Giancarlo Di Lieto : 30 octubre 2025 07:21
El Decreto NIS 2 (Decreto Legislativo 138/2024), en vigor desde el 16 de octubre de 2024, implementa los principios de la Directiva Europea NIS 2, sentando las bases para un modelo operativo de colaboración más complejo entre las partes interesadas y la autoridad competente en materia de gestión de incidentes cibernéticos. Esta gestión es, en esencia, más rigurosa, estructurada y vinculante, con obligaciones de notificación ampliadas y plazos específicos para empresas y administraciones públicas.
De hecho, para cumplir con las obligaciones establecidas en los artículos 23, 24 y 25 del decreto, las entidades NIS deben adoptar medidas de seguridad y notificar a CSIRT Italia —la unidad establecida dentro de la ACN para monitorear y responder a incidentes de ciberseguridad en Italia— los incidentes más significativos, según lo establecido por la resolución 164179 de la ACN de 14 de abril de 2025 y sus anexos relacionados.
En este contexto, el artículo 25 es de gran importancia, ya que prevé no solo obligaciones más estrictas en cuanto a la notificación de incidentes a la autoridad competente, sino también un proceso de notificación estructurado en varias etapas.
Todas las entidades públicas y privadas comprendidas en el ámbito de aplicación del Decreto deben registrarse en la plataforma digital específica de la ACN, indicando un punto de contacto y facilitando información esencial, como direcciones IP, dominios y órganos de gobierno. Este requisito se renovará anualmente para garantizar que dicha información esté actualizada.
A partir de enero de 2026, las entidades importantes deberán notificar a CSIRT Italia los incidentes significativos enumerados en el Anexo 3 de la determinación ACN, mientras que las entidades esenciales deberán notificar los indicados en el Anexo 4.
En este sentido, recientemente se ha añadido al Punto de Contacto la obligación de designar a una Persona de Contacto del CSIRT (Determinación ACN 250916). Esta persona deberá ser designada antes del 31 de diciembre, con la tarea específica de servir de enlace con el CSIRT Italia para la notificación de incidentes, y deberá poseer las competencias necesarias para desempeñar esta función.
Pero informar sobre incidentes también implica desarrollar tecnologías y procesos que permitan la detección oportuna de incidentes y la gestión adecuada de todas las fases típicas de la gestión de incidentes, en cumplimiento de la propia normativa.
Por lo tanto, a finales de este año, las entidades ya deben cumplir una serie de obligaciones específicamente relacionadas con la gestión de incidentes, incluso antes de completar todos los demás requisitos establecidos en el Decreto, cuyo plazo se ha fijado para octubre de 2026.
Todas las organizaciones incluidas entre los sujetos identificados por el Decreto están obligadas a:
De conformidad con el artículo 25 del Decreto, las entidades esenciales e importantes están obligadas a notificar a CSIRT Italia cualquier incidente que afecte significativamente la prestación de sus servicios. Las notificaciones deben contener toda la información necesaria para que CSIRT Italia evalúe el impacto potencial del incidente, tanto a nivel nacional como transfronterizo.
Esta comunicación no implica ningún aumento de las responsabilidades de la parte que la realiza, más allá de las ya asociadas al propio evento, si bien constituye en sí misma una especie de autodenuncia ante la autoridad competente y, por tanto, debe realizarse con todas las precauciones necesarias, involucrando tanto a funciones técnicas (internas o externas) para análisis exhaustivos, como a órganos de gestión y jurídicos para evaluar con precisión los impactos.
Además, para ser considerado «significativo», un incidente debe causar o poder causar graves trastornos operativos o pérdidas financieras, o tener repercusiones significativas, con daños materiales o inmateriales importantes a personas físicas o jurídicas. Por lo tanto, la definición va más allá de la dimensión puramente técnica e incluye las consecuencias económicas y sociales del suceso.
