Empresas

ES_BDE_C15K_P319

El Reglamento (UE) 2022/2554 de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, DORA), establece en su artículo 19 que las entidades financieras notificarán a la autoridad competente los incidentes graves relacionados con las TIC y los incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves), asimismo, las entidades podrán realizar la notificación voluntaria de las ciberamenazas importantes. DORA dispone que las entidades financieras podrán externalizar tanto las referidas obligaciones de notificación como la notificación voluntaria de ciberamenazas. 

Adicionalmente, los artículos 6 y 7 del Reglamento de Ejecución (UE) 2025/302 de 23 de octubre de 2024 por el que se establecen normas técnicas de ejecución para la aplicación de DORA en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante, disponen que:

• Las entidades financieras que hayan externalizado las obligaciones de notificación de incidentes y/o la notificación voluntaria de ciberamenazas importantes informarán a su autoridad competente de tal hecho.
• Bajo determinadas condiciones, los terceros en los que se ha externalizado la notificación de incidentes graves podrán hacer reportes agregados relativos a un mismo incidente que afecte a varias entidades financieras si estás así lo acuerdan con el proveedor.

El presente trámite tiene como objeto comunicar al Banco de España que se ha producido la delegación de la obligación de notificación de los incidentes graves relacionados con las TIC y de los incidentes operativos o de seguridad graves relacionados con los servicios de pago (en adelante, incidentes graves), y/o de la notificación voluntaria de las ciberamenazas importantes, a través de la externalización de las tareas pertinentes en proveedores terceros de servicios. Asimismo, este trámite también habrá de emplearse para comunicar que el acuerdo con terceros de la obligación de notificación en un tercero ha dejado de tener efecto o modificaciones de dicho acuerdo.

Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. Asimismo, afecta a los proveedores terceros de servicios en los que las entidades financieras vayan a externalizar, o hayan externalizado, la obligación de notificación de incidentes graves y/o ciberamenazas importantes.

Electrónico:

Para comunicar la externalización de la obligación de notificar incidentes graves y/o ciberamenazas importantes, habrá que descargarse el formulario “PIR-001 Formulario de comunicación del Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA” disponible en el apartado “Tramitación” y rellenarlo según las instrucciones que vienen en el propio formulario.

El formulario se enviará a través del canal de envío Internet-ITW, disponible en el apartado "Tramitación". Tras haber accedido a la opción “Enviar” del portal ITW, se seleccionará el proceso “PIRD5R - Delegación notif. incidentes graves y amenazas normativa DORA”.

Tras enviar el formulario por ITW, estará disponible el canal de seguimiento de intercambio de ficheros Internet-ITQ indicado en el apartado "Tramitación" el cual permite comprobar si el formulario ha sido recibido por el Banco de España. Si el formulario se ha procesado satisfactoriamente, se podrá comprobar en un mensaje dentro de la herramienta ITQ que indica el estado “Recibido”.

Como requisito previo para comunicar la delegación de la obligación notificación de los incidentes graves y/o notificación voluntaria de ciberamenazas importantes, ha de estar realizada la adhesión al servicio electrónico "PIR – Notificación y delegaciones de notificación de incidentes graves y amenazas importantes bajo normativa DORA". Para completar la adhesión, ha de seguirse el trámite de "Adhesión a un servicio electrónico del Banco de España" disponible en el apartado “Otra información de interés”.

Se dispone de una guía del procedimiento de comunicación de la delegación de las notificaciones de incidentes graves y/o notificación voluntaria de ciberamenazas importantes en el documento “Guía del proceso de comunicación de Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA” que está disponible en el apartado “Otra información de interés”.

Comunicación del Alta/Baja/Modificación de la delegación en un tercero de la obligación de notificar incidentes graves y/o ciberamenazas importantes bajo normativa DORA, cuyo formulario se encuentra en apartado “Tramitación”.

Incidentes graves DORA, Ciberamenazas DORA, DORA Resiliencia operativa digital, Incidentes de tecnologías de información y comunicación (TIC), Incidentes operativos de sistemas de pagos, Incidentes de seguridad de sistemas de pagos.