Notificación de incidentes NIS2: los plazos de 24 horas, 72 horas y 1 mes explicados
Bajo NIS2, la notificación de incidentes no es opcional ni flexible. Cuando ocurre un incidente significativo, tienes 24 horas para tu notificación inicial. Veinticuatro horas desde el momento en que tienes conocimiento.
Las tres etapas de notificación
Cronología de Notificación de Incidentes NIS2
24hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 172hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 21moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 324hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Etapa 1: Alerta temprana — en 24 horas
Si fue causado por actos malintencionados y si podría tener impacto transfronterizo.
Etapa 2: Notificación — en 72 horas
Evaluación inicial de gravedad e impacto, indicadores de compromiso.
Etapa 3: Informe final — en 1 mes
Descripción detallada, análisis de causas, medidas correctivas.
¿Qué es un "incidente significativo"?
¿Se aplica la NIS2 a su organización?
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼No▼2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗La NIS2 no se aplica directamente a su organización.
Sí▼No▼✓La NIS2 se aplica a su organización como entidad esencial o importante.
3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →✗La NIS2 no se aplica directamente a su organización.
✓La NIS2 se aplica a su organización como entidad esencial o importante.
!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplicaPosiblemente aplicaNo se aplica
En caso de duda: notifica. Es mejor notificar innecesariamente que incumplir el plazo de 24 horas.
¿A quién notificar?
| País | Autoridad competente | CSIRT |
|---|---|---|
| España | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
| Bélgica | CCB | CERT.be |
| Alemania | BSI | CERT-Bund |
| Países Bajos | RDI (previsto) | NCSC-NL |
| Francia | ANSSI | CERT-FR |
| Italia | ACN | CSIRT Italia |
| Polonia | NASK (previsto) | CERT Polska |
Construye tu proceso de notificación
| Tiempo | Acción |
|---|---|
| T+0 | Incidente detectado — el reloj arranca |
| T+1h | Primera evaluación: ¿potencialmente significativo? |
| T+4h | Informar a la dirección |
| T+24h | PLAZO: Enviar alerta temprana |
| T+72h | PLAZO: Enviar notificación de incidente |
| T+1 mes | PLAZO: Enviar informe final |
¿Y el RGPD?
Obligaciones separadas. La notificación NIS2 no sustituye la del RGPD. Coordina ambas.
Empieza con un quickscan gratuito
Nuestro quickscan NIS2 gratuito incluye una evaluación de tu preparación para la notificación de incidentes.