Su organización detecta actividad inusual en la red. Su equipo de TI investiga y descubre un acceso no autorizado a los datos de los clientes. Usted contiene la amenaza. Ahora surge la pregunta urgente: ¿debe informar esto a las autoridades? ¿A quién exactamente? ¿Qué información proporciona? ¿De cuánto tiempo dispone?
Según la NIS2 y la legislación neerlandesa, muchas organizaciones deben informar sobre incidentes de ciberseguridad a las autoridades gubernamentales dentro de plazos estrictos. Normalmente, se dispone de entre 24 y 72 horas tras la detección. La normativa especifica qué autoridad recibe el informe, qué información debe proporcionarse y los requisitos de formato. Si no se cumple el plazo o se informa al organismo equivocado, se enfrentan a multas cuantiosas, medidas coercitivas y responsabilidades legales que pueden extenderse más allá del incidente inicial.
Esta guía le muestra exactamente cómo cumplir con sus obligaciones de reporte. Aprenderá qué leyes aplican a su organización, cuándo un incidente requiere reporte, a qué autoridades notificar en cada etapa, qué información requiere cada reporte y cómo crear procedimientos que realmente funcionen. Nos saltamos la jerga legal y nos centraremos en medidas prácticas que puede tomar ahora mismo para cumplir con la normativa y proteger a su organización.
Cuáles son sus obligaciones de informar sobre incidentes de ciberseguridad
Sus obligaciones de informar sobre incidentes de ciberseguridad dependen del tamaño de su organización, del sector y de los servicios que presta. Entidades esenciales (energía, transporte, banca, atención sanitaria, infraestructura crítica) y entidades importantes (servicios postales, gestión de residuos, proveedores digitales, producción alimentaria) están sujetos a la obligación de informar según el NIS2. Si opera infraestructuras críticas o servicios digitales para consumidores neerlandeses, es casi seguro que se encuentra sujeto a estas normas.
Las tres etapas del informe que debes completar
Te enfrentas tres obligaciones de presentación de informes independientes con diferentes plazos. Tu primer deber comienza dentro de 24 horas de detección En caso de un incidente significativo, envía una alerta temprana a su CSIRT (Equipo de Respuesta a Incidentes de Seguridad Informática) o autoridad competente. Esta notificación inicial señala el incidente e indica si sospecha de actividad maliciosa o impacto transfronterizo.
En un radio de 72 horasEnvía su notificación de incidente. Este informe incluye su evaluación inicial de la gravedad, el impacto, los sistemas afectados y los indicadores de vulnerabilidad disponibles. Proporciona detalles técnicos que ayudan a las autoridades a comprender el alcance y la naturaleza de la vulneración.
Las organizaciones que no cumplan estos plazos se enfrentan a multas de hasta 10 millones de euros o el 2 % de su facturación anual global según NIS2, lo que sea mayor.
Llega tu informe final En un mes de la notificación del incidente. Este documento completo detalla el alcance total del incidente, el análisis de la causa raíz, las medidas de mitigación implementadas y los efectos transfronterizos. Si aún está gestionando el incidente al finalizar el mes, deberá presentar un informe de progreso y, posteriormente, un informe final en el plazo de un mes desde su resolución.
Deberes adicionales más allá del informe inicial
Usted también debe informar a las partes afectadas Cuando un incidente significativo afecta a los destinatarios del servicio. Esta notificación se realiza sin demoras indebidas e incluye medidas prácticas que los destinatarios pueden tomar para protegerse. Para proveedores de servicios de confianza En concreto, el plazo de 72 horas se reduce a 24 horas para los incidentes que afecten a los servicios de confianza.
Su CSIRT o autoridad competente responde dentro de las 24 horas de recibir su alerta temprana, brindando retroalimentación inicial y orientación operativa sobre medidas de mitigación.