Cabe señalar que la definición de «incidente significativo» proporcionada por ACN en los anexos mencionados difiere de la del Reglamento de Ejecución NIS2 2690/2024, emitido por la CE. Si bien este reglamento se aplica únicamente a las entidades que prestan servicios digitales, ofrece una valiosa guía para comprender dicha definición (véanse los artículos 3 a 14) y, en general, constituye un marco de seguridad muy válido que abarca todas las medidas exigidas por la NIS2 (véase el anexo del Reglamento).
El decreto exige a todas las entidades esenciales e importantes que presenten una serie de comunicaciones progresivas, destinadas a proporcionar al CSIRT una imagen constantemente actualizada de la situación:
La notificación debe realizarse caracterizando el incidente mediante la Taxonomía Cibernética de la ACN, cuyo objetivo es facilitar el intercambio de información a través de un léxico común para compartir información sobre ciberataques entre las entidades afectadas y para la notificación al CSIRT italiano. Lamentablemente, esta taxonomía solo se aplica en Italia, por lo que pierde parte de su eficacia en incidentes transfronterizos.
Si el incidente significativo también implica una violación de datos personales, se requerirá una notificación adicional, esta vez a la Autoridad Italiana de Protección de Datos, pero con plazos y métodos diferentes (dentro de las 72 horas).
Si la entidad es una institución bancaria comprendida dentro del ámbito de aplicación del Reglamento DORA, se requiere una notificación adicional a la autoridad nacional de supervisión financiera (Banda d’Italia).
En resumen, el proceso de notificación puede volverse significativamente complicado, por lo que la entidad deberá estructurarse adecuadamente para cumplir con todos estos requisitos, recurriendo a profesionales (internos y/o externos) capaces de navegar fácilmente por este laberinto regulatorio, respetando plazos muy ajustados que impiden cualquier tipo de improvisación.
De hecho, la falta de notificación o el incumplimiento de las obligaciones puede conllevar limitaciones operativas, especialmente para las entidades esenciales, y sanciones financieras significativas, considerablemente más severas que las previstas en la NIS1, con multas máximas de hasta 10 millones de euros (o el 2% de la facturación anual) para las entidades esenciales y 7 millones de euros (o el 1,4% de la facturación anual) para las entidades importantes.
Otra novedad se refiere a las multas mínimas, que son proporcionales a la máxima (1/20 o 1/30), lo que implica una menor discrecionalidad en la imposición de la multa mínima. Para las entidades públicas, las multas son menores (de 25 000 € a 125 000 €), pero también pueden ser personales, afectando a los administradores y directivos responsables, por ejemplo, por negligencia grave en la gobernanza de la ciberseguridad o por incumplir las advertencias de la ACN.
NIS2 refuerza el papel de supervisión de la Autoridad en incidentes cibernéticos, y CSIRT Italia desempeña un papel clave en este contexto, recibiendo notificaciones y proporcionando apoyo técnico a las partes interesadas pertinentes.
CSIRT Italia es el organismo de la ACN responsable de la vigilancia preventiva y la respuesta a incidentes cibernéticos y forma parte de la comunidad global CERT (FIRST). Comenzó a operar en 2020, asumiendo las tareas que anteriormente realizaban el CERT Nacional y el CERT-PA.
Dentro del marco NIS2, el CSIRT tendrá que asumir diversas tareas, tanto reactivas (monitoreo y análisis, apoyo operativo en respuesta, análisis forense, concientización, etc.) como proactivas (emisión de boletines, alertas, avisos tempranos, escaneos periódicos, etc.).
En un plazo de 24 horas desde la notificación previa, el CSIRT debe proporcionar una respuesta inicial, incluyendo sugerencias para mitigar el impacto, y puede ofrecer asistencia adicional si se solicita. En caso de incidentes delictivos, el CSIRT remite al individuo a las autoridades competentes, garantizando la coordinación entre la respuesta técnica y la investigativa.
