DORA ya es obligatorio: ¿estás preparado para notificar incidentes graves?

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco normativo obligatorio desde el 17 de enero de 2025 para lograr un elevado nivel común de resiliencia operativa digital en el sector financiero. Entre sus aspectos más relevantes, DORA introduce la obligación de notificar incidentes graves relacionados con las TIC a las autoridades competentes, además de incentivar la comunicación de ciberamenazas importantes de forma voluntaria.

En el artículo ¿Qué es el reglamento DORA? exploramos los requisitos generales de la normativa DORA en relación con la notificación de incidentes graves y ciberamenazas importantes, así como el papel de las autoridades supervisoras en España: el Banco de España (BdE), la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP). En esta actualización, profundizamos en los plazos de notificación, la obligatoriedad de la normativa, el régimen sancionador y el papel de los CSIRT (Equipos de Respuesta a Incidentes de Seguridad Informática) en el proceso de gestión de incidentes.

Obligación de notificar incidentes graves según DORA

Desde el 17 de enero de 2025, todas las entidades financieras sujetas a DORA deben notificar obligatoriamente los incidentes graves que afecten a sus sistemas digitales y operaciones críticas. Esta obligación aplica a  entidades de crédito, empresas de inversión, aseguradoras, proveedores de servicios de pago y otros sujetos financieros. 

El Artículo 19, apartado 6 del Reglamento DORA establece que, tras recibir la notificación inicial y los informes de seguimiento, la autoridad competente debe compartir información sobre el incidente grave con:

• CSIRT designados según la Directiva (UE) 2022/2555.
• Otras autoridades competentes.
• Puntos de contacto únicos.

Esta disposición busca mejorar la coordinación y respuesta ante incidentes de gran impacto en el sector financiero, permitiendo una gestión más efectiva y en tiempo real de los riesgos de ciberseguridad.

Por su parte, los proveedores terceros de servicios TIC que prestan servicios a entidades financieras también están sujetos a obligaciones de notificación de incidentes, bajo la Directiva NIS2. Además, aunque DORA no les impone directamente la obligación de notificar incidentes a las autoridades, sí exige que asistan a las entidades financieras en la gestión y notificación de dichos incidentes.

Además, el Artículo 22 del Reglamento DORA menciona que los CSIRT (Computer Security Incident Response Teams) pueden proporcionar asesoramiento técnico, orientación de alto nivel y medidas correctoras a las entidades financieras que notifican incidentes graves. Esto representa un avance significativo en la cooperación público-privada para mitigar los efectos de ciberataques sobre el sistema financiero.

INCIBE-CERT es el CSIRT de referencia para entidades de derecho privado que sean operadores esenciales y, entre ellas, entidades del sector financiero, siguiendo las disposiciones de la Directiva NIS y NIS2. La coordinación entre INCIBE-CERT y otras autoridades está alineada con lo establecido en el Reglamento DORA y la Directiva NIS2.

Incidente grave y ciberamenaza Importante

DORA distingue entre incidentes graves y ciberamenazas importantes, cada uno con su propio tratamiento normativo.

Incidente grave

Es cualquier suceso que tenga un impacto significativo en la seguridad, continuidad o estabilidad del sistema financiero. De forma especialmente relevante, se considera grave cualquier acceso efectivo, malintencionado y no autorizado a las redes y sistemas de información de la entidad financiera, lo que implica en la práctica la notificación inmediata del incidente.

Según el Reglamento Delegado (UE) 2024/1772, un incidente se considera grave cuando afecta a un servicio esencial (según la definición del artículo 6 del reglamento) y se da alguna de las siguientes situaciones:

• Si dicho servicio esencial se ve afectado por un acceso malicioso con potencial pérdida de datos, el incidente debe notificarse.
• Si no hay acceso malicioso con pérdida potencial de datos, el incidente será grave cuando se cumplan al menos dos de los siguientes seis criterios:

1. Clientes, contrapartes financieras y transacciones: Más del 10 % de clientes del servicio afectado, más de 100.000 clientes, más del 30 % de contrapartes financieras, o más del 10 % del número o valor medio diario de transacciones afectadas.

2. Repercusión en la reputación: Reflejo en medios de comunicación, quejas reiteradas de clientes o contrapartes, pérdida de clientes o contrapartes, o previsión de incumplimiento regulatorio como consecuencia del incidente.

3. Duración del incidente o de la interrupción del servicio: Más de 24 horas de duración del incidente, o más de 2 horas de interrupción en servicios TIC esenciales o importantes.

4. Extensión geográfica: Afectación en dos o más Estados miembros.

5. Pérdidas de datos: Impacto en la disponibilidad, autenticidad, integridad o confidencialidad de los datos con efectos negativos en los objetivos empresariales o en el cumplimiento normativo, o acceso malintencionado con posible pérdida de datos.

6. Consecuencias económicas: Costes o pérdidas superiores a 100.000 €.

Incidentes Recurrentes: Se consideran graves si ocurren al menos dos veces en seis meses, tienen la misma causa y cumplen colectivamente los criterios anteriores. Las entidades financieras deben evaluar estos incidentes mensualmente.

Estos incidentes deben notificarse obligatoriamente.

Ciberamenaza importante

Es una amenaza potencial que, de materializarse, podría afectar gravemente a la entidad financiera o al sistema financiero en su conjunto. Se consideran relevantes cuando:

1. Impacto potencial: Puede afectar funciones esenciales de la entidad o terceros (proveedores, clientes, contrapartes).
2. Alta probabilidad: Vulnerabilidades explotables, intención y capacidades del atacante, persistencia de la amenaza.
3. Alcance: Cumple umbrales de impacto en servicios esenciales, clientes/contrapartes o extensión geográfica.