Paso 1. Identifique qué leyes de la UE y de los Países Bajos se aplican a usted
Es necesario determinar cuál marcos regulatorios Gobernar sus obligaciones de informar incidentes de ciberseguridad antes de que ocurra un incidente. NIS2 (la Directiva sobre seguridad de las redes y de la información) se aplica ampliamente en los Países Bajos, pero DORA (Ley de Resiliencia Operativa Digital) y Normas de implementación específicas holandesas Crear obligaciones adicionales para ciertos sectores. Comience por evaluar su organización según los criterios de cada marco.
Compruebe si NIS2 se aplica a su organización
El NIS2 se aplica si usted califica como entidad esencial or entidad importanteLas entidades esenciales incluyen organizaciones en los sectores de energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, administración pública y espacio. Las entidades importantes abarcan los servicios postales, la gestión de residuos, los productos químicos, la producción alimentaria, la manufactura, los proveedores digitales y las organizaciones de investigación.
El tamaño de su organización importa solo para proveedores de servicios digitales (DSP). Se le considera DSP bajo NIS2 si opera un mercado en línea, un servicio en la nube o un motor de búsqueda con al menos Cerca de 50 trabajadores y también 10 millones de euros de facturación anual or 10 millones de euros en activos totalesTodas las demás entidades esenciales e importantes enfrentan obligaciones independientemente de su tamaño.
Si opera infraestructura crítica o fue designado anteriormente bajo la antigua Directiva NIS (Wbni), califica automáticamente bajo NIS2.
El gobierno neerlandés mantiene un registro de entidades designadas. Consulte con la autoridad competente de su sector (informe de energía e infraestructura digital a RDI; servicios financieros a AFM y DNB; sanidad a IGJ) para confirmar su estatus. Debe verificar esto. Recuerde que si Ud utiliza subcontratistas o tiene empleados, está obligado a entregarles sus formularios a tiempo (W-2026 o XNUMX). cuando comience una aplicación reforzada de la ley.
Determine si DORA cubre sus servicios financieros
DORA se aplica por separado a instituciones financieras y proveedores de servicios de TIC Al prestarles servicio. Usted está sujeto a DORA si opera como entidad de crédito, proveedor de servicios de pago, compañía de seguros, empresa de inversión, proveedor de servicios de criptoactivos o entidad de dinero electrónico. Esta regulación es paralela a la NIS2 y cuenta con su propia... los requisitos de información.
Los proveedores de servicios financieros informan incidentes significativos a ambos AFM (a través del Portal AFM) y DNB (a través de My DNB) además de RDI. También debe registrar todos acuerdos contractuales con Terceros de las TIC para funciones críticas o importantes a través de estos portales dentro de plazos específicos.
Evalúe sus obligaciones como proveedor de servicios digitales
El Wbni (Implementación holandesa) crea deberes específicos si proporciona mercados en línea, computación en la nube o motores de búsqueda. Informas de los incidentes a ambos RDI y CSIRT-DSP (el equipo especializado en respuesta a incidentes para proveedores digitales). A diferencia de las entidades esenciales de otros sectores, se enfrentan a límites de tamaño: más de 50 empleados y más de 10 millones de euros en facturación o activos.
Los proveedores de servicios de confianza se enfrentan a plazos acelerados Según el reglamento eIDAS, debe informar de los incidentes significativos que afecten a los servicios de confianza dentro de 24 horas en lugar del plazo estándar de 72 horas que se aplica a otras entidades.
Paso 2. Definir cuándo un incidente es reportable
Se necesitan criterios concretos para determinar si un incidente supera el umbral de notificación. La ley define incidentes significativos como aquellos que causan graves interrupciones operativas, pérdidas financieras o daños considerables a terceros. Sus obligaciones de informar sobre incidentes de ciberseguridad comienzan al detectar un incidente que cumple estos criterios, no al finalizar su investigación. Esto significa que debe tomar decisiones de informe rápidamente, a menudo con información incompleta.
Evalúe el umbral de gravedad de su organización
Un incidente se considera significativo cuando: interrumpe sus servicios principales o crea impacto financiero sustancialEl NIS2 ofrece dos categorías principales: incidentes que interrumpen gravemente sus operaciones o causan pérdidas financieras, e incidentes que afectan a terceros causando daños materiales o morales considerables. Debe informar cuándo corresponde cualquiera de las dos categorías.
