Seleccionar página

DORA, ¿cuáles son los plazos de notificación, qué sanciones contempla y cuál es el papel de los CSIRT?

30 abril 2025

El Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act), establece un marco normativo obligatorio desde el 17 de enero de 2025 para lograr un elevado nivel común de resiliencia operativa digital en el sector financiero. Uno de los aspectos fundamentales que introduce este reglamento es el de notificar incidentes graves relacionados con las TIC a las autoridades competentes.

Obligación de notificar incidentes graves

Las entidades financieras deben notificar obligatoriamente los incidentes graves que afecten a sus sistemas digitales y operaciones críticas. ¿A quién aplica? Entidades de crédito, empresas de inversión, aseguradoras, proveedores de servicios de pago y otros sujetos financieros.

DORA 1

¿A quién aplica? (Artículo 2)
  • Banco de España
    • Entidades de crédito, pago y dinero electrónico
  • CNMV
    • Empresas de servicios de inversión, sociedades gestoras de instituciones de inversión colectiva, mercados regulados.
  • Dirección General de Seguros y Fondos de Pensiones
    • Aseguradoras, reaseguradoras, fondos de pensiones y sus gestoras
¿Quién recibe la información? (Artículo 19.6)
Tras recibir la notificación inicial y los informes de seguimiento, la autoridad competente debe compartir información sobre el incidente grave con:
  • CSIRT designados según la Directiva (UE) 2022/2555;
  • Otras autoridades competentes;
  • Puntos de contacto únicos.
Esta disposición busca mejorar la coordinación y respuesta ante incidentes de gran impacto en el sector financiero, permitiendo una gestión más efectiva y en tiempo real de los riesgos de ciberseguridad.
 
¿Papel del CSIRT? (Artículo 22)

Los CSIRT pueden proporcionar asesoramiento técnico, orientación de alto nivel y medidas correctoras a las entidades financieras que notifican incidentes graves.

Incidente grave y ciberamenaza importante

DORA distingue entre incidentes graves y ciberamenazas importantes

Incidente grave:

DORA2

Esto supone cualquier suceso que suponga un impacto significativo en la seguridad, continuidad o estabilidad del sistema financiero. Se considera grave cualquier acceso efectivo, malintencionado o no autorizado a las redes y sistemas de información de la entidad financiera. En lo que respecta a las consecuencias económicas pueden llegar a costar más de 100.000 €.
Ciberamenaza importante

DORA 3

A diferencia de los incidentes graves, su notificación es voluntaria, pero altamente recomendable en casos de amenazas emergentes.

Plazos de notificación según DORA

Dora establece plazos estrictos, en su Reglamento Delegado (EU) 2025/301, para la notificación de incidentes graves. Estos plazos buscan garantizar que las autoridades competentes puedan responder de manera oportuna y prevenir la propagación de incidentes que puedan afectar la estabilidad del sistema financiero.

DORA 3

Si un incidente grave se reclasifica como no grave, la entidad debe enviar un informe justificando la reclasificación tan pronto como sea posible.

Los plazos de notificación deben cumplirse estrictamente, y si una entidad no puede reportar en el tiempo estipulado, debe notificar el motivo del retraso a la autoridad competente.

Autoridades supervisoras y procedimientos de notificación en España

DORA asigna la supervisión y control de la resiliencia operativa digital a distintas autoridades nacionales, que en España son:

DORA 4

250429-DORA-notificaciones-sanciones-CSIRT-2
Régimen sancionador

El Reglamento DORA establece entre otras medidas, que las autoridades competentes serán las responsables de ejercer la potestad sancionadora (artículo 50).

En este sentido, el artículo 50 del Reglamento DORA, detalle que “las autoridades competentes deben disponer de todas las facultades de supervisión, investigación y sanción necesarias para garantizar el cumplimiento del Reglamento.

Estas facultades incluyen como mínimo: acceso a documentos, inspecciones in situ, exigencia de medidas correctoras y aplicación de sanciones eficaces, proporcionadas y disuasorias. Además, podrán imponerse sanciones a personas jurídicas y físicas responsables, garantizando el derecho a recurso.

Rol de los CSIRT en la Notificación de Incidentes
El artículo 22 del Reglamento DORA otorga un papel esencial a los CSIRT en el proceso de gestión de incidentes. Estos equipos pueden:
  • Prestar asistencia técnica a entidades financieras afectadas por ciber incidentes.
  • Ofrecer directrices estratégicas para contener y mitigar ataques.
  • Facilitar el intercambio de información entre entidades financieras y regulaciones.

250429-DORA-notificaciones-sanciones-CSIRT-3

Los CSIRT que estén bajo la Directiva (UE) 2022/2555 son actores esenciales en la respuesta y coordinación de incidentes de ciberseguridad en Europa.

El Reglamento DORA ha marcado un cambio importante en la gestión de ciber incidentes en el sector financiero. Desde el 17 de enero de 2025, las entidades financieras están obligadas a notificar incidentes graves, cumpliendo con plazo estrictos y utilizando procedimientos específicos definidos por el Banco de España, la CNMV y la DGSFP.

La colaboración de los CSIRT nacionales y europeos permite mejorar la capacidad de respuesta y mitigación de ciberataques, asegurando la estabilidad del sistema financiero.

Es fundamental que las entidades financieras implementen procesos internos sólidos para garantizar el cumplimiento de las obligaciones de notificación y evitar sanciones por incumplimiento.

Con este marco, DORA fortalece la resiliencia operativa digital del sector financiero de la UE, asegurando un enfoque preventivo y coordinado frente a las ciberamenzas.

___

¿Estás interesado en implantar DORA en tu organización? En Grupo CFI ofrecemos este servicio, nuestro equipo de profesionales expertos te acompañará durante todo el proceso de adecuación. 

📩 Solicita más información en: https://grupocfi.es/implantacion-de-dora/
📞 O llámanos al 901 001 802
Cristina Corbillón Gómez

Cristina Corbillón Gómez

Responsable de Marketing y Comunicación

    Entradas recientes