Sujeto a la opinión favorable del CSIRT, las entidades deben informar a sus usuarios sin demora indebida cuando el incidente pueda tener un impacto significativo en la prestación de servicios, comunicando las medidas de mitigación adoptadas ante amenazas significativas.
Finalmente, el CSIRT podrá compartir públicamente incidentes significativos para prevenir nuevos ataques o proteger el interés público, extendiendo posiblemente dicha comunicación a otros Estados miembros.
Por lo tanto, está claro que las tareas del CSIRT son verdaderamente onerosas y será necesario reforzarlo aún más, dado el elevado número de entidades que ya están dentro de su ámbito (más de 25.000, en comparación con menos de 500 en NIS1), para ser aún más eficiente a partir del próximo enero, cuando todas las entidades de NIS2 estarán obligadas a informar sobre incidentes significativos.
El nuevo procedimiento de notificación de incidentes descrito anteriormente introduce un modelo estructurado y formal que cambia significativamente la forma en que las empresas y las administraciones públicas tendrán que gestionar los incidentes de ciberseguridad.
Si bien para las organizaciones más maduras y mejor organizadas esto significa principalmente adaptar y mejorar los procesos existentes, para muchas otras (por ejemplo, las PYMES) significará iniciar proyectos de adaptación tecnológica y organizativa completamente nuevos que tardarán varios meses, si no años, en completarse.
Dejar las cosas para el último minuto no beneficia a nadie y conduce a resultados insatisfactorios, como lo ha demostrado la experiencia del cumplimiento del RGPD: con demasiada frecuencia, se ha convertido en una mera formalidad burocrática, en lugar de generar una mejora sustancial en la protección de datos personales.
Sin embargo, NIS2, también desde el punto de vista de la gestión de incidentes, debe considerarse una oportunidad fundamental para todos los sujetos involucrados:
Este enfoque más disciplinado es crucial porque permite la detección y contención rápidas de incidentes, la prevención de reacciones en cadena, la mejora de la gobernanza interna y el cumplimiento normativo, y garantiza la cooperación y la visibilidad a nivel nacional y europeo, reforzando así la resiliencia de los sistemas y servicios críticos.
La entrada en vigor del Decreto NIS2 supone un punto de inflexión en la gestión de incidentes cibernéticos, exigiendo un enfoque más riguroso, estructurado y coordinado. No se trata simplemente de un ajuste normativo, sino de un cambio cultural que requiere que las organizaciones replanteen sus procesos de seguridad, pasando de un enfoque reactivo a una estrategia proactiva e integrada.
Las empresas y las administraciones públicas deben considerar estas obligaciones como una oportunidad para fortalecer su resiliencia mediante la inversión en tecnologías, capacitación y gobernanza. La detección y notificación oportunas de incidentes, junto con la colaboración con CSIRT Italia, son fundamentales para reducir riesgos, prevenir impactos sistémicos y garantizar la continuidad del negocio.
En un contexto donde las ciberamenazas son cada vez más sofisticadas y generalizadas, el cumplimiento de la norma NIS2 no es solo una cuestión de cumplimiento, sino un factor estratégico para proteger la confianza de clientes, socios y ciudadanos. Actuar hoy significa no solo evitar sanciones, sino también construir un ecosistema digital más seguro y resiliente, beneficiando a todo el país.
El Departamento de Energía de Estados Unidos (DOE) ha establecido una colaboración estratégica con Nvidia y Oracle para construir siete supercomputadoras de próxima generación impulsadas por IA ,...
Curiosamente, mientras que grandes empresas como Microsoft y Google están añadiendo activamente funciones de IA a sus navegadores, el equipo de desarrollo de Tor ha optado por eliminarlas. @henry, c...
El panorama de la ciberseguridad se vio sacudido recientemente por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en los servicios de actualización de Windows ...
Investigadores de NeuralTrust han descubierto una vulnerabilidad en el navegador ChatGPT Atlas de OpenAI. En esta ocasión, el vector de ataque se encuentra en la barra de direcciones, donde los usuar...
El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