Una interrupción operativa implica la imposibilidad de prestar servicios a los clientes, fallos en sistemas críticos o la pérdida de acceso a datos esenciales. Las pérdidas financieras incluyen costes directos como el pago de rescates, gastos de recuperación, pérdida de ingresos o multas regulatorias. La ley no especifica los umbrales exactos en euros, por lo que la evaluación se basa en el tamaño de la organización y el impacto relativo del incidente.
Documente sus umbrales internos antes de que ocurra un incidente. Esto genera coherencia en las decisiones de reporte y demuestra cumplimiento de buena fe si las autoridades cuestionan posteriormente su criterio.
Tenga en cuenta estos indicadores al evaluar la importancia:
- Servicio disponible¿Pueden los clientes acceder a sus servicios? ¿Cuánto tiempo llevan inactivos los sistemas?
- Integridad de datos¿Se ha producido algún acceso no autorizado? ¿Qué categorías de datos se vieron afectadas?
- Ámbito geográfico¿El incidente afecta a varias ubicaciones o países?
- Impacto en el cliente¿Cuántos usuarios o destinatarios se enfrentan a una interrupción del servicio?
- Tiempo de recuperación¿Espera una resolución en cuestión de horas, días o semanas?
Evaluar los efectos transfronterizos y en cascada
Debes reportar incidentes con posible impacto transfronterizo Incluso cuando los efectos internos parecen menores. Un incidente que afecte a sus operaciones holandesas podría afectar a clientes, socios o cadenas de suministro en otros Estados miembros de la UE. Esto genera obligaciones de información, ya que las autoridades coordinan las respuestas transfronterizas.
Efectos en cascada Son igualmente importantes. Su incidente se vuelve reportable cuando interrumpe los servicios que usted presta a otras entidades esenciales o importantes, independientemente del impacto directo en los usuarios finales. Por ejemplo, si usted proporciona servicios en la nube a un hospital y su brecha de seguridad afecta a sus sistemas de pacientes, usted reporta basándose en su impacto operativo, no solo en sus propias pérdidas.
Los proveedores de servicios de confianza se enfrentan a umbrales más estrictosCualquier incidente que afecte la prestación de servicios de confianza (firmas digitales, certificados, sellos de tiempo) requiere un informe inmediato en un plazo de 24 horas. No espere para evaluar si el impacto cumple con los criterios generales de importancia.
Paso 3. Cree sus procedimientos de notificación de incidentes
Necesita procedimientos documentados que especifiquen exactamente quién hace qué, cuándo y cómo durante un incidente. plan de respuesta a incidentes Debe incluir flujos de trabajo de informes claros que se activen automáticamente cuando su equipo detecte un incidente significativo. Estos procedimientos convierten sus obligaciones de informar incidentes de ciberseguridad de requisitos legales abstractos en acciones concretas que su personal pueda ejecutar bajo presión.
Construya su matriz de clasificación de incidentes
Su matriz de clasificación ayuda personal de respuesta a incidentes Determine los requisitos de reporte minutos después de la detección. Cree una tabla que asigne los tipos de incidentes y los niveles de gravedad a las obligaciones de reporte, plazos y autoridades receptoras. Esto elimina las conjeturas y garantiza la coherencia en la toma de decisiones en toda la organización.
| Tipo de incidente | Gravedad | Reportar a | Fecha límite inicial | Notificación de incidente |
|---|---|---|---|---|
| Acceso no autorizado a los datos del cliente | Alto | I+D+I + CSIRT | 24 horas | 72 horas |
| Ransomware que afecta a los sistemas centrales | Critical | RDI + CSIRT + NCSC | 24 horas | 72 horas |
| DDoS que interrumpe los servicios públicos | Alto | I+D+I + CSIRT | 24 horas | 72 horas |
| Compromiso del servicio de confianza (si corresponde) | Critical | I+D+I + CSIRT | 24 horas | 24 horas |
| Incidente de servicios financieros (DORA) | Alto | RDI + AFM + DNB | 24 horas | 72 horas |
Actualice esta matriz siempre que las regulaciones cambian O su organización añade nuevos servicios. Pruébelo trimestralmente con escenarios realistas para identificar deficiencias o puntos de confusión.
