Catálogo de trámites

ES_BDE_C15K_P314

El presente trámite tiene como objeto la notificación de los incidentes graves relacionados con las TIC y de los incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves), y la notificación voluntaria de las ciberamenazas importantes, por parte de las entidades financieras, o sus proveedores terceros de servicios en los que se haya delegado dichas notificaciones, de conformidad con el artículo 19 del Reglamento (UE) 2022/2554 de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, DORA).

Dicho Reglamento impone a las entidades financieras la obligación de notificar a la autoridad competente los incidentes graves. Asimismo, las entidades financieras podrán notificar, de manera voluntaria, las ciberamenazas importantes cuando consideren que la amenaza afecta o puede afectar al sistema financiero, los usuarios del servicio o los clientes. Estas notificaciones se harán conforme a los procedimientos establecidos en el Reglamento Delegado (UE) 2025/301 de 23 de octubre de 2024 por el que se completa DORA en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes, y en el Reglamento de Ejecución (UE) 2025/302 de 23 de octubre de 2024 por el que se establecen normas técnicas de ejecución para la aplicación de DORA en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante.

Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. También aplica a los proveedores terceros de servicios en los que las entidades financieras hubieran delegado la obligación de notificación de incidentes graves o ciberamenazas importantes.

Electrónico:

Los incidentes graves o ciberamenazas importantes podrán ser notificados por las propias entidades financieras o por los proveedores terceros de servicios en los que se haya delegado previamente la obligación de notificación de incidentes graves o ciberamenazas importantes.

Como requisito previo para notificar un incidente grave o una ciberamenaza importante, ha de completarse el proceso de adhesión al servicio electrónico "PIR – Notificación y delegación de notificación de incidentes graves y amenazas importantes bajo normativa DORA". Para tal fin, ha de seguirse el trámite de "Adhesión a un servicio electrónico del Banco de España" disponible en el apartado “Otra información de interés”.

Para notificar el incidente grave habrá que descargarse la plantilla “Plantilla de informe de incidente grave DORA” disponible en el apartado “Tramitación”, y rellenarlo según las instrucciones incluidas en la propia plantilla. Si se va a realizar una notificación voluntaria de una ciberamenaza importante, se empleará la plantilla “Plantilla de notificación de ciberamenazas importantes DORA” también disponible en el apartado “Tramitación”.

La plantilla se enviará a través del canal de envío Internet-ITW, disponible en el apartado "Tramitación". Tras haber accedido a la opción “Enviar” del portal ITW, se seleccionará el proceso adecuado según se vaya a remitir un incidente o una ciberamenaza:

• PIRI3R - Notificación incidentes graves bajo normativa DORA.
• PIRA4R - Notificación amenazas importantes bajo normativa DORA.

Tras enviar la plantilla por ITW, estará disponible el canal de seguimiento de intercambio de ficheros Internet-ITQ indicado en el apartado "Tramitación" el cual permite comprobar si la información ha llegado al Banco de España.

Si el Banco de España ha podido recibir satisfactoriamente la información, habrá un mensaje en ITQ indicando el estado “Recibido”. Asimismo, se generará un archivo con el “Resultado de asimilación”, el cual indicará los errores que se hayan podido cometer al informar el formulario, que podrá ser obtenido por dos vías:

• Portal ITW: se debe autenticar utilizando el mismo certificado electrónico con el que se envió el informe inicial. Tras haber accedido a la opción “Recibir” se seleccionará el mismo proceso ITW que se seleccionó para notificar el incidente o la ciberamenaza.
• Correo electrónico: el fichero con el resultado de asimilación se remitirá por correo electrónico a las direcciones de correo informadas en la sección de datos de contacto del formulario de incidente o del formulario de ciberamenaza.

Se dispone de una guía del procedimiento completo de notificación de incidentes graves y amenazas importantes en el documento “Guía del proceso de notificación de incidentes graves y/o ciberamenazas bajo normativa DORA”, en el apartado “Otra información de interés”.

• Informe de incidente grave DORA, cuya plantilla está disponible en el apartado “Tramitación”.
• Notificación de ciberamenazas importantes DORA, cuya plantilla está disponible en el apartado “Tramitación”.

Los plazos de envío de los distintos informes correspondiente a un mismo incidente grave están establecidos en el artículo 5 del Reglamento Delegado (UE) 2025/301, y dependerán de la situación del incidente y del tipo de informe que se envíe:

• Informe Inicial: Se tiene que enviar dentro de las 4 horas desde que el incidente se clasifica como grave, pero no más tarde de 24 horas desde que se conoce el incidente. No obstante, si un incidente se clasificara como grave posteriormente se habría de notificar dentro de las 4 horas posteriores a dicha clasificación.
• Informe Intermedio: Debe enviarse tan pronto como se disponga de información actualizada, en todo caso, en un plazo máximo de 72 horas desde el envío del informe inicial. Puede enviarse simultáneamente con el Informe Inicial. Debe enviarse un informe intermedio adicional en caso de cambios significativos en el incidente, cuando la actividad se haya recuperado o a petición del Banco de España.
• Informe Final: Se tiene que enviar como máximo un mes después del último informe intermedio, cuando se hayan identificado la causa raíz y las medidas de mitigación (implementadas o no), así como las cifras reales de impacto.
• Informe de incidente reclasificado como no grave: Debe enviarse en cuanto se haya comprobado que el incidente ya no cumple los requisitos para ser clasificado como grave.

En caso de no que no sea posible enviar el informe dentro de los plazos anteriormente descritos, habrá de notificarse tal circunstancia al interlocutor habitual dentro del Banco de España sin dilación indebida, antes de superar los plazos máximos establecidos, y explicar las causas de los retrasos.

Incidentes graves DORA, Ciberamenazas DORA, DORA Resiliencia operativa digital, Incidentes de tecnologías de información y comunicación (TIC), Incidentes operativos de sistemas de pagos, Incidentes de seguridad de sistemas de pagos