DORA ya es obligatorio: ¿estás preparado para notificar incidentes graves?
Resumen autogenerado por OpenAI
Audios generados (reproducción automática)
Los audios se reproducen de forma automática uno detrás de otro. Haz clic en el icono para descargar el audio o aumentar/disminuir la velocidad de reproducción.
Debido al tamaño del artículo, la generación del audio puede tardar unos segundos y es posible que se generen varios audios para un mismo artículo.
El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco normativo obligatorio desde el 17 de enero de 2025 para la gestión del riesgo digital en el sector financiero. Entre sus aspectos más relevantes, DORA introduce la obligación de notificar incidentes graves relacionados con las TIC a las autoridades competentes, además de incentivar la comunicación de ciberamenazas importantes de forma voluntaria.
En el artículo ¿Qué es el reglamento DORA? exploramos los requisitos generales de la normativa DORA en relación con la notificación de incidentes graves y ciberamenazas importantes, así como el papel de las autoridades supervisoras en España: el Banco de España (BdE), la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP). En esta actualización, profundizamos en los plazos de notificación, la obligatoriedad de la normativa, el régimen sancionador y el papel de los CSIRT (Equipos de Respuesta a Incidentes de Seguridad Informática) en el proceso de gestión de incidentes.
Obligación de notificar incidentes graves según DORA
Desde el 17 de enero de 2025, todas las entidades financieras sujetas a DORA deben notificar obligatoriamente los incidentes graves que afecten a sus sistemas digitales y operaciones críticas. Esta obligación aplica a entidades de crédito, empresas de inversión, aseguradoras, proveedores de servicios de pago y otros sujetos financieros.
Estas imágenes pertenecen a Blog
El Artículo 19, apartado 6 del Reglamento DORA establece que, tras recibir la notificación inicial y los informes de seguimiento, la autoridad competente debe compartir información sobre el incidente grave con:
- CSIRT designados según la Directiva (UE) 2022/2555.
- Otras autoridades competentes.
- Puntos de contacto únicos.
Esta disposición busca mejorar la coordinación y respuesta ante incidentes de gran impacto en el sector financiero, permitiendo una gestión más efectiva y en tiempo real de los riesgos de ciberseguridad.
Por su parte, los proveedores terceros de servicios TIC que prestan servicios a entidades financieras también están sujetos a obligaciones de notificación de incidentes, bajo la Directiva NIS2. Además, aunque DORA no les impone directamente la obligación de notificar incidentes a las autoridades, sí exige que asistan a las entidades financieras en la gestión y notificación de dichos incidentes.
Además, el Artículo 22 del Reglamento DORA menciona que los CSIRT (Computer Security Incident Response Teams) pueden proporcionar asesoramiento técnico, orientación de alto nivel y medidas correctoras a las entidades financieras que notifican incidentes graves. Esto representa un avance significativo en la cooperación público-privada para mitigar los efectos de ciberataques sobre el sistema financiero.
INCIBE-CERT es el CSIRT de referencia para entidades de derecho privado que sean operadores esenciales y, entre ellas, entidades del sector financiero, siguiendo las disposiciones de la Directiva NIS y NIS2. La coordinación entre INCIBE-CERT y otras autoridades está alineada con lo establecido en el Reglamento DORA y la Directiva NIS2.
Incidente grave y ciberamenaza Importante
DORA distingue entre incidentes graves y ciberamenazas importantes, cada uno con su propio tratamiento normativo.
Estas imágenes pertenecen a Blog
Incidente grave
Es cualquier suceso que tenga un impacto significativo en la seguridad, continuidad o estabilidad del sistema financiero. Se clasifica como grave, de acuerdo al art. 8 del Reglamento Delegado (UE) 2024/1772, si cumple al menos uno de los siguientes criterios:
- Interrupción de servicios críticos por más de 24 horas o más de 2 horas en servicios TIC esenciales.
- Impacto en clientes o contrapartes: Más del 10 % de clientes afectados, más de 100.000 clientes impactados o afectación del 30 % de contrapartes financieras.
