NIS2 en la práctica 2026: Las tres vías de notificación que las empresas necesitan en la primera hora del incidente

6 min. de lectura

El momento en que los equipos de seguridad descubren que algo va muy mal no es el momento adecuado para hojear el texto legal. Quien todavía tiene que aclarar en T+0 qué espera cada autoridad tiene tres relojes corriendo simultáneamente en su contra: BSI, protección de datos, contrato con clientes y aseguradora. Este artículo muestra qué vías de notificación deben atenderse en paralelo en 2026, qué solicitan realmente los formularios y plataformas, y dónde han tropezado los primeros casos documentados.

RelacionadoGobernanza NIS2 en la mediana empresa   /  Ransomware 2026: Qué ocurre cuando las empresas pagan

La confusión es frecuente: se habla de la notificación NIS2 como si fuera un acto único. En la práctica son al menos tres canales paralelos con plazos y destinatarios distintos. Quien atiende uno demasiado tarde genera un riesgo de daño colateral que suele ser mayor que el propio incidente. A continuación no se ofrece exégesis legal, sino orientación operativa para la primera ventana de tiempo.

Quiénes están realmente afectados

La Directiva NIS2 (EUR-Lex 2022/2555) alcanza a muchas más organizaciones que su predecesora. Están incluidas las entidades esenciales e importantes de 18 sectores: energía, transporte, sanidad, infraestructura digital, pero también alimentación, correos y química. El umbral típico se sitúa en 50 empleados o 10 millones de euros de facturación anual, con excepciones al alza para sectores críticos.

La transposición alemana mediante la Ley de Implementación y Fortalecimiento de la Ciberseguridad NIS2 (NIS2UmsuCG) sufrió varios retrasos parlamentarios. Independientemente del estado de transposición: la Directiva es vinculante. Los plazos de notificación del Art. 23 se han reproducido prácticamente sin cambios en los borradores conocidos hasta la fecha.

Segundo punto que suele pasarse por alto: GDPR y NIS2 no se excluyen mutuamente. Un incidente de ransomware con exfiltración de datos de clientes activa ambos regímenes. Tres vías, una misma situación factual, formularios distintos.

Vía 1: BSI y la notificación inicial en 24 horas

¿Qué es la notificación inicial NIS2? La notificación inicial NIS2 (Early Warning) es un mensaje breve y estructurado dirigido a la autoridad nacional competente que debe enviarse en un plazo de 24 horas tras tener conocimiento de un incidente de seguridad significativo. Contiene los datos obligatorios mínimos y sirve como alerta temprana, no como análisis del caso.

La notificación inicial NIS2 en 24 horas no es un informe de incidente. Es una señal de alerta temprana estructurada dirigida a la autoridad competente. El objetivo: poner a la autoridad en el loop para que pueda emitir avisos a otros sectores si procede. Quien no lo comprende intenta redactar en la primera hora un análisis de causas que a las doce horas aún no está terminado.

Una notificación inicial debe contener de forma realista cuatro datos: sospecha de comportamiento malicioso (sí o no), tipo aproximado del incidente (ransomware, DDoS, compromiso de acceso, cadena de suministro), primera valoración de los efectos transfronterizos y una persona de contacto para consultas. Más información no podrá determinarse de forma fiable 24 horas después de la detección.

En Alemania la notificación se tramita a través del punto de notificación del BSI. El portal exacto varía según el sector y el estado de implementación actual: los operadores KRITIS conocen el procedimiento por la obligación de notificación existente; para las nuevas entidades esenciales, el formulario del BSI para incidentes de seguridad es la primera dirección. Quien hace clic por primera vez en una situación de emergencia tiene un problema. Por lo tanto: los accesos deben estar configurados antes del incidente, no durante él.

La notificación de seguimiento a las 72 horas es sustancialmente más exigente. Requiere una primera valoración de la gravedad, los efectos y los indicadores de compromiso. Quien a esas alturas aún no tiene una imagen válida del vector de ataque debe indicarlo así: la cadena de notificación del CRA funciona con la misma lógica: es mejor documentar una incertidumbre clara que tener que rectificar después una valoración aparentemente segura.

Vía 2: Protección de datos – 72 horas, pero otro reloj

En cuanto estén afectados datos personales, el Art. 33 GDPR corre en paralelo. 72 horas desde el momento en que la organización tiene conocimiento, a la autoridad de supervisión competente, con datos obligatorios: naturaleza de la violación, categorías y número aproximado de afectados, punto de contacto, consecuencias probables, medidas adoptadas.

El matiz decisivo: las 72 horas comienzan desde el momento en que la organización tiene conocimiento, no desde el momento en que se informó al consejo de administración. Quien no regula claramente esta distinción en la escalada interna recibirá preguntas incómodas de la autoridad en el seguimiento posterior.

