Reporte de incidentes en 72 horas bajo PIC: guía de campo

La ventana de 72 horas no es un plazo administrativo, es la prueba operativa de si el operador conoce su propia instalación.

Quien ha trabajado con la Ley 8/2011 y su reglamento sabe que el reloj no empieza cuando el comité de crisis se reúne, sino cuando el operador, en sentido razonable, ha podido constatar que existe un incidente con impacto sobre el servicio esencial. Esa diferencia, que en el papel parece menor, decide en la práctica si la notificación llega como un acto de control sobre la situación o como una reacción tardía que la autoridad competente ya conocía por otra vía. El fabricante que entrega tecnología a operadores críticos lo ve desde fuera con claridad: la calidad del reporte refleja, casi sin excepción, la calidad del régimen interno de detección, clasificación y escalado.

El plazo nace de la detección, no del descubrimiento

La primera confusión que conviene deshacer es la que opone detección a descubrimiento. La detección es el momento en que un sistema, un operador humano o un proveedor externo registra una anomalía con potencial de afectar al servicio esencial. El descubrimiento es el momento, posterior, en el que la organización entiende que esa anomalía constituye un incidente notificable. Entre ambos pueden pasar minutos o pueden pasar días, y en ese intervalo se juega buena parte de la legitimidad del operador frente al CNPIC y, cuando concurren elementos de ciberseguridad sobre infraestructuras críticas, frente al INCIBE-CERT y al CCN-CERT en la parte que les corresponde por el sector y la titularidad.

La regulación española, en línea con el marco europeo que ha venido endureciéndose desde la transposición de NIS y su sustitución por NIS2, fija la obligación de notificar sin demora indebida y, en cualquier caso, dentro de un margen que en la práctica se ha consolidado alrededor de las 72 horas para la notificación completa, con una alerta previa más temprana cuando el incidente es significativo. El operador que entiende esto deja de discutir si el reloj corre desde las 02:14 o desde las 02:47 y se concentra en lo que de verdad importa, que es disponer de un procedimiento interno que convierta cualquier detección razonablemente fundada en una decisión de escalado documentada. La autoridad competente no espera que el operador acierte en la primera hora con la causa raíz. Espera que el operador haya activado el procedimiento, haya nombrado responsables y haya empezado a recoger evidencia con criterio forense desde el principio.

En la experiencia de campo, los operadores que cumplen con holgura el plazo de 72 horas son aquellos que han ensayado el escalado al menos dos veces al año y han incluido en el ensayo a la dirección general, no sólo al responsable de seguridad. Quien ha vivido una notificación real sabe que el cuello de botella no suele ser técnico, sino jerárquico, y que la firma del directivo competente llega tarde cuando la cadena de mando no ha sido recorrida antes en seco.

Qué es un incidente notificable y qué no lo es

La segunda confusión, más cara que la primera, es la que asimila incidente a incidente notificable. No todo evento de seguridad activa la obligación. La ley pide que el operador notifique aquellos incidentes con impacto significativo sobre el servicio esencial, entendiendo el servicio esencial en los términos en que ha sido designado el operador y en los términos del Plan de Seguridad del Operador y del Plan de Protección Específico de la instalación afectada. El criterio que la práctica ha consolidado combina cuatro dimensiones: la continuidad del servicio, el alcance geográfico o poblacional de la afectación, la duración prevista de la disrupción y el carácter intencional o no del evento.

Un corte de fluido eléctrico de quince minutos en una subestación periférica con redundancia activa, sin afectación al cliente final, normalmente no es notificable en el sentido del régimen PIC, aunque sí pueda serlo en otros marcos sectoriales. Un mismo corte de quince minutos en una subestación sin redundancia que deja sin servicio a un hospital es notificable sin discusión. Entre los dos extremos se mueve un espacio gris que cada operador debe haber acotado en su propia matriz de criterios, validada con la autoridad competente y revisada al menos una vez al año. Esta matriz es la que permite al responsable de guardia, a las tres de la mañana, decidir en cinco minutos si activa el procedimiento o lo registra como incidente menor.

El error que se observa con más frecuencia, sobre todo en operadores que han crecido por adquisiciones, es trabajar con criterios distintos en instalaciones que pertenecen al mismo operador, simplemente porque cada centro ha heredado la cultura de su antiguo propietario. Esa heterogeneidad, que en operaciones rutinarias pasa desapercibida, genera notificaciones inconsistentes que la autoridad competente sí registra y compara. Dos incidentes equivalentes, uno notificado y otro no, en instalaciones del mismo operador, son una señal de control interno débil. El supervisor no necesita decirlo en voz alta para llegar a esa conclusión.

La pregunta práctica que el directivo debe poder responder en cualquier momento es la siguiente: en su organización, ¿quién tiene autoridad para clasificar un incidente como notificable y quién tiene autoridad para decidir que no lo es? Si las dos respuestas son la misma persona, el régimen interno es débil. Si las dos respuestas son distintas y han sido formalizadas, el régimen está en condiciones de soportar la ventana de 72 horas sin improvisación.