A diferencia de los incidentes graves, su notificación es voluntaria, pero altamente recomendable en casos de amenazas emergentes.

Plazos de notificación según DORA

DORA establece plazos estrictos, en su Reglamento Delegado (EU) 2025/301, para la notificación de incidentes graves. Estos plazos buscan garantizar que las autoridades competentes puedan responder de manera oportuna y prevenir la propagación de incidentes que puedan afectar la estabilidad del sistema financiero.

Si un incidente grave se reclasifica como no grave, la entidad debe enviar un informe justificando la reclasificación tan pronto como sea posible.

Los plazos de notificación deben cumplirse estrictamente, y si una entidad no puede reportar en el tiempo estipulado, debe notificar el motivo del retraso a la autoridad competente.

Autoridades supervisoras y procedimientos de notificación en España

DORA asigna la supervisión y control de la resiliencia operativa digital a distintas autoridades nacionales, que en España son:

Cada autoridad ha definido sus propios procedimientos y canales de notificación:

Banco de España (BdE)

• Canal de Envío: Plataforma ITW (Intercambio Telemático Web).
• Formato: Plantillas Excel oficiales descargables desde la sede electrónica del BdE.
• Requisitos: Código LEI y certificado digital para el acceso a la plataforma.
• Confirmación de Recepción: La plataforma ITW confirma la recepción. 

Enlace Oficial: Notificación de incidentes graves y ciberamenazas importantes bajo normativa DORA

CNMV

• Canal de Envío: Correo electrónico a ciberseguridad @ cnmv . es.
• Formato: Plantillas Excel disponibles en la web oficial de la CNMV.
• Procedimiento Adicional: Registro en el sistema de intercambio de información de la CNMV para notificaciones posteriores.
• Confirmación de Recepción: Acuse de recibo por correo electrónico. 

Enlace Oficial: Procedimiento de notificación a la CNMV de Incidentes graves relacionados con las TIC y notificación voluntaria de las ciberamenazas importantes

DGSFP

• Canal de Envío: Sede Electrónica de la DGSFP.
• Formato: Procedimiento Tel242 disponible en la Sede Electrónica.
• Información Adicional: Instrucciones detalladas y plantillas específicas están disponibles en la Sede Electrónica de la DGSFP.
• Confirmación de Recepción: Confirmación a través de la Sede Electrónica. 

Enlace Oficial: Notificación de ciberincidentes graves o importantes de las entidades aseguradoras y reaseguradoras

Régimen sancionador del reglamento DORA

El Reglamento DORA contempla una propuesta de régimen sancionador, actualmente pendiente de aprobación, para garantizar la resiliencia operativa digital del sector financiero en la UE. Las sanciones se aplican tanto a entidades financieras como a proveedores de servicios TIC en caso de incumplimientos.

Tipos de infracciones y sanciones:

Infracciones Muy Graves

• Personas físicas: Multas de hasta 1.000.000 €.
• Personas jurídicas: Multas de hasta el 10% del volumen de negocios anual total.
• Otras sanciones: Revocación de autorizaciones, inhabilitación temporal, órdenes de cese de actividad.

Infracciones Graves

• Personas físicas: Multas de hasta 500.000 €.
• Personas jurídicas: Multas de hasta el 5% del volumen de negocios anual total.
• Otras sanciones: Órdenes de cese de actividad y posibles restricciones administrativas.

Las sanciones se impondrán considerando la gravedad, duración, beneficio obtenido y cooperación con las autoridades. Además, cada Estado miembro puede adaptar su aplicación en la legislación nacional.

Rol de los CSIRT en la Notificación de Incidentes 

El Artículo 22 del Reglamento DORA otorga un papel esencial a los CSIRT (Computer Security Incident Response Teams) en el proceso de gestión de incidentes. Estos equipos pueden:

• Prestar asistencia técnica a entidades financieras afectadas por ciberincidentes.
• Ofrecer directrices estratégicas para contener y mitigar ataques.
• Facilitar el intercambio de información entre entidades financieras y reguladores.

Los CSIRT que estén designados bajo la Directiva (UE) 2022/2555 son actores esenciales en la respuesta y coordinación de incidentes de ciberseguridad en Europa.

INCIBE-CERT es el CSIRT de referencia para operadores esenciales y entidades del sector financiero, siguiendo las disposiciones de la Directiva NIS. La coordinación entre INCIBE-CERT y otras autoridades está alineada con lo establecido en el Reglamento DORA y la Directiva NIS2.

El Reglamento DORA ha marcado un cambio importante en la gestión de ciberincidentes en el sector financiero. Desde el 17 de enero de 2025, las entidades financieras están obligadas a notificar incidentes graves, cumpliendo con plazos estrictos y utilizando procedimientos específicos definidos por el Banco de España, la CNMV y la DGSFP.

La colaboración con los CSIRT nacionales y europeos permite mejorar la capacidad de respuesta y mitigación de ciberataques, asegurando la estabilidad del sistema financiero.

Es fundamental que las entidades financieras implementen procesos internos sólidos para garantizar el cumplimiento de las obligaciones de notificación y evitar sanciones por incumplimiento.

Con este marco regulatorio, DORA fortalece la resiliencia operativa digital del sector financiero en la UE, asegurando un enfoque preventivo y coordinado frente a las ciberamenazas.