En Alemania es competente la autoridad de supervisión del estado federado de la sede principal. En el tratamiento de datos transfronterizo rige el principio de ventanilla única con una autoridad de control principal. En la práctica, en incidentes de gran envergadura igualmente deben ser informadas por separado varias autoridades de supervisión, ya que cada una exige su propio nivel de detalle.

Un error habitual: la notificación GDPR se envía sin un dictamen forense claro y contiene cifras estimadas de afectados. Esto es admisible y está previsto (Art. 33 párr. 4 GDPR permite la presentación posterior). El problema surge cuando la notificación complementaria, semanas más tarde, sigue conteniendo las mismas estimaciones. La autoridad lo interpreta como desinterés, no como diligencia.

Vía 3: Clientes, grandes cuentas y aseguradora

El tercer canal se subestima con frecuencia, aunque puede contener los plazos más estrictos. Los grandes clientes, especialmente del sector financiero, farmacéutico y de administraciones públicas, incluyen en sus contratos cláusulas de notificación de 24 o incluso 12 horas. Las aseguradoras exigen en las pólizas de ciber un aviso «inmediato», que los tribunales han interpretado en algunos casos como «en 24 horas».

Quien atiende la cadena contractual de notificación más tarde que la institucional arriesga dos consecuencias distintas pero igualmente desagradables: los clientes pueden recurrir a penalizaciones o derechos de rescisión extraordinaria; las aseguradoras pueden denegar la cobertura al haberse incumplido la obligación de notificación inmediata. En un patrón anonimizado del sector financiero descrito repetidamente en sesiones post-mortem, la aseguradora redujo la liquidación del siniestro de forma global porque la notificación inicial se realizó solo después de concluir el primer análisis forense.

Consecuencia operativa: las cadenas contractuales de notificación deben integrarse en el mismo runbook que las institucionales. Quien busca la lista de clientes, la matriz de SLA y el contacto de la aseguradora solo en el momento de la emergencia pierde horas. Y el reloj de 24 horas corre simultáneamente para las tres vías.

Tercer componente subestimado: la comunicación con prensa y afectados. El Art. 34 GDPR exige la notificación a las personas afectadas cuando la violación supone un alto riesgo para sus derechos. Para ello debe estar preparado un texto base coordinado desde el punto de vista jurídico y comunicativo. Quien redacta los correos a los afectados solo después de haber enviado la notificación a las autoridades aparecerá en los medios antes de que los clientes escuchen la versión propia.

«La notificación inicial no es una documentación, sino un marcador de posición. Quien la redacta como un informe desperdicia el tiempo que necesita para la respuesta real al incidente.»
En síntesis, extraído de varios casos de notificación próximos a NIS2 documentados en 2025/2026

Notificación automática frente a llamada de control manual

Una pregunta que todo equipo de seguridad debería plantearse antes de que venza la primera notificación: ¿cuánto de la notificación inicial puede automatizarse y dónde es imprescindible la llamada de control manual? Ambos enfoques tienen sus ventajas e inconvenientes.

Notificación automática mediante plantillas predefinidas e interfaces API:

A favor: Rápida, coherente, independiente de personas que deben estar localizables de noche. Adecuada para casos estándar como firmas de ransomware inequívocas o exfiltración detectada.

En contra: Ciega a los matices. Notifica con frecuencia demasiado o demasiado pronto, genera trabajo adicional por correcciones posteriores. Las autoridades reaccionan con recelo ante notificaciones en serie.

Llamada de control manual antes de la notificación escrita:

A favor: Clarificar el contexto, responder consultas, confirmar la vía de notificación. En situaciones de emergencia genera confianza que se traduce posteriormente en consultas menos agresivas.

En contra: No escala en incidentes multifactor con sectores afectados en paralelo. Requiere una gestión de conversación entrenada, una habilidad que rara vez se practica en los simulacros de incidentes.

La solución pragmática reside en la combinación: notificación automática para la notificación inicial en 24 horas de los casos claros, llamada manual para la notificación de seguimiento en 72 horas y para las zonas grises. Lo decisivo es que el proceso esté definido antes del incidente, no desarrollado durante él.

Trampas de los primeros casos de notificación

Los siguientes patrones proceden de informes de experiencia anonimizados y sesiones post-mortem de 2025/26. Recurrentes, no excepcionales:

Trampa del interlocutor. La notificación inicial designa a una persona que ni dispone de la información necesaria ni puede responder consultas de inmediato. Solución: matriz de disponibilidad 24/7 con regla de sustitución, no solo un número de teléfono de la dirección de TI.

¿Paralelo o en serie? Los equipos atienden primero al BSI, luego a protección de datos, luego a los clientes, para construir una historia coherente. Resultado: se incumplen plazos en las tres vías. Solución: notificar en paralelo; distintos niveles de detalle por destinatario son algo esperado.

