorios. El incumplimiento de estos plazos puede dar lugar a sanciones independientes del propio incidente. Comprender qué se considera incidente 'significativo' y qué información debe incluirse en cada notificación es esencial.

Puntos clave

1Un incidente es 'significativo' si causa interrupción grave del servicio o pérdidas económicas/reputacionales relevantes
2La alerta temprana debe enviarse en 24 horas desde que se tiene conocimiento
3La notificación completa debe enviarse en 72 horas con evaluación inicial de impacto
4El informe final debe enviarse en 1 mes con causa raíz y medidas adoptadas
5En España: INCIBE-CERT para entidades privadas, CCN-CERT para el sector público
6Las notificaciones deben incluirse siempre en el registro interno aunque no sean obligatorias externamente

¿Qué es un incidente 'significativo'?

NIS2 define incidente significativo como aquel que (a) ha causado o puede causar graves perturbaciones operativas o pérdidas financieras para la entidad afectada, o (b) ha afectado o puede afectar a otras personas físicas o jurídicas causándoles perjuicios materiales o inmateriales considerables. Los criterios específicos los desarrollará ENISA mediante actos de ejecución.

Interrupción del servicio superior a umbrales definidos por sector
Número de personas afectadas por el incidente
Alcance geográfico (si afecta a varios Estados miembros)
Pérdida de integridad, confidencialidad o disponibilidad de datos críticos
Impacto en infraestructura crítica o servicios esenciales de terceros

Los tres hitos de notificación en detalle

Cada hito tiene un contenido mínimo distinto. El incumplimiento de los plazos es sancionable con independencia de si el incidente en sí mismo fue manejado correctamente. Es fundamental tener el procedimiento documentado antes de que ocurra un incidente.

Hito	Plazo	Destinatario	Contenido obligatorio
Alerta temprana	≤ 24 h	INCIBE-CERT / CCN-CERT	Existencia del incidente, tipo (malware, DDoS…), posible causa inicial
Notificación	≤ 72 h	INCIBE-CERT / CCN-CERT	Evaluación actualizada, gravedad, impacto, indicadores de compromiso (IoC)
Informe final	≤ 1 mes	INCIBE-CERT / CCN-CERT	Causa raíz, impacto real cuantificado, medidas adoptadas y lecciones aprendidas

Comunicación a los afectados

Si el incidente puede afectar significativamente a los usuarios del servicio, la entidad también debe informarles sin demora indebida de las medidas que pueden adoptar para protegerse. Esta obligación es independiente de la notificación a la autoridad y se suma a la eventual obligación de notificación de brechas bajo el RGPD (72 horas a la AEPD, art. 33 RGPD).

Próximos pasos recomendados

1Documenta el procedimiento de notificación de incidentes antes de que ocurra uno
2Designa un equipo responsable de la detección y comunicación de incidentes
3Prepara plantillas de notificación para cada uno de los tres hitos
4Verifica que tu plataforma de ticketing o SIEM puede generar los registros necesarios para el informe final

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Art. 23 Directiva NIS2 — EUR-Lex, Texto oficial del artículo de notificación de incidentes
ENISA — Incident Notification Guidelines, Guías de ENISA sobre notificación de incidentes NIS2
INCIBE-CERT — Notificación de incidentes, Portal de notificación de incidentes de INCIBE para empresas
CCN-CERT — Notificación sector público, Procedimiento de notificación CCN-CERT para entidades del sector público

También en NIS2

NIS2 en España: quién está obligado y qué exige la directiva

8 min

NIS2: mapa completo de sectores y entidades obligadas en España

6 min

NIS2 y la cadena de suministro: cómo gestionar la seguridad de tus proveedores TIC

7 min

← Volver a La Gaceta