Notificación de incidentes en el marco del ENS

Notificación de incidentes a INCIBE-CERT y CCN-CERT

Ante un incidente de seguridad, el Esquema Nacional de Seguridad (ENS, RD 311/2022) exige detectarlo, gestionarlo y notificarlo al CSIRT de referencia: INCIBE-CERT para el sector privado y CCN-CERT para el sector público. La clasificación de la peligrosidad y el impacto sigue las guías CCN-STIC. Esta página resume cada paso y explica cómo Reglyze prepara el contenido de la notificación sin sustituir su actuación de presentarla.

Canal de notificación: el sector privado y los ciudadanos notifican a INCIBE-CERT; el sector público notifica al CCN-CERT, operado por el Centro Criptológico Nacional (CCN).

El proceso de gestión del incidente

El ENS encuadra la notificación dentro de un proceso completo de gestión del incidente. Estos son los pasos principales.

  1. 1

    Detección y registro

    primer paso de la gestión del incidente

    El incidente se detecta a través de la monitorización del sistema y se registra: qué ha ocurrido, qué activos y servicios se ven afectados y desde cuándo. Un registro temprano y ordenado es la base de todo lo que viene después.

    gestión de incidentes del marco operacional (Anexo II)

  2. 2

    Clasificación de la peligrosidad y el impacto

    según las guías CCN-STIC

    Se clasifica el incidente por su peligrosidad y por su impacto sobre las dimensiones de seguridad, conforme a la taxonomía y los niveles de las guías CCN-STIC. La clasificación determina la prioridad de la respuesta y orienta a qué CSIRT de referencia y con qué urgencia corresponde notificar.

    taxonomía y niveles de peligrosidad e impacto del CCN

  3. 3

    Notificación al CSIRT de referencia

    INCIBE-CERT o CCN-CERT

    El incidente se notifica al CSIRT de referencia: INCIBE-CERT para el sector privado y los ciudadanos, y CCN-CERT para el sector público. La notificación describe el incidente, su clasificación y su impacto, y permite solicitar apoyo en la respuesta.

    notificación de incidentes en el marco del ENS

  4. 4

    Resolución y lecciones aprendidas

    cierre del incidente

    Tras contener y resolver el incidente, se documenta el análisis: causa probable, vector, medidas aplicadas y acciones de mejora. Las lecciones aprendidas alimentan el plan de seguridad y reducen la probabilidad de repetición.

    mejora continua de la gestión de incidentes

Los plazos y el procedimiento concreto de notificación se rigen por las guías CCN-STIC y los procedimientos del CSIRT de referencia, en función de la peligrosidad y el impacto del incidente.

¿Qué incidentes deben notificarse?

El umbral depende del impacto del evento sobre la información y los servicios. Con carácter general, debe notificarse el incidente que:

  • afecta o puede afectar a la continuidad o la calidad del servicio prestado;
  • compromete alguna de las dimensiones de seguridad (disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad);
  • alcanza un nivel de peligrosidad o impacto relevante según la clasificación de las guías CCN-STIC.

Los incidentes de menor entidad (contenidos, sin afectación relevante del servicio) no alcanzan el umbral de notificación, pero deben registrarse internamente como evidencia de la gestión de incidentes del Anexo II. Si el incidente afecta a datos personales, puede surgir además una obligación independiente ante la autoridad de protección de datos (la AEPD), distinta de la notificación al CSIRT.

Contenido de la notificación

Preparar la información con antelación (antes de que ocurra el incidente) acorta el tiempo de respuesta cuando el reloj ya corre.

  • Descripción del incidente: qué ha ocurrido, cuándo se detectó y qué activos y servicios se ven afectados.
  • Clasificación: peligrosidad e impacto sobre las dimensiones de seguridad, conforme a las guías CCN-STIC, e indicadores de compromiso cuando estén disponibles.
  • Estado y cierre: medidas de contención y recuperación aplicadas, causa probable, vector y acciones de mejora.

Cómo ayuda Reglyze sin notificar por usted

Reglyze incluye un módulo de incidentes que acompaña cada incidente de principio a fin: ayuda a clasificar la peligrosidad, genera con IA borradores de la notificación, permite adjuntar evidencias y prepara el análisis de cierre en un formato listo para trasladarlo al CSIRT de referencia.

Reglyze nunca presenta la notificación al CSIRT en su nombre. La presentación es siempre una actuación de la persona operadora ante INCIBE-CERT o CCN-CERT. Es la organización quien conserva la constancia de la notificación, que sirve como evidencia del cumplimiento. Reglyze acelera la preparación del contenido y el control queda de su lado.

El contenido de los borradores se refiere únicamente al marco español (Esquema Nacional de Seguridad, RD 311/2022) y la clasificación es coherente con las guías CCN-STIC publicadas por el CCN.

Preguntas frecuentes

¿A quién se notifica un incidente de seguridad?
Al CSIRT de referencia. Para el sector privado y los ciudadanos es INCIBE-CERT; para el sector público es CCN-CERT, operado por el Centro Criptológico Nacional. La clasificación de la peligrosidad y el impacto se hace conforme a las guías CCN-STIC.
¿Qué incidentes deben notificarse?
Con carácter general, los incidentes de seguridad que afectan a la información o a los servicios, valorados por su peligrosidad y por su impacto sobre las dimensiones de seguridad. Los eventos menores, contenidos sin afectación relevante del servicio, se registran internamente como evidencia de la gestión de incidentes del Anexo II, aunque no alcancen el umbral de notificación.
¿Cómo se clasifica un incidente?
Por su peligrosidad y por su impacto, siguiendo la taxonomía y los niveles de las guías CCN-STIC del CCN. La clasificación fija la prioridad de la respuesta y orienta la notificación al CSIRT de referencia. Reglyze ayuda a situar el incidente en esa clasificación.
¿Reglyze notifica el incidente en mi nombre?
No. Reglyze prepara el contenido de la notificación (descripción, clasificación, impacto, evidencias), pero la presentación ante INCIBE-CERT o CCN-CERT es siempre una actuación de la persona operadora. Reglyze nunca presenta la notificación por usted.
¿Qué debe contener la notificación?
Una descripción del incidente, su clasificación de peligrosidad e impacto, los activos y servicios afectados, el estado de la respuesta y, cuando sea posible, los indicadores de compromiso. En el cierre, el análisis con la causa probable, el vector y las medidas aplicadas.

Llegue preparado al próximo incidente

El diagnóstico gratuito de 2 minutos le dirá si le alcanza la obligación de gestionar y notificar incidentes. El plan gratuito incluye la evaluación inicial; el módulo de incidentes está en el plan de pago.

Reglyze no sustituye al asesoramiento jurídico. Las notificaciones de incidentes las presenta usted ante el CSIRT de referencia: INCIBE-CERT para el sector privado y CCN-CERT para el sector público.