- Impacto económico: Pérdidas o costes superiores a 100.000.
- Impacto en reputación: Pérdida de confianza o daño mediático significativo.
- Impacto regulatorio: Incumplimiento normativo con posibles sanciones.
- Pérdida de datos: Compromiso de disponibilidad, autenticidad, integridad o confidencialidad con impacto en objetivos empresariales o normativos.
- Extensión geográfica: Afectación en dos o más Estados miembros de la UE.
Incidentes Recurrentes: Se consideran graves si ocurren al menos dos veces en seis meses, tienen la misma causa y cumplen colectivamente los criterios anteriores. Las entidades financieras deben evaluar estos incidentes mensualmente.
Estos incidentes deben notificarse obligatoriamente.
Ciberamenaza importante
Es una amenaza potencial que, de materializarse, podría afectar gravemente a la entidad financiera o al sistema financiero en su conjunto. Se consideran relevantes cuando:
- Impacto potencial: Puede afectar funciones esenciales de la entidad o terceros (proveedores, clientes, contrapartes).
- Alta probabilidad: Vulnerabilidades explotables, intención y capacidades del atacante, persistencia de la amenaza.
- Alcance: Cumple umbrales de impacto en servicios esenciales, clientes/contrapartes o extensión geográfica.
A diferencia de los incidentes graves, su notificación es voluntaria, pero altamente recomendable en casos de amenazas emergentes.
Plazos de notificación según DORA
DORA establece plazos estrictos, en su Reglamento Delegado (EU) 2025/301, para la notificación de incidentes graves. Estos plazos buscan garantizar que las autoridades competentes puedan responder de manera oportuna y prevenir la propagación de incidentes que puedan afectar la estabilidad del sistema financiero.
Estas imágenes pertenecen a Blog
Si un incidente grave se reclasifica como no grave, la entidad debe enviar un informe justificando la reclasificación tan pronto como sea posible.
Los plazos de notificación deben cumplirse estrictamente, y si una entidad no puede reportar en el tiempo estipulado, debe notificar el motivo del retraso a la autoridad competente.
Autoridades supervisoras y procedimientos de notificación en España
DORA asigna la supervisión y control de la resiliencia operativa digital a distintas autoridades nacionales, que en España son:
| Autoridad | Sujetos Obligados | Número aproximado de sujetos obligados |
|---|---|---|
| Banco de España (BdE) | Entidades de crédito, entidades de pago, entidades de dinero electrónico. | >250 |
| CNMV | Empresas de servicios de inversión, sociedades gestoras de instituciones de inversión colectiva, mercados regulados. | >300 |
| DGSFP | Aseguradoras, reaseguradoras, fondos de pensiones y sus gestoras. | >200 |
Cada autoridad ha definido sus propios procedimientos y canales de notificación:
Banco de España (BdE)
- Canal de Envío: Plataforma ITW (Intercambio Telemático Web).
- Formato: Plantillas Excel oficiales descargables desde la sede electrónica del BdE.
- Requisitos: Código LEI y certificado digital para el acceso a la plataforma.
- Confirmación de Recepción: La plataforma ITW confirma la recepción.
Enlace Oficial: Notificación de incidentes graves y ciberamenazas importantes bajo normativa DORA
CNMV
- Canal de Envío: Correo electrónico a ciberseguridad @ cnmv . es.
- Formato: Plantillas Excel disponibles en la web oficial de la CNMV.
- Procedimiento Adicional: Registro en el sistema de intercambio de información de la CNMV para notificaciones posteriores.
- Confirmación de Recepción: Acuse de recibo por correo electrónico.
Enlace Oficial: Procedimiento de notificación a la CNMV de Incidentes graves relacionados con las TIC y notificación voluntaria de las ciberamenazas importantes
DGSFP
- Canal de Envío: Sede Electrónica de la DGSFP.
- Formato: Procedimiento Tel242 disponible en la Sede Electrónica.
- Información Adicional: Instrucciones detalladas y plantillas específicas están disponibles en la Sede Electrónica de la DGSFP.
