A partir de cuándo el plazo de notificación realmente comienza a correr
7 min. de lectura
Cuatro horas. Tan poco tiempo concede DORA a una entidad financiera para notificar un incidente grave de TI a la autoridad supervisora. NIS2 otorga 24, el RGPD 72. Tres normativas, tres relojes, y la pregunta más importante apenas la formula nadie a tiempo: ¿cuándo empieza a contar exactamente?
Lo más importante en resumen
- Claramente escalonado: DORA exige la notificación inicial en 4 horas, NIS2 la alerta temprana en 24 y el RGPD la comunicación en 72. DORA es el reloj más estricto.
- El punto de partida es decisivo: NIS2 y el RGPD cuentan desde el conocimiento del incidente, DORA desde su clasificación como grave. Quien establezca mal el punto de partida perderá horas.
- Un incidente, varios relojes: Un caso de ransomware con datos de clientes puede activar simultáneamente NIS2, DORA y el RGPD. Los plazos corren en paralelo, no de forma consecutiva.
- La primera hora es para el proceso: Quien solo aclare en caso de emergencia quién clasifica y notifica, ya habrá perdido el plazo más ajustado.
Relacionado:NIS2 tras el plazo: Ahora comienza la supervisión del BSI / El plan de emergencia que nadie ha ensayado
Las tres plazos al mismo tiempo
Quien trabaja en una empresa regulada conoce normalmente los distintos plazos. Pocas veces están claramente alineados sobre la mesa. Eso se vuelve especialmente relevante en casos reales, cuando tres normativas actúan al mismo tiempo y cada una lleva su propio cronómetro.
¿Cuál es el plazo de notificación ante un incidente de seguridad? Se refiere al período legalmente establecido dentro del cual una empresa debe notificar a la autoridad competente un incidente relevante. Comienza con un disparador definido legalmente, según la normativa, ya sea la conciencia o la clasificación del incidente. El propio ataque no pone en marcha el cronómetro todavía.
| Normativa | Primer plazo | Comienza el cronómetro | Destinatario |
|---|---|---|---|
| DORA | 4 horas | Clasificación como grave | BaFin |
| NIS2 | 24 horas (aviso temprano) | Conocimiento del incidente | BSI |
| DSGVO | 72 horas | Conocimiento de la filtración de datos | Autoridad de protección de datos |
Detrás de cada primer plazo hay una cascada. NIS2 exige, tras la notificación temprana de 24 horas, una comunicación sustancial dentro de 72 horas y un informe final después de un mes. DORA sigue el mismo patrón con una comunicación intermedia tras 72 horas y un informe final tras un mes. Por tanto, el primer plazo no es un punto final, sino el pistoletazo de salida para un informe multietapa.
Si un incidente cae bajo alguna de las tres normativas depende del ámbito de aplicación. NIS2 afecta instalaciones esenciales e importantes en ocho sectores diferentes, desde energía hasta servicios digitales pasando por la salud. DORA aplica específicamente al sector financiero y sus proveedores de servicios de TI. La DSGVO entra en vigor independientemente del sector siempre que estén involucridos datos personales. Muchas empresas subestiman que pueden estar sujetas a varias normativas simultáneamente. Un proveedor de servicios financieros tiene que cumplir con las tres a la vez, mientras que un hospital está sujeto a NIS2 y a la DSGVO.
Cuándo comienza a correr el cronómetro
Aquí está el punto donde muchos planes se tambalean. El plazo no comienza con el primer registro sospechoso en los logs. Empieza con un momento definido legalmente. En el caso de NIS2 y la DSGVO, este momento es el conocimiento: el instante en el que la empresa sabe con suficiente seguridad que existe un incidente que requiere notificación. En el caso de DORA, cuenta la clasificación como incidente grave, que a su vez debe realizarse rápidamente tras su descubrimiento.
Esta diferencia puede sonar académica, pero en la práctica cuesta tiempo real. Un equipo de seguridad que detecta una anomalía a las 02:00 aún no tiene conocimiento en sentido jurídico. Tan pronto como el análisis confirme el incidente, se da el pistoletazo de salida, y el cronómetro no se puede retroceder. Quien retrase la clasificación para protegerse del plazo corre el riesgo de ser acusado de dilación en la notificación durante una auditoría.
En la práctica esto significa que la definición de «conocimiento» y «clasificación» debe establecerse previamente por escrito, con umbrales claros y una persona designada que tome la decisión. Quien resuelva esta cuestión solo cuando ocurra el incidente pierde exactamente los minutos que DORA ni siquiera concede.
