Ir a contenido

    Notificación de incidentes graves y ciberamenazas importantes bajo normativa DORA

    Notificación de Incidentes y Ciberamenazas DORA

    Código de trámite: ES_BDE_C056_P314

    Este trámite tiene como objetivo la notificación de los incidentes graves relacionados con las TIC, los incidentes operativos o de seguridad graves relacionados con los servicios de pago y la notificación voluntaria de las ciberamenazas importantes. Estas notificaciones deben seguir los procedimientos establecidos en DORA.

    Público objetivo:
    Empresas y profesionales Instituciones financieras

    Ir a Tramitación y Documentación

    Este trámite permite, bajo DORA, notificar:

    • Incidentes graves relacionados con las TIC.
    • Incidentes operativos o de seguridad graves relacionados con los servicios de pagos (en adelante, incidentes graves).
    • Ciberamenazas importantes.

    DORA impone a las entidades la obligación de notificar a la autoridad competente los incidentes graves. Asimismo, las entidades podrán notificar las ciberamenazas importantes cuando consideren que afectan o pueden afectar al sistema financiero, los usuarios del servicio o los clientes.

    Estas notificaciones se harán conforme a los procedimientos establecidos en DORA, por lo que se hará un informe inicial, uno o varios intermedios y un informe final. El contenido de las notificaciones y los plazos se describen en el Reglamento de Ejecución (UE) 2025/302.

    Trámite para: Entidades de crédito, entidades de pago, entidades de pago exentas en virtud de PSD2, proveedores de servicios de información sobre cuentas y entidades de dinero electrónico. También aplica a los proveedores terceros de servicios en los que las entidades hubieran delegado la obligación de notificación de incidentes o ciberamenazas.

    Avisos

    Para realizar notificaciones, previamente ha de completarse el proceso de adhesión al servicio electrónico "PIR – Notificación y delegación de notificación de incidentes graves y amenazas importantes bajo normativa DORA". Para ello, ha de seguirse el trámite de Adhesión a un servicio electrónico del Banco de España , también disponible en el apartado “Otra información de interés”.

    • 1 /2 Elige el tipo de usuario que eres Siguiente:  Elige cómo presentar el trámite
    • 2 /2 Elige cómo presentar el trámite Siguiente:  Te enseñamos la documentación necesaria
    • Te enseñamos la documentación necesaria

    ¿Quién eres?

    Plazo de presentación

    Los plazos de envío de los informes son los siguientes:

    • Inicial: 4 horas desde que el incidente se clasifica como grave, pero no más tarde de 24 horas desde que se conoce el incidente. No obstante, si un incidente se clasificara como grave posteriormente se habría de notificar dentro de las 4 horas posteriores a dicha clasificación. 
    • Intermedio: Tan pronto como se disponga de información actualizada, en todo caso, en un plazo máximo de 72 horas desde el envío del informe inicial. Debe enviarse un informe intermedio adicional en caso de cambios significativos en el incidente, cuando la actividad se haya recuperado o a petición del Banco de España. 
    • Final: Como máximo un mes después del último informe intermedio, o cuando se hayan identificado la causa raíz, las medidas de mitigación, y el impacto. 
    • Reclasificado como no grave: En cuanto se haya comprobado que el incidente ya no cumple los requisitos para ser clasificado como grave. En caso de no se posible enviar el informe dentro de plazo, habrá de notificarse tal circunstancia al interlocutor habitual dentro del Banco de España a la mayor brevedad posible.

    Plazo de resolución

    No hay plazo de resolución establecido.

    Órgano encargado de la resolución

    No hay órgano de resolución establecido.

    DG De Supervisión / DG De Operaciones, Mercados Y Sistemas de Pago

    Consultas sobre el trámite

    DG De Supervisión

    Dirección postal

    Departamento de Estrategia Supervisora y Riesgo Tecnológico
    C/ Alcalá, 522
    28027 Madrid

    CONSULTAS INFORMÁTICAS

    Palabras Clave

    • DORA
    • Incidentes graves
    • Ciberamenazas importantes
    • Incidentes TIC
    • Incidentes operativos o de seguridad relacionados con los pagos

    Última actualización: 15/09/2025