- Confirmación de Recepción: Confirmación a través de la Sede Electrónica.
Enlace Oficial: Notificación de ciberincidentes graves o importantes de las entidades aseguradoras y reaseguradoras
| Autoridad | Canal de Envío | Formato | Confirmación de Recepción | Enlace Oficial |
|---|---|---|---|---|
| Banco de España (BdE) | Plataforma ITW | Plantilla Excel | Confirmación en ITW | Notificación de incidentes graves y ciberamenazas importantes |
| CNMV | Correo a ciberseguridad @ cnmv . es | Plantilla Excel | Acuse de recibo por email | Procedimiento de notificación a la CNMV |
| DGSFP | Sede Electrónica DGSFP | Procedimiento Tel242 | Confirmación en la Sede Electrónica | Notificación de ciberincidentes graves o importantes |
Régimen sancionador del reglamento DORA
El Reglamento DORA establece un marco sancionador para garantizar la resiliencia operativa digital del sector financiero en la UE. Las sanciones se aplican tanto a entidades financieras como a proveedores de servicios TIC en caso de incumplimientos.
Estas imágenes pertenecen a Blog
Tipos de infracciones y sanciones:
| Infracción | Personas Físicas | Personas Jurídicas | Otras Sanciones |
|---|---|---|---|
| Muy Grave | Hasta 1M € | Hasta 10% negocio anual | Revocación, inhabilitación, cese |
| Grave | Hasta 500K € | Hasta 5% negocio anual | Cese, restricciones |
Infracciones Muy Graves
- Personas físicas: Multas de hasta 1.000.000 €.
- Personas jurídicas: Multas de hasta el 10% del volumen de negocios anual total.
- Otras sanciones: Revocación de autorizaciones, inhabilitación temporal, órdenes de cese de actividad.
Infracciones Graves
- Personas físicas: Multas de hasta 500.000 €.
- Personas jurídicas: Multas de hasta el 5% del volumen de negocios anual total.
- Otras sanciones: Órdenes de cese de actividad y posibles restricciones administrativas.
Las sanciones se impondrán considerando la gravedad, duración, beneficio obtenido y cooperación con las autoridades. Además, cada Estado miembro puede adaptar su aplicación en la legislación nacional.
Rol de los CSIRT en la Notificación de Incidentes
El Artículo 22 del Reglamento DORA otorga un papel esencial a los CSIRT (Computer Security Incident Response Teams) en el proceso de gestión de incidentes. Estos equipos pueden:
- Prestar asistencia técnica a entidades financieras afectadas por ciberincidentes.
- Ofrecer directrices estratégicas para contener y mitigar ataques.
- Facilitar el intercambio de información entre entidades financieras y reguladores.
Los CSIRT que estén designados bajo la Directiva (UE) 2022/2555 son actores esenciales en la respuesta y coordinación de incidentes de ciberseguridad en Europa.
INCIBE-CERT es el CSIRT de referencia para operadores esenciales y entidades del sector financiero, siguiendo las disposiciones de la Directiva NIS. La coordinación entre INCIBE-CERT y otras autoridades está alineada con lo establecido en el Reglamento DORA y la Directiva NIS2.
El Reglamento DORA ha marcado un cambio importante en la gestión de ciberincidentes en el sector financiero. Desde el 17 de enero de 2025, las entidades financieras están obligadas a notificar incidentes graves, cumpliendo con plazos estrictos y utilizando procedimientos específicos definidos por el Banco de España, la CNMV y la DGSFP.
La colaboración con los CSIRT nacionales y europeos permite mejorar la capacidad de respuesta y mitigación de ciberataques, asegurando la estabilidad del sistema financiero.
Es fundamental que las entidades financieras implementen procesos internos sólidos para garantizar el cumplimiento de las obligaciones de notificación y evitar sanciones por incumplimiento.
Con este marco regulatorio, DORA fortalece la resiliencia operativa digital del sector financiero en la UE, asegurando un enfoque preventivo y coordinado frente a las ciberamenazas.