La estructura mínima del reporte

El contenido del reporte no es un formulario libre. La autoridad competente espera una estructura reconocible, que en términos prácticos se compone de seis bloques. El primero identifica al operador, la instalación, el responsable designado y los canales de contacto operativos durante las 72 horas siguientes. El segundo describe el incidente en términos de hechos, no de hipótesis: cuándo se detectó, cómo se detectó, qué se observó, qué sistemas se vieron afectados, qué medidas inmediatas se adoptaron. El tercero estima el impacto sobre el servicio esencial, distinguiendo entre impacto materializado e impacto potencial, con las cifras que estén disponibles en ese momento y con la indicación explícita de cuáles son provisionales. El cuarto identifica, si es posible, la naturaleza del incidente, separando con claridad lo que se sabe de lo que se sospecha. El quinto describe las medidas de contención y recuperación en curso. El sexto fija el calendario de actualizaciones que el operador se compromete a entregar.

Esta estructura no es decorativa. Permite a la autoridad competente integrar el reporte en su propio circuito de coordinación, que en incidentes relevantes implica al CNPIC, al INCIBE-CERT cuando el componente ciber es central, al CCN-CERT en sistemas de las administraciones, y a las fuerzas y cuerpos de seguridad cuando hay indicios de delito. Un reporte que mezcla hechos con hipótesis, o que omite el calendario de actualizaciones, obliga al regulador a pedir aclaraciones y consume tiempo en ambos lados. Un reporte limpio, en cambio, permite que la autoridad pase de inmediato a la fase de coordinación sin tener que reconstruir la situación desde fuera.

Hay un detalle que conviene cuidar especialmente: la trazabilidad de las decisiones internas. El reporte no debe contener actas internas ni discusiones, pero debe estar respaldado por un registro interno que permita, semanas o meses después, reconstruir por qué se decidió notificar a una hora determinada, con qué información, y por quién fue firmada la decisión. Cuando la autoridad competente vuelve sobre un incidente, lo primero que pide es esa trazabilidad. Su ausencia convierte un incidente bien gestionado en un expediente sancionable, aunque la notificación en sí haya sido impecable.

La fase posterior: actualizaciones, informe final y lecciones aprendidas

La notificación de 72 horas no cierra el procedimiento, lo abre. A partir de ese momento, el operador queda obligado a mantener informada a la autoridad competente con la cadencia que él mismo haya propuesto y que la autoridad haya aceptado, o con la que la autoridad le indique. En la práctica, las actualizaciones se entregan cada 24 o 48 horas durante la fase aguda, espaciándose a medida que el incidente entra en fase de recuperación y posterior análisis forense. El informe final, que cierra formalmente el expediente, suele entregarse entre dos y seis semanas después, según la complejidad del caso, e incluye causa raíz, alcance definitivo, medidas correctoras adoptadas y plan de medidas preventivas para evitar la recurrencia.

El operador que trata este informe final como un trámite pierde la mejor oportunidad de capitalizar el incidente. La autoridad competente, en su evaluación del operador a medio plazo, no juzga sólo si los incidentes ocurren, sino si el operador aprende de ellos de forma demostrable. Un informe final que describe medidas correctoras concretas, con responsables y plazos, y que vincula esas medidas al Plan de Protección Específico actualizado, se valora de manera muy distinta a un informe que cierra con frases genéricas sobre refuerzo de procedimientos. La diferencia se nota en la siguiente auditoría, en la siguiente inspección y, llegado el caso, en la siguiente conversación sobre sanciones.

Hay un aspecto adicional que los operadores maduros han incorporado a su práctica: el cruce entre el régimen PIC y otros regímenes concurrentes. Un mismo incidente puede generar obligación de notificación al CNPIC por su impacto sobre la infraestructura crítica, a la AEPD si hay datos personales comprometidos, al INCIBE-CERT si el vector es ciber y el operador es designado bajo NIS2, y al sectorial correspondiente cuando lo hay. Coordinar estas notificaciones para que sean consistentes entre sí, sin contradicciones y sin solapamientos confusos, es un trabajo que no se improvisa a las cuatro de la mañana. Se prepara en frío, con plantillas cruzadas y con un responsable único de comunicación regulatoria que tiene autoridad para validar todos los textos antes de su envío.

Los errores que repiten los operadores

A lo largo de los años, ciertos errores se repiten con una regularidad que permite catalogarlos. El primero es la notificación prematura, en la que el operador, presionado por el plazo, envía un reporte con información todavía no consolidada y se ve obligado a rectificar en las horas siguientes. Las rectificaciones son legítimas y están previstas, pero su acumulación deteriora la credibilidad del operador. La autoridad competente prefiere un reporte completo entregado en la hora 60 a uno fragmentario entregado en la hora 10.

