En un escenario marcado por el crecimiento sostenido de las amenazas digitales, se ha publicado una nueva guía orientada a mejorar la notificación y gestión de incidentes de ciberseguridad en España. El documento, elaborado por EY para el Observatorio Nacional de Tecnología y Sociedad (Ontsi), sitúa la notificación de incidentes como un elemento clave dentro de la estrategia de resiliencia digital, en un contexto en el que los ataques informáticos continúan aumentando tanto en frecuencia como en impacto.
La guía parte de una premisa clara: la digitalización ha elevado la exposición de administraciones, empresas y ciudadanía a amenazas cada vez más complejas, lo que exige respuestas más rápidas, coordinadas y comparables. En este sentido, el informe reúne en un único marco las obligaciones nacionales y europeas de reporte, explicando quién debe recibir cada notificación, qué información mínima debe aportarse y cómo deben actuar las organizaciones ante una crisis digital.
Los datos recogidos en el informe reflejan la dimensión del problema. Incibe gestionó 83.517 incidentes de ciberseguridad en 2023, un 24% más que el año anterior. La tendencia continuó en 2024, con 97.348 incidentes registrados, un incremento del 16,6%, mientras que en 2025 la cifra alcanzó los 122.223 casos, lo que supone un crecimiento adicional del 26%. Paralelamente, el número de sistemas vulnerables detectados pasó de 183.077 en 2023 a 237.028 en 2025.
Incidentes de ciberseguridad en aumento
El informe identifica como amenazas recurrentes el phishing, el ransomware, los ataques DDoS, la suplantación de identidad, las fugas de información y el uso de plataformas como Telegram para actividades ilícitas. Solo en 2023, más de 58.000 incidentes afectaron a ciudadanos en España y más de 22.000 tuvieron impacto en empresas. En 2024, las cifras aumentaron hasta 65.808 ciudadanos afectados y 31.540 incidentes empresariales.
Las estadísticas incluidas en la guía muestran además que el 19% de la ciudadanía española recibió intentos de phishing y el 17% sufrió ataques de pharming, situando a España entre los países europeos más afectados por esta amenaza. En el caso de las pymes, el informe destaca una reducción de incidencias relacionadas con servicios TIC no disponibles y destrucción o corrupción de datos entre 2022 y 2024, aunque mantiene la alerta sobre la creciente sofisticación de los ataques.
Ventanilla única y coordinación institucional
Uno de los ejes principales del documento es el modelo de “ventanilla única” para la notificación de incidentes. Según este sistema, la entidad afectada debe comunicar el incidente a su CSIRT de referencia, encargado posteriormente de coordinar la derivación a los organismos competentes.
La guía, disponible en Observaciber, detalla las funciones de los distintos equipos de respuesta: Incibe-CERT para empresas privadas y ciudadanía, CCN-CERT para el sector público, CNPIC y CSIRT-MIR-PJ para infraestructuras críticas, ESPDEF-CERT para el ámbito de defensa, Banco de España para el sector financiero y la Agencia Española de Protección de Datos (AEPD) cuando exista afectación de datos personales.
Además, el documento clasifica los incidentes en función de su peligrosidad e impacto. Los niveles de peligrosidad abarcan desde bajo hasta crítico, considerando especialmente graves amenazas avanzadas persistentes (APT), malware, sabotajes o interrupciones de servicios. El impacto se mide según factores como la afectación a servicios esenciales, la duración del incidente, el número de sistemas comprometidos, el coste económico, el alcance geográfico o el daño reputacional.
Obligaciones de notificación bajo NIS2, Dora y RGPD
La guía dedica una parte relevante al nuevo marco regulatorio europeo en materia de ciberseguridad. En particular, analiza la Directiva NIS2, que obliga a entidades esenciales e importantes a comunicar incidentes significativos mediante un sistema escalonado: alerta temprana en un plazo de 24 horas, notificación completa en 72 horas e informe final en un máximo de un mes.
También se aborda el reglamento Dora, específico para el sector financiero, que establece plazos aún más estrictos para la comunicación de incidentes graves: informe inicial en cuatro horas desde su clasificación o, como máximo, 24 horas desde su detección, informe intermedio en 72 horas e informe final en el plazo de un mes.
El Reglamento General de Protección de Datos (RGPD) mantiene igualmente la obligación de comunicar brechas de seguridad en un máximo de 72 horas cuando exista riesgo para los derechos y libertades de las personas afectadas. Además, el documento revisa otros marcos europeos como eIDAS 2, CER2, la Red de CSIRT, EU-CyCLONe, ENISA y la Ley de Cibersolidaridad, en vigor desde febrero de 2025.
Coordinación europea y preparación ante crisis digitales
La guía subraya el papel de la cooperación europea como elemento clave para mejorar la resiliencia frente a amenazas digitales cada vez más transfronterizas. La armonización de criterios entre países se considera fundamental para gestionar incidentes con mayor coherencia y eficacia, especialmente en ataques que afectan simultáneamente a organizaciones de distintos sectores y territorios.
Como conclusión, el informe insiste en que las organizaciones deben preparar de antemano sus procedimientos internos de detección, clasificación, escalado y comunicación de incidentes. No basta únicamente con saber a quién notificar; también es necesario recopilar información detallada sobre el origen del incidente, los activos afectados, el impacto generado, las medidas aplicadas y las posibles implicaciones transfronterizas.
Finalmente, la guía recomienda adoptar una estrategia proactiva basada en el refuerzo de defensas, la formación de equipos, la realización de simulacros de crisis y la coordinación permanente con las autoridades competentes. En un entorno donde los incidentes de ciberseguridad continúan creciendo y diversificándose, la capacidad de notificar correctamente se consolida como una pieza esencial de la resiliencia empresarial e institucional.