Cuando varias relojes marcan al mismo tiempo
El caso más molesto no es el menos frecuente. Un ataque de ransomware contra un proveedor de servicios financieros cifra sistemas y extrae datos de clientes. Tan pronto como el equipo detecta y clasifica el incidente, comienzan a correr tres relojes simultáneamente: DORA debido al grave incidente de TI, NIS2 por la interrupción de servicios esenciales y la DSGVO por los datos personales afectados.
Las fechas límite avanzan en paralelo, con distintas velocidades y dirigidas a distintas autoridades. Coordinar varias comunicaciones provenientes de diferentes equipos bajo presión del tiempo es la forma más fiable de perder al menos una fecha límite. Sería más útil un único desencadenante interno que active simultáneamente los tres canales de comunicación y prepare los campos necesarios.
Lo que suele pasar entre la prisa es la documentación. Cada supervisión espera posteriormente una línea de tiempo verificable: cuándo se detectó el incidente, cuándo se clasificó y cuándo se notificó. Quien reconstruya esta línea de tiempo después, rápidamente cae en dificultades explicativas. Un protocolo que se inicie desde la primera minuto protege mejor contra la acusación de demora en la notificación y proporciona en el auditorio las pruebas que se piden en cualquier caso.
El flujo de trabajo para la primera hora
El reloj más estricto dicta el ritmo. Quien esté preparado para la plazo de 4 horas de DORA, ya mantiene los demás. Cuatro pasos deben practicarse previamente, mucho antes del caso real.
- Clasificación inmediata, mediante un rol definido. Una persona previamente definida decide, basándose en umbrales claros, si un incidente debe ser reportado y considerado grave. En DORA, esta clasificación pone en marcha el plazo, en NIS2 y en la DSGVO fija el momento de conocimiento. Así, el reloj empieza a correr desde un momento documentado.
- Canales de notificación preparados. Los accesos al portal de notificación de BaFin, a la plataforma del BSI y a la autoridad de protección de datos están disponibles antes del incidente, junto con los datos de contacto y plantillas con campos obligatorios.
- Un desencadenante para todos los regímenes. Un proceso interno verifica automáticamente, en cada incidente confirmado, qué de los tres deberes aplica y activa las correspondientes notificaciones.
- Primera notificación sin completitud. La primera notificación no requiere una análisis completo. Una notificación oportuna y sincera es mejor que una tardía pero perfecta. Los detalles siguen en el siguiente paso de notificación.
Se practica esto en una simulación de mesa, donde el reloj corre de verdad. Solo allí se muestra si la clasificación puede lograrse en minutos o si el equipo aún discute mientras corre la plazo de DORA. La lección de la mayoría de las simulaciones es la misma: no falta la tecnología, sino la decisión bien ejercitada.
Preguntas frecuentes
¿Cuándo comienza la plazo de 24 horas de NIS2?
La plazo comienza con el conocimiento de un incidente de seguridad significativo, es decir, con el momento en que la empresa tiene suficiente seguridad para saber que existe un incidente reportable. Dentro de 24 horas, entonces, está vencida la alerta temprana ante el BSI.
¿Por qué es tan estricta DORA con 4 horas?
DORA aborda el sector financiero, en el cual un fallo de TI puede tener rápidas consecuencias sistémicas. Por eso exige la notificación inicial a la BaFin dentro de 4 horas tras la clasificación como incidente grave, claramente más ajustada que las 24 horas de NIS2.
¿Tengo que reportar el mismo incidente varias veces?
Sí, si activa varios regímenes. Un ataque de ransomware con filtración de datos puede afectar simultáneamente a DORA, NIS2 y a la DSGVO. Las notificaciones van a distintas autoridades y deben ser activadas simultáneamente mediante un proceso interno coordinado.
¿Qué cuenta como punto de inicio, conocimiento o descubrimiento?
Legalmente, en NIS2 y en la DSGVO, cuenta el conocimiento confirmado, es decir, el momento en que el análisis confirma el incidente. Un primer sospecha no es suficiente. En DORA, la clasificación como grave es determinante, debe realizarse rápidamente tras el descubrimiento y no debe posponerse.
¿Qué ocurre si supero una plazo?
Las plazos no cumplidos pueden llevar a multas y, en el caso de NIS2, también a la responsabilidad personal de la dirección. Las autoridades supervisoras valoran una notificación retrasada o omitida regularmente más severamente que un incidente reportado abiertamente.
Recomendaciones de lectura de la redacción
- Cumplimiento de NIS2 en las pymes: pasos viables, errores evitables
- La NIS2 se aplica: primeros procedimientos, responsabilidad personal
- MFA adaptativo en la auditoría NIS2: cuándo sirve la política como prueba
Más de la red de MBF Media
Fuente de la imagen: Unsplash / FlyD
