Las recientes comunicaciones del CCN-CERT y de INCIBE no son un recordatorio aislado ni una actualización técnica más. Apuntan a un cambio profundo en el modelo europeo de notificación de incidentes de ciberseguridad con efectos directos sobre administraciones públicas operadores esenciales y empresas reguladas.
Europa avanza hacia un marco de reporte común basado en una ventanilla única que permita coordinar y armonizar obligaciones que hasta ahora estaban repartidas entre distintas normativas autoridades y canales.
Del desorden operativo a la coordinación europea
Hasta ahora la situación era bien conocida por cualquier responsable de seguridad o cumplimiento. El Esquema Nacional de Seguridad imponía sus propios canales el RGPD exigía notificar brechas de datos personales ante la AEPD y a ello se sumaban requisitos sectoriales adicionales según la actividad. Todo esto se traducía en formularios distintos plazos diferentes y relatos repetidos justo cuando la organización estaba gestionando una crisis.
El resultado no era una mayor seguridad sino fragmentación carga administrativa y un riesgo evidente de incoherencias en un momento crítico.
La Unión Europea ha decidido corregir este enfoque.
Un único flujo para múltiples marcos regulatorios
El nuevo modelo europeo parte de una idea sencilla. Un incidente debe notificarse una sola vez a través de un único punto de entrada. A partir de ahí la información se distribuye de forma coordinada a las autoridades competentes según el marco normativo aplicable.
Este enfoque afecta de lleno a NIS 2 que amplía el número de sectores obligados y endurece los plazos de notificación. También a DORA que será plenamente exigible en 2025 para el sector financiero y que introduce un nivel de detalle muy superior en el reporte de incidentes TIC. El RGPD se integra en este esquema alineando la notificación de brechas de datos personales con el resto del ecosistema de ciberseguridad. Lo mismo ocurre con eIDAS y su evolución hacia eIDAS 2.0 que sitúa a la identidad digital y a los servicios de confianza como infraestructuras críticas. CER por su parte refuerza la visión de la resiliencia desde una perspectiva amplia en la que los incidentes ciber y físicos pueden converger.
No se trata de eliminar a las autoridades nacionales sino de imponer un modelo de orquestación que evite notificaciones duplicadas incoherentes o descoordinadas.
Implicaciones específicas para eIDAS y CER
En el ámbito de eIDAS el cambio es especialmente relevante. Los proveedores de servicios de confianza y las futuras carteras europeas de identidad digital dejan de operar en un marco aislado y pasan a alinearse plenamente con NIS 2 en la gestión de incidentes graves.
CER refuerza la idea de que un incidente relevante debe tratarse como un único evento aunque afecte a distintas dimensiones de la resiliencia. La notificación será coherente trazable y coordinada incluso cuando intervengan varias autoridades supervisoras.
Impacto real para las organizaciones en España
Para empresas y organismos españoles este movimiento implica revisar a fondo los procedimientos internos de gestión y notificación de incidentes. Desde el primer momento será necesario construir un relato único que integre la dimensión técnica legal y ejecutiva. El foco se desplaza del canal al contenido y a la calidad de la información. También obligará a adaptar herramientas y flujos que hoy dependen de canales separados como LUCIA o la sede electrónica de la AEPD.
Un cambio de gobernanza no solo técnico
No estamos ante un nuevo formulario ni ante un ajuste administrativo menor. Es un cambio de modelo.
Europa pasa de coordinar a dirigir la notificación de ciberincidentes.
La ciberseguridad deja de gestionarse como un conjunto disperso de obligaciones nacionales y sectoriales y se consolida como una función estratégica europea con impacto directo en la resiliencia la soberanía digital y la respuesta ante crisis.