Diseñe su flujo de trabajo de notificaciones
Su flujo de trabajo debe especificar el secuencia exacta De las acciones desde la detección del incidente hasta el informe final. Documente quién inicia los informes, quién revisa y aprueba las notificaciones, quién las envía y quién mantiene contacto con las autoridades. Asigne personal de respaldo para cada rol para cubrir ausencias.
Su flujo de trabajo debe asumir que los incidentes ocurren fuera del horario laboral, cuando la alta dirección podría no estar disponible de inmediato. Incorpore mecanismos de aprobación que eviten retrasos.
Créar un formato de lista de verificación Tu equipo sigue:
- Incidente detectado: el líder del equipo de seguridad evalúa la matriz de clasificación en un plazo de 2 horas.
- Incidente denunciable confirmado: se notifica al CISO de inmediato y comienza la preparación de alerta temprana
- Alerta temprana redactada: incluye tipo de incidente, tiempo de detección, causa sospechada y posible impacto transfronterizo
- Revisión legal: el asesor legal revisa el borrador en un plazo de 4 horas para comprobar su precisión e integridad.
- Presentación: El CISO o delegado envía la solicitud a través del portal oficial dentro del plazo de 24 horas.
- Respuesta de la autoridad: El equipo de seguridad implementa la orientación recibida dentro de las 24 horas
- Notificación de incidentes: El equipo técnico prepara una evaluación detallada a las 60 horas
- Presentación final: Documentación completa presentada antes del plazo de 72 horas
Preparar plantillas de informes para cada etapa
Las plantillas garantizan su Los informes contienen toda la información requerida A la vez que reduce el tiempo de preparación, cree plantillas independientes para su alerta temprana, notificación de incidentes e informe final que incluyan todos los campos obligatorios especificados por el NIS2 y las autoridades neerlandesas.
Su plantilla de alerta temprana debe incluir: fecha y hora de detección, categoría del incidente, resumen de los sistemas afectados, indicador de sospecha de actividad maliciosa (sí/no), indicador de impacto transfronterizo (sí/no) e información de contacto principal. La notificación del incidente incluye: evaluación de la gravedad, alcance del impacto, número de usuarios afectados, indicadores de vulnerabilidad y medidas iniciales de mitigación. Los informes finales incluyen: cronología completa del incidente, análisis de la causa raíz, evaluación completa del impacto, medidas de seguridad implementadas, lecciones aprendidas y recomendaciones preventivas.
Guarde estas plantillas como formularios rellenables Su equipo puede acceder a ellos al instante. Guárdelos en su plataforma de respuesta a incidentes, wiki de seguridad y copias de seguridad sin conexión para garantizar la disponibilidad durante interrupciones del sistema.
Paso 4. Integrar la generación de informes en la capacitación y la gobernanza
La procedimientos de reporte fracasan si el personal no comprende sus funciones o si las estructuras de gobernanza no facilitan la toma de decisiones rápida. Necesita entrenamiento sistemático y supervisión a nivel de junta directiva Para garantizar que su organización cumpla correctamente con sus obligaciones de reporte de incidentes de ciberseguridad en todo momento. Esto implica integrar las obligaciones de reporte en sus programas de capacitación en seguridad existentes y establecer una clara rendición de cuentas a nivel de gobernanza.
Capacitar a todo el personal sobre detección y escalada
Debes entrenar todos los empleados Para reconocer posibles incidentes de seguridad y saber exactamente cómo escalarlos. Su personal técnico necesita capacitación detallada sobre la matriz de clasificación y los flujos de trabajo de informes, pero los empleados no técnicos necesitan una guía más sencilla enfocada en detectar actividades inusuales y contactar a las personas adecuadas de inmediato.
