Instituciones financieras

ES_BDE_C056_P264

La sofisticación de los ciberataques experimentados por el sistema financiero durante los últimos años ha aumentado significativamente y el ciberriesgo se ha convertido en una amenaza clave para la estabilidad financiera. Para poder evaluar de manera sistemática los riesgos globales que el sistema bancario español asume, el Banco de España, en su calidad de autoridad competente, debe conocer los ciberincidentes más significativos acontecidos en el mismo.

Las entidades de crédito bajo la supervisión directa del Banco de España, es decir, aquellas clasificadas como entidades menos significativas, deberán notificar los ciberincidentes relevantes que les afecten. Esta notificación se hará conforme al "Procedimiento de notificación de ciberincidentes relevantes de las entidades de crédito bajo supervisión directa del Banco de España" disponible en el apartado "Otra información de interés", en el que se especifican qué ciberincidentes son objeto de comunicación, qué información se precisa y cuáles son los plazos requeridos.

Dicha notificación debe considerarse de forma independiente a cualquier otra obligación que imponga a la entidad la normativa vigente.

Entidades de crédito españolas bajo la supervisión directa del Banco de España.

Electrónico:

Las entidades enviarán la plantilla de notificación vía electrónica. Es imprescindible utilizar la última versión de la "Plantilla NCR (Notificación Ciberincidentes Relevantes)" publicada en el apartado "Tramitación". Una vez cumplimentada según las instrucciones del procedimiento, se enviará un único archivo por transmisión en formato Excel (archivo XLSX) y sin compresión.

El nombre del fichero debe seguir la siguiente codificación: “EEEEAAAAMMDDNN”, donde:

• EEEE es el código de la entidad tal y como aparece en el Registro de Entidades del Banco de España.
• AAAAMMDD hace referencia a la fecha en la que se produce la primera notificación.
• NN será un número secuencial para identificar las diferentes notificaciones que podrían producirse en una misma entidad y fecha.

Es muy importante que se respete la nomenclatura de los archivos para que los informes puedan ser procesados. El archivo que se envíe al Banco de España no podrá superar los 50MB.

 El archivo se enviará a través del canal de envío Internet-ITW, disponible en el apartado "Tramitación". Previamente, y para la primera vez que se acceda a la aplicación, las entidades deben adherirse al servicio electrónico del Banco de España, a través de la web, en el enlace disponible en “Otra información de interés”.

 Tras enviar el informe por ITW, la entidad emisora podrá acceder al canal de seguimiento de intercambio de ficheros Internet-ITQ, disponible en el apartado "Tramitación", para comprobar el estado del envío.

Plantilla NCR – Notificación ciberincidentes relevantes.

El proceso de notificación consta de tres fases, incrementales en cuanto al contenido en función de la situación del ciberincidente y estructurados en torno a la "Plantilla NCR". Los plazos de notificación están referidos respecto al momento en el que el ciberincidente es clasificado como relevante:

• Primera comunicación: el plazo para su entrega es de dos horas.
• Informe preliminar: el plazo para su entrega es de 10 días hábiles desde el último informe enviado, siempre y cuando no se produzcan modificaciones significativas sobre la información reportada anteriormente.
• Informe final: se dispone de un plazo no superior a 10 días hábiles una vez se considere el ciberincidente resuelto.

Entidades de crédito, Ciberincidente.