En el marco de la Directiva NIS2 y del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad la gestión de incidentes debe articularse conforme a un proceso estructurado y ágil:
1. Obligación de notificación temprana
Las entidades clasificadas como “esenciales” o “importantes” deben remitir sin dilación indebida y en todo caso dentro de las 24 horas siguientes a la detección de un incidente significativo una “advertencia temprana” a la autoridad competente o al equipo CSIRT (Equipo de Respuesta ante Incidentes de Seguridad Informática) nacional. Se trasladará información preliminar sobre el incidente, incluso si aún no es posible determinar el alcance total del impacto.
2. Notificación inicial detallada
Posteriormente, la entidad debe remitir una notificación formal en un plazo máximo de 72 horas desde la detección, aportando un análisis inicial del incidente: naturaleza, alcance, impacto, causas conocidas, indicadores de compromiso, y medidas de contención adoptadas.
3. Informe final
Finalmente, en un plazo máximo de un mes se presentará un informe completo que incluya lecciones aprendidas, medidas correctivas adoptadas y, en caso necesario, solicitud de prórroga justificando la necesidad de ampliación hasta otro mes.
Establecer roles como es el CISO clasificar incidentes, definir plazos de notificación, realizar simulacros y documentar todo el proceso garantiza cumplimiento NIS2 y respuesta eficaz ante incidentes graves.