Brecha en los logs. Sin logs completos y accesibles, la notificación de seguimiento en 72 horas queda vaga en cuanto al vector de ataque. Véase al respecto ataques con infostealer mediante cookies de sesión, donde exactamente estas brechas marcan la diferencia entre esclarecimiento y pregunta abierta. Solución: la retención de logs forma parte de la preparación.

La aseguradora como idea de último momento. La póliza de ciber está en el departamento jurídico y nadie en el equipo de seguridad conoce los plazos de notificación. Solución: incorporar la póliza al incident playbook y revisar los plazos con antelación.

Higiene comunicativa. Lo que figura en el formulario de notificación puede ser utilizado en procesos civiles. Formulaciones como «problema conocido que fue ignorado» son honestas, pero jurídicamente arriesgadas. Solución: seguridad, jurídico y comunicación aprueban conjuntamente, no el CISO solo bajo presión de tiempo.

Conclusión

Las tres vías de notificación – BSI, protección de datos, clientes/aseguradora – no son un carril de preferencia, sino tráfico en paralelo. Quien las recorre por primera vez en una emergencia perderá tiempo que no tiene. El trabajo se realiza antes del incidente: configurar los accesos, preformular las plantillas, mantener las matrices de interlocutores, leer las pólizas de seguro. Un IR playbook que no contempla las tres vías ya no está completo en 2026.

Propuesta concreta para la próxima revisión trimestral: confrontar el propio playbook con las tres vías de notificación. Quien no pueda indicar en una hora qué plantillas están disponibles para qué canal, y qué sustitución entra en vigor si el interlocutor principal está de vacaciones, tiene trabajo por delante. Como complemento útil: Gobernanza de datos en la mediana empresa muestra los fundamentos sobre los que se construye una capacidad de notificación seria.

Último punto que raramente aparece en las diapositivas: ejercicios de mesa con observadores externos. Quien practica su propio playbook solo internamente desarrolla un punto ciego para la comunicación externa. Un asesor jurídico con experiencia y un contacto de comunicación de crisis en el bucle de la simulación detectan carencias que en una emergencia resultan costosas. Una vez al año, con un escenario realista, con el reloj parado. Es el seguro más económico contra errores de notificación.

Preguntas frecuentes

¿Está ya vigente la obligación de notificación NIS2 en Alemania en 2026?

La Directiva NIS2 está en vigor a nivel europeo desde el 17 de enero de 2023; el plazo de transposición venció el 17 de octubre de 2024. La transposición alemana mediante la NIS2UmsuCG se ha retrasado en varias ocasiones. Independientemente del estado de transposición nacional, son de aplicación las disposiciones de la Directiva y las obligaciones de notificación vigentes del BSIG para los operadores KRITIS. Quien vaya a quedar incluido en el ámbito de NIS2 no debería esperar a la firma.

¿Debo notificar en paralelo al BSI y a protección de datos en caso de ransomware?

Sí, en cuanto estén o puedan estar afectados datos personales. Las dos obligaciones de notificación son regímenes separados con plazos distintos. NIS2 aborda la seguridad del suministro; el GDPR, los derechos de los afectados. Una notificación no sustituye a la otra.

¿Cuál es la diferencia entre la notificación inicial y la Incident Notification en NIS2?

La notificación inicial (Early Warning, 24 horas) es una señal estructurada con datos mínimos. La Incident Notification (72 horas) es una primera valoración con vector de ataque, gravedad y efectos, en la medida en que sean conocidos. El informe final en el plazo de un mes ofrece la evaluación definitiva.

¿Quién es la autoridad de supervisión competente en Alemania para las notificaciones GDPR?

Depende de la sede de la oficina principal. Las empresas bávaras notifican generalmente a la Oficina Estatal de Supervisión de Protección de Datos de Baviera (BayLDA) para el ámbito no público; las de Renania del Norte-Westfalia, al Comisionado Estatal de Protección de Datos y Libertad de Información de NRW, y así sucesivamente. En el tratamiento transfronterizo rige el principio de ventanilla única con una autoridad de control principal.

¿Qué ocurre si la notificación a la aseguradora de ciber llega demasiado tarde?

En el peor de los casos puede llevar a una reducción de la cobertura o a su exclusión. Las pólizas de ciber suelen contener la obligación de notificación «inmediata», que se interpreta de forma estricta en caso de siniestro. La notificación contractual debería ser el primer canal en atenderse, a menudo en las 24 horas siguientes al conocimiento del hecho.

Más sobre el tema

→ Infostealer 2026: Por qué las cookies de sesión robadas eluden el MFA

→ Cyber Resilience Act desde el 11 de septiembre de 2026: La obligación de notificación en 24 horas

→ Gobernanza de datos en la mediana empresa: Análisis práctico del nuevo DGG

Estado: abril de 2026. Clasificación legal sin garantía; las normativas continúan evolucionando.

Fuente de la imagen de portada: Pexels / Sergey Sergeev (px:32845695)

Sobre el autor: Alec Chizhik

Más artículos de Alec Chizhik