La Comisión Europea promulga dos reglamentos delegados para notificar incidentes graves según el reglamento DORA

24-02-2025 — AR/2025/028

Estos dos reglamentos recogen las normas técnicas de regulación y de ejecución, que detallan el contenido y los plazos de las comunicaciones de incidentes tecnológicos graves y de las ciberamenazas importantes.

 

La Comisión Europea promulgó, el 20-2-2025, dos reglamentos1 y 2 que desarrollan las normas técnicas de regulación y de ejecución sobre la comunicación de los incidentes graves con las tecnologías de la información y las comunicaciones (TIC), a la que obliga el Reglamento 2022/2554,3 más conocido como reglamento DORA.

El artículo 19 del reglamento DORA requiere notificar los incidentes graves con las TIC y, de forma voluntaria, las ciberamenazas importantes. Los textos publicados:

  • concretan los datos que deben comunicarse,
  • presentan las plantillas para las notificaciones de los incidentes y las ciberamenazas, y
  • determinan los plazos para realizarlas.

Resumimos lo esencial de estos dos reglamentos.

Normas técnicas de regulación

Sobre el contenido de los informes

Describe el contenido de los tres informes previstos por el reglamento DORA:

  1. Informe inicial: Detalles como el código de referencia, la fecha y hora de detección, la descripción del incidente y el plan de continuidad de actividades.
  2. Informe intermedio: Progreso en la gestión del incidente, áreas afectadas, medidas tomadas y repercusiones en las personas afectadas.
  3. Informe final: Causas subyacentes, costos y pérdidas asociados, y explicación de la resolución y de las acciones correctivas.

Notificación y plazos

Los plazos de asignan a cada tipo de informe:

  1. Informe inicial: Lo antes posible:
    • dentro de las 4 horas desde la clasificación del incidente como grave , y
    • como máximo, 24 horas después del momento en que la entidad financiera haya tenido conocimiento del incidente.
  2. Informe intermedio: Dentro de las 72 horas tras la notificación inicial.
  3. Informe final: Como máximo, en 1 mes.

Cuando el plazo para presentar estos informes coincida con un fin de semana o un día festivo, o finalice en ellos, la entidad financiera podrá presentarlos antes del mediodía del siguiente día hábil.

Contempla dos particularidades:

  1. para microempresas y entidades no significativas, los plazos serán los adecuados para no imponer una carga desproporcionada,
  2. para algunas entidades, si son significativas o sistémicas, las autoridades pueden no permitirles extender los plazos por fines de semana o festivos.

Notificación de ciberamenazas

Ha de incluir:

  • la fecha de detección,
  • la descripción de la amenaza, y
  • los criterios de clasificación que podrían haber desencadenado un incidente grave si se hubiera materializado.

Normas técnicas de ejecución

El reglamento con estas normas detalla los formularios, plantillas y procedimientos normalizados para informar de un incidente grave relacionado con las TIC. Esquemáticamente:

  • presenta las plantillas para los tres tipo de informes;
  • permite presentar informes conjuntos siempre que:
    • se hayan recuperado las actividades regulares o finalizado el análisis de las causas subyacentes, y
    • se cumplan los plazos;
  • indica que hay que proporcionar información agregada sobre incidentes recurrentes que acumulen las condiciones para clasificarlos como graves, aunque individualmente no lo sean;
  • remitirlos por los canales electrónicos seguros indicados por la autoridad competente;
  • reclasificarlo como no grave y notificar la reclasificación a la autoridad competente si la entidad determina que un incidente grave no cumplía los criterios de tal;
  • recalca que hay que informar a la autoridad competente de la externalización de estas funciones y proporcionar los datos de contacto del proveedor, e informar asimismo si deja de externalizar la notificación de estos incidentes o cambian los datos de contacto;
  • permite al proveedor que tenga la obligación de notificar incidentes en nombre de varias entidades que presente una notificación agregada si el incidente afecta a varias entidades financieras en un solo Estado miembro y cumple con ciertos requisitos (esta posibilidad no la tienen entidades de crédito de importancia significativa ni gestores de centros de negociación);
  • presenta también la plantilla específica para notificar ciberamenazas importantes.

Entrada en vigor

Ambos reglamentos entran en vigor 20 días después de su publicación, es decir, el 12-3-2025.

1 Reglamento Delegado (UE) 2025/301 de la Comisión, de 23 de octubre de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes.
2 Reglamento de Ejecución (UE) 2025/302 de la Comisión, de 23 de octubre de 2024, por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a los formularios, las plantillas y los procedimientos normalizados que deberán aplicar las entidades financieras para informar de un incidente grave relacionado con las TIC y para notificar una ciberamenaza importante.
3 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) n.º 2016/1011.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información