Empresas
- Inicio
- Empresas
- Supervisión
- Delegación de notificaciones de incidentes graves y ciberamenazas importantes bajo normativa DORA
Delegación de notificaciones de incidentes graves y ciberamenazas importantes bajo normativa DORA
Código del trámiteMostrar contenidoCódigo del trámite
ES_BDE_C15K_P319
Descripción del procesoMostrar contenidoDescripción del proceso
El Reglamento (UE) 2022/2554 de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, DORA), establece en su artículo 19 que las entidades financieras notificarán a la autoridad competente los incidentes graves relacionados con las TIC y los incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves), asimismo, las entidades podrán realizar la notificación voluntaria de las ciberamenazas importantes. DORA dispone que las entidades financieras podrán externalizar tanto las referidas obligaciones de notificación como la notificación voluntaria de ciberamenazas.
Adicionalmente, los artículos 6 y 7 del Reglamento de Ejecución (UE) 2025/302 de 23 de octubre de 2024 por el que se establecen normas técnicas de ejecución para la aplicación de DORA en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante, disponen que:
- Las entidades financieras que hayan externalizado las obligaciones de notificación de incidentes y/o la notificación voluntaria de ciberamenazas importantes informarán a su autoridad competente de tal hecho.
- Bajo determinadas condiciones, los terceros en los que se ha externalizado la notificación de incidentes graves podrán hacer reportes agregados relativos a un mismo incidente que afecte a varias entidades financieras si estás así lo acuerdan con el proveedor.
El presente trámite tiene como objeto comunicar al Banco de España que se ha producido la delegación de la obligación de notificación de los incidentes graves relacionados con las TIC y de los incidentes operativos o de seguridad graves relacionados con los servicios de pago (en adelante, incidentes graves), y/o de la notificación voluntaria de las ciberamenazas importantes, a través de la externalización de las tareas pertinentes en proveedores terceros de servicios. Asimismo, este trámite también habrá de emplearse para comunicar que el acuerdo con terceros de la obligación de notificación en un tercero ha dejado de tener efecto o modificaciones de dicho acuerdo.
Público objetivoMostrar contenidoPúblico objetivo
Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. Asimismo, afecta a los proveedores terceros de servicios en los que las entidades financieras vayan a externalizar, o hayan externalizado, la obligación de notificación de incidentes graves y/o ciberamenazas importantes.
Cómo iniciar el trámiteMostrar contenidoCómo iniciar el trámite
Electrónico:
Para comunicar la externalización de la obligación de notificar incidentes graves y/o ciberamenazas importantes, habrá que descargarse el formulario “PIR-001 Formulario de comunicación del Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA” disponible en el apartado “Tramitación” y rellenarlo según las instrucciones que vienen en el propio formulario.
El formulario se enviará a través del canal de envío Internet-ITW, disponible en el apartado "Tramitación". Tras haber accedido a la opción “Enviar” del portal ITW, se seleccionará el proceso “PIRD5R - Delegación notif. incidentes graves y amenazas normativa DORA”.
Tras enviar el formulario por ITW, estará disponible el canal de seguimiento de intercambio de ficheros Internet-ITQ indicado en el apartado "Tramitación" el cual permite comprobar si el formulario ha sido recibido por el Banco de España. Si el formulario se ha procesado satisfactoriamente, se podrá comprobar en un mensaje dentro de la herramienta ITQ que indica el estado “Recibido”.
Como requisito previo para comunicar la delegación de la obligación notificación de los incidentes graves y/o notificación voluntaria de ciberamenazas importantes, ha de estar realizada la adhesión al servicio electrónico "PIR – Notificación y delegaciones de notificación de incidentes graves y amenazas importantes bajo normativa DORA". Para completar la adhesión, ha de seguirse el trámite de "Adhesión a un servicio electrónico del Banco de España" disponible en el apartado “Otra información de interés”.
Se dispone de una guía del procedimiento de comunicación de la delegación de las notificaciones de incidentes graves y/o notificación voluntaria de ciberamenazas importantes en el documento “Guía del proceso de comunicación de Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA” que está disponible en el apartado “Otra información de interés”.
Documentación obligatoriaMostrar contenidoDocumentación obligatoria
Comunicación del Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA, cuyo formulario se encuentra en apartado “Tramitación”.
Palabras ClaveMostrar contenidoPalabras Clave
Incidentes graves DORA, Ciberamenazas DORA, DORA Resiliencia operativa digital, Incidentes de tecnologías de información y comunicación (TIC), Incidentes operativos de sistemas de pagos, Incidentes de seguridad de sistemas de pagos.
Contacto
DG DE SUPERVISION / DG DE OPERACIONES, MERCADOS Y SISTEMAS DE PAGO
-
Dirección postal:
Departamento de Sistemas de Pago
División de Supervisión de Pagos
C/ Alcalá, 48
28014 Madrid -
Consultas
CONSULTAS INFORMÁTICAS
CENTRO DE ATENCIÓN AL USUARIO (CAU)
-
Consultas
Tlfno.(+34) 91 338 6666
Formulario de contacto
Tramitación
-
Canal ITW - Canal web para el intercambio telemático de archivos
-
Canal ITQ (Sistema para el seguimiento de intercambio de ficheros con el Banco de España)
-
PIR-001.Formulario de comunicación del Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA
(1 MB)
TAMBIÉN LE INTERESA...
Normativa relacionada
-
Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero (Reglamento DORA)
-
Reglamento Delegado (UE) 2024/1772 que completa DORA mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC
-
Reglamento Delegado (UE) 2025/301 por el que se completa DORA en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación de incidentes graves
-
Reglamento de Ejecución (UE) 2025/302 por el que se completa DORA en lo que respecta a los procedimientos que deberán aplicar las entidades para informar de un incidente grave
Otra información de interés
-
Guía del proceso de comunicación de Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA (640 KB)
-
Certificados aceptados por el Banco de España
-
Manual de uso de ITW (Canal Web para intercambio telemático de archivos)
-
Manual de uso de ITW-Lite (Canal Web para intercambio telemático de archivos)
-
Manual de uso de ITQ (Sistema para el seguimiento de intercambios de ficheros con el Banco de España)
- Adhesión a un servicio electrónico del Banco de España
