Ir a contenido

Notificación de incidentes graves y ciberamenazas importantes bajo normativa DORA

Notificación de Incidentes y Ciberamenazas DORA

Código de trámite: ES_BDE_C15K_P314

Este trámite tiene como objetivo la notificación de los incidentes graves relacionados con las TIC, los incidentes operativos o de seguridad graves relacionados con los servicios de pago y la notificación voluntaria de las ciberamenazas importantes. Estas notificaciones deben seguir los procedimientos establecidos en DORA.

Público objetivo:
Empresas y profesionales Instituciones financieras

Ir a Tramitación y Documentación 

Este trámite permite, bajo DORA, notificar:

  • Incidentes graves relacionados con las TIC.
  • Incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves).
  • Ciberamenazas importantes.

DORA impone a las entidades la obligación de notificar a la autoridad competente los incidentes graves. Asimismo, las entidades podrán notificar las ciberamenazas importantes cuando consideren que afectan o pueden afectar al sistema financiero, los usuarios del servicio o los clientes.

Estas notificaciones se harán conforme a los procedimientos establecidos en DORA, por lo que se hará un informe inicial, uno o varios intermedios y un informe final. El contenido de las notificaciones y los plazos se describen en el Reglamento de Ejecución (UE) 2025/302.

Trámite para: Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de PSD2, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. También aplica a los proveedores terceros de servicios en los que las entidades hubieran delegado la obligación de notificación de incidentes o ciberamenazas.

Avisos

  1. 1 /2 Elige el tipo de usuario que eres Siguiente:  Elige cómo presentar el trámite
  2. 2 /2 Elige cómo presentar el trámite Siguiente:  Te enseñamos la documentación necesaria
  3. Te enseñamos la documentación necesaria

¿Quién eres?

Plazo de presentación

Los plazos de envío de los informes son los siguientes:

  • Inicial: 4 horas desde que el incidente se clasifica como grave, pero no más tarde de 24 horas desde que se conoce el incidente. No obstante, si un incidente se clasificara como grave posteriormente se habría de notificar dentro de las 4 horas posteriores a dicha clasificación. 
  • Intermedio: Tan pronto como se disponga de información actualizada, en todo caso, en un plazo máximo de 72 horas desde el envío del informe inicial. Debe enviarse un informe intermedio adicional en caso de cambios significativos en el incidente, cuando la actividad se haya recuperado o a petición del Banco de España. 
  • Final: Como máximo un mes después del último informe intermedio, o cuando se hayan identificado la causa raíz, las medidas de mitigación, y el impacto. 
  • Reclasificado como no grave: En cuanto se haya comprobado que el incidente ya no cumple los requisitos para ser clasificado como grave. En caso de no se posible enviar el informe dentro de plazo, habrá de notificarse tal circunstancia al interlocutor habitual dentro del Banco de España a la mayor brevedad posible.

Plazo de resolución

No hay plazo de resolución establecido.

Órgano encargado de la resolución

No hay órgano de resolución establecido.

DG De Supervisión / DG De Operaciones, Mercados Y Sistemas de Pago

Consultas sobre el trámite

DG De Supervisión

Dirección postal

Departamento de Estrategia Supervisora y Riesgo Tecnológico
C/ Alcalá, 522
28027 Madrid

CONSULTAS INFORMÁTICAS

Palabras Clave

  • DORA
  • Incidentes graves
  • Ciberamenazas importantes
  • Incidentes TIC
  • Incidentes operativos o de seguridad relacionados con los pagos

Última actualización: 15/09/2025