Ejecutar ejercicios de mesa trimestrales que simulan incidentes realistas que requieren reporte. Guíe a su equipo de respuesta a incidentes a través de todo el proceso, desde la detección hasta la entrega del informe final. Utilice estos ejercicios para identificar deficiencias en los procedimientos, probar sus plantillas y verificar que el personal de apoyo comprenda sus funciones. Documente las lecciones aprendidas después de cada ejercicio y actualice sus procedimientos según corresponda.
La capacitación sobre concientización en materia de seguridad para el personal general debe cubrir estos aspectos esenciales de los informes:
- ¿Qué constituye un posible incidente de seguridad (correos electrónicos inusuales, intentos de acceso no autorizado, datos faltantes)?
- A quién contactar inmediatamente (proporcione datos de contacto de su equipo de seguridad las 24 horas, los 7 días de la semana)
- Qué no hacer (no intentes investigar tú mismo, no borres pruebas, no esperes hasta el lunes)
- Por qué importa la velocidad (los plazos regulatorios comienzan cuando se detectan los incidentes, no cuando se informan)
Capacite al personal para que detecte y reporte de inmediato actividades sospechosas que protegen tanto a la organización como a ellos mismos. fiscal, no sólo cumple con los requisitos de cumplimiento.
Integrar la elaboración de informes en la gobernanza existente
Su junta directiva y el liderazgo ejecutivo necesitan actualizaciones regulares Sobre las capacidades de reporte de incidentes y los incidentes reales. Programe revisiones trimestrales de gobernanza que cubran sus procedimientos de reporte, cualquier incidente ocurrido, las respuestas de las autoridades recibidas y las mejoras de procedimiento implementadas. Esto genera responsabilidad y garantiza que el equipo directivo comprenda las obligaciones de reporte.
Asignar un ejecutivo específico Responsabilidad del cumplimiento normativo en materia de informes de incidentes. Esta persona (normalmente el CISO o el Director de Riesgos) reporta directamente a la junta directiva en materia de preparación, mantiene relaciones con las autoridades competentes y gestiona el presupuesto para herramientas de informes y capacitación. Una responsabilidad clara evita confusiones durante incidentes reales, cuando se deben tomar decisiones con rapidez.
incluyen métricas de informes En sus paneles de seguridad: tiempo desde la detección hasta la emisión de alertas tempranas, porcentaje de incidentes que cumplen con los plazos, tiempos de respuesta de las autoridades y acciones correctivas completadas. Realice un seguimiento mensual para identificar tendencias y oportunidades de mejora.
Avanzando
Ahora cuenta con un marco completo para cumplir con sus obligaciones de notificación de incidentes de ciberseguridad según la NIS2 y la legislación neerlandesa. Conoce las normativas aplicables a su organización, cuándo los incidentes superan el umbral de notificación, qué autoridades reciben las notificaciones, qué información debe contener cada informe y cómo crear procedimientos que funcionen bajo presión. Su siguiente paso es... implementación inmediata.
Comience por revisar su plan de respuesta a incidentes actual en relación con los requisitos descritos aquí. Actualice su matriz de clasificación, prepara tu plantillas de informesy capacite a su equipo de respuesta a incidentes en los nuevos flujos de trabajo. Programe su primer ejercicio práctico dentro del próximos 30 días Para probar procedimientos antes de que ocurra un incidente real. Documenta todo lo que crees para que tu equipo pueda acceder a él al instante cuando lo necesite.
El cumplimiento legal en materia de ciberseguridad requiere tanto conocimientos técnicos y conocimiento legalSi necesita ayuda para interpretar cómo se aplican estas regulaciones a su situación específica, conmigo Law & More Para obtener orientación especializada, su equipo ayuda a las organizaciones holandesas a gestionar los complejos requisitos de cumplimiento de ciberseguridad y a crear marcos de respuesta a incidentes que protejan tanto sus operaciones como su situación legal.
