Una guía práctica en dos partes para los responsables de TI de la región EMEA

20 de mayo de 2026
Kaseya
Ciberseguridad

Lamentablemente, la posibilidad de que tu empresa sea objeto de ataques maliciosos ya no es un caso aislado, sino una realidad cotidiana a la que se enfrenta cualquier empresa moderna. Independientemente de tu tamaño o perfil, los delincuentes aprovecharán cualquier oportunidad para secuestrar tu negocio con el fin de obtener beneficios económicos.

En la primera parte, analizamos cómola legislación NIS2 de la Comisión Europea ( ) concede gran importancia a la continuidad del negocio[AF1]y cómo los procesos y las herramientas de copia de seguridad adecuados pueden ayudar a responder ante ataques de ransomware y otros incidentes de ciberseguridad.

Sin embargo, hay otro aspecto fundamental de cualquier respuesta de seguridad, y es la necesidad de notificar la violación de seguridad a las autoridades. A continuación, analizamos algunas de esas obligaciones.

Aunque pueda resultar tentador dar prioridad a la resolución de la brecha de seguridad, la cuenta atrás suele comenzar en el momento en que te das cuenta de que tus sistemas han sido comprometidos. Los plazos pueden ser muy ajustados, por lo que no es algo que se pueda resolver sobre la marcha durante la respuesta. Debe integrarse como parte de tus procesos, con expectativas claras sobre quién se encargará de realizar los informes necesarios.

El tiempo corre: es hora de notificar la filtración

Es importante recordar que, en algunos casos, hay que notificarlo al organismo competente en un plazo de 24 horas desde que se detecta el incidente y, en determinados casos, en tan solo cuatro horas.

A continuación se enumeran las principales leyes que pueden afectar a su organización.

RGPD/RGPD del Reino Unido – 72 horas

Quién: Cualquier responsable del tratamiento que opere en la UE o en el Reino Unido, respectivamente.

Si detecta una violación de la seguridad que pueda suponer un riesgo para los datos personales, deberá notificarlo a la autoridad competente en un plazo de 72 horas desde que haya detectado el problema.

Puede tratarse de una violación intencionada de sus sistemas que haya permitido el acceso a los datos de los clientes, o de un incidente fortuito, como la pérdida de un disco duro que contenga dichos datos. Lo fundamental es determinar si las personas pueden verse perjudicadas por las consecuencias.

Si no estás seguro de si tu incidente alcanza el umbral de notificación, lo mejor es iniciar la cuenta atrás de todos modos y pecar de precavido. Asegúrate de registrar todo lo que hagas como parte de tu respuesta y, a continuación, ponte en contacto antes de que transcurran las 72 horas.

NIS2 – 24 horas

¿Quién: La NIS2 es una normativa de la UE dirigida a las empresas que se consideran «críticas» o «importantes», con el fin de minimizar las perturbaciones en sectores e infraestructuras vitales. No obstante, usted podría verse afectado de forma indirecta si forma parte de la cadena de suministro de una empresa sujeta a la normativa NIS2.

En caso de violaciones de datos graves, se debe enviar una notificación inicial en un plazo de 24 horas al CSIRT (equipo de respuesta a incidentes de seguridad informática) del Estado miembro. A continuación, se debe presentar una notificación completa del incidente en un plazo de 72 horas y un informe completo en el plazo de un mes.

Si usted es un proveedor de la cadena de suministro de una empresa sujeta a la NIS2, no está obligado a notificar un incidente a las autoridades, pero debe informar a su cliente al respecto; el plazo para hacerlo puede estar especificado en su contrato.

El Reino Unido también cuenta con su propia normativa sobre seguridad de las redes y la información (NIS), que exige la notificación a la ICO en un plazo de 72 horas de cualquier incidente que tenga un impacto significativo en la prestación de los servicios de una empresa.

DORA – 4 horas

Quién: Cualquier entidad financiera que opere en la UE. Esto incluye (entre otros) a bancos, aseguradoras e instituciones de pago. Sin embargo, al igual que la Directiva NIS2 puede extenderse más allá de las empresas incluidas en su ámbito de aplicación, la Directiva DORA también incluye a los proveedores de servicios de TI externos críticos dentro de su ámbito de aplicación.

