Notificación de Incidentes
La obligación impuesta por DORA y NIS2 a las entidades reguladas de detectar, clasificar y notificar a las autoridades competentes los incidentes significativos de ciberseguridad y relacionados con las TIC dentro de los plazos establecidos.
Definición Completa
La notificación de incidentes es una obligación de cumplimiento fundamental tanto en virtud de DORA como de la Directiva NIS2, diseñada para garantizar que las autoridades competentes mantengan un conocimiento situacional de las ciberamenazas y puedan coordinar respuestas a incidentes a gran escala. Ambos marcos establecen procedimientos de notificación estructurados con plazos estrictos.
Bajo DORA (Artículos 17-23), las entidades financieras deben clasificar los incidentes relacionados con las TIC en función de criterios como el número de clientes afectados, la duración, la extensión geográfica, las pérdidas de datos, la criticidad de los servicios impactados y el impacto económico. Los incidentes graves relacionados con las TIC deben notificarse a la autoridad competente correspondiente mediante un proceso de notificación en tres fases: una notificación inicial en un plazo de 4 horas desde la clasificación (y no más tarde de 24 horas tras la detección), un informe intermedio en 72 horas y un informe final en el plazo de un mes.
La NIS2 (Artículo 23) impone un régimen de notificación escalonado similar para las entidades esenciales e importantes. Los incidentes significativos deben notificarse con una alerta temprana en las 24 horas siguientes al conocimiento del incidente, una notificación del incidente en 72 horas con una evaluación inicial, y un informe final en el plazo de un mes. En el caso de incidentes con impacto transfronterizo, el CSIRT nacional o la autoridad competente deben informar también a los Estados miembros afectados y a ENISA.
Ambas normativas subrayan la importancia de contar con procesos internos sólidos para la detección y clasificación de incidentes. Las entidades deben mantener la capacidad de identificar incidentes con prontitud, evaluar su gravedad y escalarlos adecuadamente. La armonización de la notificación de incidentes entre DORA y NIS2 es un esfuerzo en curso, con la Comisión Europea trabajando para alinear plantillas y procedimientos con el fin de reducir la carga de notificación para las entidades sujetas a ambos marcos.
Regulaciones Relacionadas
Regulaciones donde este término es relevante
Términos Relacionados
Otros términos que pueden ser útiles
Adelántate a los Cambios Regulatorios
Reversa monitoriza los cambios regulatorios en tiempo real para que nunca te pierdas una actualización que afecte a tu negocio.