DORA obliga a clasificar y notificar los incidentes graves relacionados con las TIC a la autoridad competente. Conozca los siete criterios de clasificación, los plazos exactos y las plantillas armonizadas.
El segundo pilar de DORA, desarrollado en los artículos 17 a 23 del Reglamento (UE) 2022/2554, exige a las entidades financieras implantar un proceso sólido de gestión de incidentes relacionados con las TIC. Este proceso comprende:
Para determinar si un incidente es grave, la entidad debe evaluarlo conforme a los siete criterios establecidos en el Reglamento Delegado (UE) 2024/1772:
Estos criterios se completan con umbrales de materialidad. Consulte el marco normativo completo en nuestra página de normas técnicas.
DORA establece un esquema de notificación en tres fases, con plazos estrictos a partir de la clasificación del incidente como grave:
El contenido y el formato de cada notificación se armonizan mediante el Reglamento Delegado (UE) 2025/301 (RTS) y su correspondiente norma técnica de ejecución (ITS). Estas normas establecen plantillas normalizadas para las tres fases:
El uso de estas plantillas garantiza la coherencia de la información en toda la UE.
Las notificaciones deben dirigirse a la autoridad competente que supervisa a la entidad. En España, según el tipo de entidad, será el Banco de España, la CNMV o la DGSFP.
La autoridad competente puede, a su vez, transmitir la información a otras autoridades europeas pertinentes (las Autoridades Europeas de Supervisión, el BCE o ENISA, según corresponda). Por ello, es esencial utilizar las plantillas armonizadas y respetar los plazos para que la cadena de notificación funcione correctamente.
Además de la notificación obligatoria de incidentes graves, DORA prevé la posibilidad de notificar voluntariamente a la autoridad competente las ciberamenazas significativas cuando la entidad considere que son relevantes para el sistema financiero.
Esta notificación voluntaria contribuye al conocimiento colectivo del panorama de amenazas y se enmarca en el espíritu de cooperación e intercambio de información que promueve el reglamento.
Genere su informe de incidente conforme a DORA →
Deben notificarse los incidentes graves relacionados con las TIC, es decir, aquellos que, evaluados conforme a los siete criterios del Reglamento Delegado (UE) 2024/1772, superan los umbrales de materialidad establecidos.
La notificación inicial debe presentarse a más tardar 4 horas después de clasificar el incidente como grave y, en todo caso, como máximo 24 horas tras su detección.
El informe intermedio debe presentarse en un plazo de 72 horas desde la notificación inicial, y el informe final a más tardar un mes después del informe intermedio.
Son siete: clientes y operaciones afectados, reputación, duración e indisponibilidad del servicio, distribución geográfica, pérdidas de datos, criticidad de los servicios y repercusión económica, conforme al RTS 2024/1772.
A la autoridad competente que supervisa a la entidad: el Banco de España, la CNMV o la DGSFP, según el tipo de entidad financiera. Dicha autoridad puede transmitir la información a las autoridades europeas pertinentes.
No. La notificación de ciberamenazas significativas es voluntaria, a diferencia de la notificación de incidentes graves, que sí es obligatoria. La entidad puede notificarlas si las considera relevantes para el sistema financiero.
Esta página es una ayuda profesional, no asesoramiento jurídico. · Versión en inglés