Si una empresa sujeta a la normativa DORA detecta una violación de la seguridad, debe presentar un informe inicial en un plazo de 24 horas desde el momento de la detección. Sin embargo, una vez investigado el caso, si se clasifica como un incidente grave, el plazo para la notificación se reduce a tan solo cuatro horas (o al tiempo que quede dentro del plazo de 24 horas).

A continuación, se debe presentar un informe provisional en un plazo de 72 horas y un informe completo en el plazo de un mes.

Otra legislación

Existen otros requisitos regionales, ya que países como los Emiratos Árabes Unidos y Arabia Saudí cuentan cada uno con su propia Ley de Protección de Datos Personales (PDPL). Esto pone de relieve la necesidad de conocer la legislación de los países en los que se opera, y que las respuestas pueden variar en función de la ubicación.

La posible tripleta de la información periodística

Es posible que algunas empresas tengan que notificar una violación de datos a las autoridades responsables del RGPD, la Directiva NIS 2 y la Ley DORA. Cada una de ellas cuenta con un procedimiento de notificación distinto y unos plazos diferentes.

Esto pone de manifiesto la necesidad real de contar con procesos claros, con responsabilidades bien definidas que establezcan quién hace qué y cuándo. Las consecuencias de no hacerlo podrían ser costosas.  

Recuerda que las autoridades están ahí para ayudarte

Aunque pueden imponer multas cuantiosas por infracciones graves y de gran alcance, es importante no considerar a las autoridades competentes únicamente como organismos encargados de hacer cumplir la ley. Si se les notifica rápidamente, pueden ayudarte a gestionar las posibles consecuencias y a mitigar los daños. En el caso de los países de la UE, los organismos competentes también pueden facilitar la coordinación transfronteriza.

Tal y como explica la ICO en relación con las infracciones del RGPD: «Es comprensible que te preocupe lo que va a pasar ahora. Pero estamos aquí para ayudarte a entender lo que ha ocurrido y para evitar que vuelva a suceder».

Todo forma parte de la gestión de incidentes

Todos estos requisitos de notificación constituyen la base de una gestión eficaz de las incidencias. Garantizan que todos los miembros del equipo estén en sintonía, facilitan la toma rápida de decisiones y ayudan a hacer un seguimiento del progreso en la resolución de las incidencias.

Si se notifica una infracción a las autoridades, es posible que se le pida que explique todo lo que hizo, paso a paso, como parte del proceso de identificación y resolución del problema. También es posible que se le pida que aporte pruebas de lo que hizo en los meses previos al incidente.

Por ello, es necesario contar con las herramientas adecuadas para documentar los procesos y los sistemas, no solo para demostrar que se dispone de los datos necesarios, sino también para mostrar cómo se utilizan para gestionar los riesgos en su empresa. Descubra cómo IT Glue, con sus sólidas funciones de documentación, puede ayudarle a gestionar su respuesta ante un incidente

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - MSP sobre el estado del sector MSP 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Explora las categorías

Ransomware: la normativa NIS 2 y el camino hacia la recuperación — Parte 1

Descubre cómo la estrategia de copias de seguridad, las copias de seguridad inmutables y las pruebas de recuperación contribuyen a la resiliencia frente al ransomware y al cumplimiento de la normativa NIS2 para los equipos de TI.

Leer la entrada del blog

Integración de SIEM: tipos, ventajas y buenas prácticas

La integración SIEM conecta tus herramientas de seguridad a un sistema central para la detección unificada de amenazas. Descubre cómo funciona y cuáles son las mejores prácticas para implementarla correctamente.

Leer la entrada del blog

SIEM en la nube: guía sobre características, ventajas y modelos de implementación

La forma en que las organizaciones gestionan la seguridad ha cambiado para siempre. La infraestructura que antes se encontraba protegida por un cortafuegos ahora se extiende a las plataformas en la nube,

Leer la entrada del blog