Comunicación de incidentes tecnológicos graves a la CNMV por el reglamento DORA

 

La Comisión Nacional del Mercado de Valores (CNMV) publicó, el 9-12-2024, una nota sobre cómo comunicar los incidentes graves relacionados con las tecnologías de la información y de las comunicaciones (TIC), para cumplir con el artículo 19 del Reglamento 2022/2554,¹ conocido como reglamento DORA.

Las entidades financieras tendrán que comunicar a las autoridades nacionales competentes esos incidentes de acuerdo con las normas de desarrollo del reglamento.²

Resumimos lo principal de esa nota, vinculada al margen.

Procedimiento de notificación

Estará basado en una aplicación de la sede electrónica de la CNMV y requerirá la identificación con certificado de persona jurídica.

Mientras ese sistema queda disponible, las entidades que notifiquen un incidente grave tendrán que seguir los pasos siguientes:

• descargarse una plantilla disponible en la página web de la CNMV,
• enviar un mensaje de correo con ciertos datos a la dirección electrónica <ciberseguridad@cnmv.es>,
• recibir un mensaje de correo de la CNMV confirmando el alta en su sistema de intercambio,
• identificarse en ese sistema de intercambio y adjuntar la plantilla cumplimentada y la información que considere necesaria.

Notificación de una entidad en nombre de otra

Si una entidad va a notificar el incidente en nombre de otra, esta ha de informar antes de este hecho en el buzón citado de la CNMV y proporcionar:

• nombre de la entidad que va a notificar,
• los datos de contacto, y
• el código de identificación de la entidad informante.