El segundo error es la notificación demorada, en la que el operador apura el plazo en exceso buscando una imagen completa que en realidad no va a tener en 72 horas. La ley no exige certezas, exige diligencia. Apurar el plazo en busca de una causa raíz que sólo se conocerá semanas después es un error de criterio que el regulador interpreta como falta de madurez en la respuesta.

El tercero es la confusión de canales. Operadores que envían el reporte por correo electrónico cuando el procedimiento exige plataforma específica, o que lo dirigen a un interlocutor que ya no es el competente porque ha habido un cambio organizativo en la autoridad. El operador debe verificar, al menos una vez al trimestre, que sus canales de notificación están actualizados, que las personas designadas siguen en su puesto y que los certificados digitales necesarios están vigentes.

El cuarto error, el más caro, es la inconsistencia entre lo que el operador notifica al CNPIC y lo que su gabinete de comunicación publica externamente. Cuando el incidente tiene visibilidad pública, la nota de prensa y el reporte regulatorio deben estar alineados en hechos, aunque difieran en nivel de detalle. Una contradicción entre ambos genera un expediente adicional que se suma al expediente del incidente.

Lo que permanece

La notificación en 72 horas no se gana en la hora 71. Se gana en los doce meses anteriores, en los que el operador ha construido un régimen interno capaz de detectar, clasificar, escalar, decidir y comunicar sin que ninguna de esas etapas dependa de la presencia física de una persona insustituible. Quien ha invertido en ese régimen percibe la ventana de 72 horas como un margen confortable. Quien no ha invertido la percibe como una amenaza permanente.

La diferencia entre ambos perfiles no se resuelve con tecnología, aunque la tecnología ayuda. Se resuelve con un trabajo previo de auditoría interna, de revisión de procedimientos y de prueba en condiciones simuladas. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" sostengo que la sustancia de una organización se mide por lo que sigue en pie cuando las condiciones se vuelven adversas. La notificación de 72 horas es una de esas condiciones, breve pero exigente, en la que la sustancia se ve sin filtros.

Para el operador que llegue hasta aquí y reconozca que su régimen interno no soporta una notificación limpia, la auditoría de tres a cinco días descrita como Camino II en el material complementario del libro permite obtener una imagen objetiva de la distancia entre el procedimiento documentado y la práctica real, con un plan de medidas priorizado por impacto y por esfuerzo. Para quien quiera empezar por una conversación más acotada, el Camino I, una hora confidencial con la dirección, es suficiente para situar el problema antes de comprometer recursos.

Preguntas frecuentes

¿Quién debe reportar?

La obligación de notificar recae sobre el operador crítico designado conforme a la Ley 8/2011 y, en términos operativos, sobre el responsable de seguridad y enlace que el operador haya comunicado formalmente al CNPIC. En la práctica, el reporte lo prepara el equipo de seguridad y lo firma el directivo con poder suficiente para representar al operador frente a la autoridad. Cuando el incidente afecta a varias instalaciones de un mismo operador, la notificación es única y consolidada. Cuando afecta a operadores distintos, cada uno notifica por separado y se coordinan posteriormente bajo la dirección del CNPIC.

¿Qué umbral activa?

Activa el umbral cualquier incidente con impacto significativo sobre el servicio esencial designado, evaluado en términos de continuidad, alcance, duración e intencionalidad. La regulación no fija un umbral numérico universal porque depende del sector y de la designación específica del operador. Cada operador debe disponer de una matriz interna de criterios, validada con la autoridad competente, que traduzca esos cuatro factores en una decisión binaria de notificar o no notificar. La matriz se revisa al menos una vez al año y tras cada incidente relevante, incorporando las lecciones aprendidas en la actualización del Plan de Protección Específico.

¿Qué pasa si se incumple?

El incumplimiento de la obligación de notificar, ya sea por omisión, por demora injustificada o por entrega incompleta sistemática, está tipificado como infracción en el régimen sancionador asociado a la legislación de protección de infraestructuras críticas, con consecuencias que pueden incluir sanciones económicas significativas y la pérdida de credibilidad frente al regulador, que pesa en evaluaciones posteriores. Más allá de la sanción formal, el operador que incumple ve reforzado el régimen de inspección sobre sus instalaciones y pierde margen en la negociación de planes de mejora. La consecuencia reputacional, aunque menos visible, suele ser la más persistente.

¿Quién recibe?

El receptor principal es el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, CNPIC, dependiente del Ministerio del Interior, que actúa como autoridad competente y como punto de coordinación con el resto de actores. Cuando el incidente tiene componente ciber sobre infraestructura crítica, el INCIBE-CERT recibe también la notificación correspondiente en su ámbito, y el CCN-CERT cuando afecta a sistemas del sector público. Si hay datos personales comprometidos, la AEPD recibe notificación separada bajo su régimen propio. La coordinación entre estos canales corresponde al operador, que debe garantizar consistencia entre todas las comunicaciones regulatorias emitidas.