ES_BDE_C15K_P314
El presente trámite tiene como objeto la notificación de los incidentes graves relacionados con las TIC y de los incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves), y la notificación voluntaria de las ciberamenazas importantes, por parte de las entidades financieras, o sus proveedores terceros de servicios en los que se haya delegado dichas notificaciones, de conformidad con el artículo 19 del Reglamento (UE) 2022/2554 de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero (en adelante, DORA).
Dicho Reglamento impone a las entidades financieras la obligación de notificar a la autoridad competente los incidentes graves. Asimismo, las entidades financieras podrán notificar, de manera voluntaria, las ciberamenazas importantes cuando consideren que la amenaza afecta o puede afectar al sistema financiero, los usuarios del servicio o los clientes. Estas notificaciones se harán conforme a los procedimientos establecidos en el Reglamento Delegado (UE) 2025/301 de 23 de octubre de 2024 por el que se completa DORA en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes, y en el Reglamento de Ejecución (UE) 2025/302 de 23 de octubre de 2024 por el que se establecen normas técnicas de ejecución para la aplicación de DORA en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante.
Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de la Directiva (UE) 2015/2366, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. También aplica a los proveedores terceros de servicios en los que las entidades financieras hubieran delegado la obligación de notificación de incidentes graves o ciberamenazas importantes.
Electrónico:
Los incidentes graves o ciberamenazas importantes podrán ser notificados por las propias entidades financieras o por los proveedores terceros de servicios en los que se haya delegado previamente la obligación de notificación de incidentes graves o ciberamenazas importantes.
Como requisito previo para notificar un incidente grave o una ciberamenaza importante, ha de completarse el proceso de adhesión al servicio electrónico "PIR – Notificación y delegación de notificación de incidentes graves y amenazas importantes bajo normativa DORA". Para tal fin, ha de seguirse el trámite de "Adhesión a un servicio electrónico del Banco de España" disponible en el apartado “Otra información de interés”.
Para notificar el incidente grave habrá que descargarse la plantilla “Plantilla de informe de incidente grave DORA” disponible en el apartado “Tramitación”, y rellenarlo según las instrucciones incluidas en la propia plantilla. Si se va a realizar una notificación voluntaria de una ciberamenaza importante, se empleará la plantilla “Plantilla de notificación de ciberamenazas importantes DORA” también disponible en el apartado “Tramitación”.
La plantilla se enviará a través del canal de envío Internet-ITW, disponible en el apartado "Tramitación". Tras haber accedido a la opción “Enviar” del portal ITW, se seleccionará el proceso adecuado según se vaya a remitir un incidente o una ciberamenaza:
Tras enviar la plantilla por ITW, estará disponible el canal de seguimiento de intercambio de ficheros Internet-ITQ indicado en el apartado "Tramitación" el cual permite comprobar si la información ha llegado al Banco de España.
Si el Banco de España ha podido recibir satisfactoriamente la información, habrá un mensaje en ITQ indicando el estado “Recibido”. Asimismo, se generará un archivo con el “Resultado de asimilación”, el cual indicará los errores que se hayan podido cometer al informar el formulario, que podrá ser obtenido por dos vías:
Se dispone de una guía del procedimiento completo de notificación de incidentes graves y amenazas importantes en el documento “Guía del proceso de notificación de incidentes graves y/o ciberamenazas bajo normativa DORA”, en el apartado “Otra información de interés”.
Los plazos de envío de los distintos informes correspondiente a un mismo incidente grave están establecidos en el artículo 5 del Reglamento Delegado (UE) 2025/301, y dependerán de la situación del incidente y del tipo de informe que se envíe:
En caso de no que no sea posible enviar el informe dentro de los plazos anteriormente descritos, habrá de notificarse tal circunstancia al interlocutor habitual dentro del Banco de España sin dilación indebida, antes de superar los plazos máximos establecidos, y explicar las causas de los retrasos.
Incidentes graves DORA, Ciberamenazas DORA, DORA Resiliencia operativa digital, Incidentes de tecnologías de información y comunicación (TIC), Incidentes operativos de sistemas de pagos, Incidentes de seguridad de sistemas de pagos
Departamento de Sistemas de Pago
División de Supervisión de Pagos
C/ Alcalá, 48
28014 Madrid
Consultas
Consultas
Tlfno.(+34) 91 338 6666
Formulario de contacto