Aplazamiento de notificación de ciberataques NIS2: qué deben hacer las empresas

Datos clave

Si tu empresa está obligada a notificar incidentes de ciberseguridad bajo la normativa NIS2, el Reglamento Delegado (UE) 2026/881 cambia las reglas del juego: ya no basta con notificar o no notificar un ciberataque. Ahora existe un procedimiento específico para aplazar esa notificación, con condiciones concretas que debes poder acreditar ante la autoridad competente.

Este reglamento, publicado el 20 de abril de 2026, completa el Reglamento (UE) 2024/2847 y cierra una laguna que muchas empresas tenían en sus protocolos de respuesta a incidentes: ¿cuándo y cómo se puede retrasar la comunicación pública de un ataque sin incurrir en incumplimiento?

¿Qué establece esta normativa?

El Reglamento Delegado 2026/881 especifica en qué circunstancias relacionadas con la ciberseguridad se puede aplazar la difusión de notificaciones de incidentes. Establece dos condiciones principales que deben concurrir para que el aplazamiento sea válido:

• Que la divulgación inmediata pudiera comprometer investigaciones en curso relacionadas con el incidente.
• Que la divulgación inmediata pudiera agravar el impacto del incidente sobre la organización o terceros.

Además, la norma fija:

• Criterios objetivos que las empresas deben cumplir para justificar el aplazamiento.
• Procedimientos formales para solicitar y justificar el aplazamiento ante las autoridades competentes.
• La obligación de adaptar los protocolos internos de gestión de crisis para incorporar estos nuevos requisitos.

Esta norma completa el marco del Reglamento (UE) 2024/2847, que es la base legal sobre notificación de incidentes de ciberseguridad en la UE.

Impacto económico y operativo

El impacto de esta normativa no es principalmente financiero directo, sino operativo y de riesgo regulatorio. Las empresas afectadas deben asumir los siguientes costes y consecuencias:

• Revisión y actualización de protocolos internos de gestión de crisis y respuesta a incidentes para incorporar los nuevos criterios y procedimientos de aplazamiento.
• Formación de equipos de ciberseguridad, legal y dirección sobre las condiciones objetivas que permiten solicitar el aplazamiento.
• Riesgo de sanciones administrativas en caso de incumplimiento de las condiciones establecidas. La normativa no detalla importes específicos de sanciones en el texto disponible, pero el marco sancionador NIS2 es de los más exigentes de la regulación europea.
• Coste reputacional y legal si se aplaza una notificación sin cumplir los criterios objetivos exigidos y la autoridad competente lo determina como incumplimiento.

Para las empresas que ya tenían protocolos NIS2 en marcha, el esfuerzo principal será actualizar los procedimientos existentes, no partir de cero. Para las que aún no los tienen, esta normativa añade urgencia a una adaptación que ya era obligatoria.

¿A quién afecta?

Esta normativa afecta directamente a:

• Empresas y entidades obligadas a notificar incidentes de ciberseguridad bajo la normativa NIS2.
• Sectores críticos incluidos en el ámbito de NIS2: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.
• Operadores de servicios esenciales designados por las autoridades nacionales.
• Equipos de respuesta a incidentes (CSIRT) y responsables de ciberseguridad (CISO) de las organizaciones afectadas.
• Asesores legales y consultores de ciberseguridad que asisten a estas organizaciones en el cumplimiento normativo.

Ejemplo práctico

Una empresa de infraestructura digital sujeta a NIS2 sufre un ciberataque el lunes por la mañana. Su equipo de seguridad detecta que el atacante sigue activo en los sistemas y que publicar la notificación podría alertarle y dificultar su identificación y captura, agravando el impacto del incidente.

Bajo el Reglamento 2026/881, esta empresa puede solicitar el aplazamiento de la notificación pública, pero debe:

1. Acreditar ante la autoridad competente que se cumplen los criterios objetivos establecidos en el reglamento (investigación en curso o riesgo de agravamiento del impacto).
2. Seguir el procedimiento formal de solicitud previsto en la norma.
3. Tener este procedimiento ya documentado en su protocolo interno de gestión de crisis, que debe haber sido adaptado previamente.

Si la empresa no puede acreditar esas condiciones o no sigue el procedimiento correcto, el aplazamiento no será válido y podrá enfrentarse a sanciones administrativas.

¿Qué deben hacer las empresas ahora?

1. Identificar si tu empresa está en el ámbito NIS2: Verifica si tu organización es un operador de servicios esenciales o una entidad importante según la Directiva NIS2 y su transposición nacional.
2. Revisar los protocolos internos de gestión de crisis: Incorpora los nuevos criterios objetivos y procedimientos de solicitud de aplazamiento que establece el Reglamento 2026/881.
3. Documentar los criterios de aplazamiento: Prepara plantillas y checklists internos que permitan acreditar ante la autoridad competente que concurren las condiciones para aplazar una notificación.
4. Formar a los equipos implicados: CISO, equipo legal, dirección y cualquier persona involucrada en la respuesta a incidentes debe conocer cuándo y cómo solicitar el aplazamiento.
5. Revisar los acuerdos con proveedores y terceros: Si externalizas la gestión de incidentes, asegúrate de que tus proveedores también conocen y aplican estos nuevos procedimientos.
6. Consultar la fecha de entrada en vigor: La fecha exacta no ha sido especificada en la publicación disponible. Monitoriza la fuente oficial en EUR-Lex para confirmar el plazo de aplicación y no llegar tarde a la adaptación.