¿Qué exige este criterio?
El procedimiento de gestión y notificación de incidentes debe adaptarse al nuevo esquema de tres escalones: (1) alerta temprana al supervisor en ≤24 horas tras conocer el incidente significativo (información mínima: ¿qué pasó? ¿cuándo?); (2) notificación detallada en ≤72 horas (análisis de impacto, medidas tomadas, estimación de alcance); (3) informe final en ≤1 mes (análisis de causa raíz, acciones correctoras implementadas, lecciones aprendidas). Cada escalón tiene su plantilla y canal de comunicación.

¿Qué hay que revisar al cliente?

• Procedimiento de notificación de incidentes actualizado con los tres escalones (24h/72h/1 mes).
• Plantillas para cada escalón de notificación.
• Canal de notificación al supervisor para cada escalón.
• Criterios de clasificación de incidentes 'significativos'.
• Simulacro del procedimiento completo realizado.

Preguntas clave para las entrevistas

• ¿El procedimiento de notificación de incidentes contempla los tres escalones 24h/72h/1 mes?
• ¿Hay plantillas preparadas para cada escalón de notificación?
• ¿Se ha simulado el proceso completo para verificar que los plazos son alcanzables?
• ¿Los criterios de clasificación de incidentes 'significativos' son claros para el equipo operativo?

¿Por qué es esencial para QERDS y TSA?
El esquema de tres escalones de NIS2 es más exigente que el plazo único de 24h de eIDAS 1. En particular, el informe final de 1 mes requiere capacidad de análisis forense y de causa raíz que no siempre está disponible. Preparar las plantillas y el proceso antes de que ocurra un incidente es fundamental.

Evidencia que demostraría conformidad

• Procedimiento de notificación con los tres escalones.
• Plantillas para alerta 24h, notificación 72h e informe final.
• Registro de simulacro del procedimiento.