LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (1), y en particular su artículo 20, párrafo cuarto,
Considerando lo siguiente:
|
(1) |
A fin de garantizar que las entidades financieras notifiquen los incidentes graves a sus autoridades competentes de manera coherente y de que faciliten a dichas autoridades datos de buena calidad, debe especificarse qué campos de datos deben proporcionar las entidades financieras en las distintas fases de la elaboración de informes a que se refiere el artículo 19, apartado 4, del Reglamento (UE) 2022/2554. Es importante que esta información se presente de manera que permita tener una visión general única del incidente. Por lo tanto, es necesario establecer una plantilla única de notificación a tal efecto. |
|
(2) |
Las entidades financieras deben cumplimentar los campos de datos de la plantilla de notificación que correspondan a los requisitos de información de la notificación o informe correspondiente. No obstante, las entidades financieras que ya dispongan de información que deban facilitar en una fase posterior, es decir, en los informes intermedio o final, deben poder anticipar la presentación de los datos. |
|
(3) |
Dado que los incidentes múltiples o recurrentes pueden constituir un incidente grave, tal como se contempla en el artículo 8 del Reglamento Delegado (UE) 2024/1772 de la Comisión (2), el diseño de la plantilla de notificación y de los campos de datos debe permitir a las entidades financieras notificar dichos incidentes recurrentes. |
|
(4) |
Para garantizar que la información sea exacta y esté actualizada, la plantilla de notificación debe permitir a las entidades financieras, al presentar los informes intermedio y final, actualizar cualquier información presentada previamente y, en caso necesario, reclasificar los incidentes graves como no graves. |
|
(5) |
La identificación jurídica de las entidades debe ajustarse a los identificadores especificados en las normas técnicas de ejecución adoptadas de conformidad con el artículo 28, apartado 9, del Reglamento (UE) 2022/2554. |
|
(6) |
Cuando las entidades financieras subcontraten las obligaciones de notificación de incidentes graves relacionados con las TIC a un tercero, las autoridades competentes deberán conocer la identidad del tercero que notifica la información en nombre de la entidad financiera antes de la presentación de la primera notificación, a fin de verificar la legitimidad de dicho tercero. |
|
(7) |
Para determinar fácilmente las repercusiones de un incidente que se haya producido en un proveedor tercero o que haya sido causado por él, y que afecte a varias entidades financieras dentro de un único Estado miembro, y a fin de reducir el esfuerzo de notificación de las entidades financieras, la plantilla de notificación debe permitir la presentación de un informe agregado que abarque información agregada sobre las repercusiones del incidente en todas las entidades financieras afectadas que hayan clasificado el incidente como grave. |
|
(8) |
La plantilla de notificación debe diseñarse de manera tecnológicamente neutra para permitir su implantación en diversas soluciones de notificación de incidentes que ya existan o que puedan desarrollarse para la aplicación de los requisitos del Reglamento (UE) 2022/2554. |
|
(9) |
El diseño de la plantilla de notificación y de los campos de datos debe facilitar la notificación de incidentes graves relacionados con las TIC por parte de terceros a los que las entidades financieras hayan externalizado su obligación de notificación de conformidad con el artículo 19, apartado 5, del Reglamento (UE) 2022/2554. |
|
(10) |
El presente Reglamento se basa en los proyectos de normas técnicas de ejecución presentados por las Autoridades Europeas de Supervisión a la Comisión. |
|
(11) |
Las Autoridades Europeas de Supervisión han llevado a cabo consultas públicas abiertas sobre los proyectos de normas técnicas de ejecución en que se basa el presente Reglamento, han analizado los costes y beneficios potenciales conexos y han recabado el asesoramiento del Grupo de Partes Interesadas del Sector Bancario, establecido de conformidad con el artículo 37 de los Reglamentos (UE) n.o 1093/2010 (3), (UE) n.o 1094/2010 (4) y (UE) n.o 1095/2010 (5) del Parlamento Europeo y del Consejo. |
|
(12) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), emitió su dictamen positivo el 22 de julio de 2024. Todo tratamiento de datos personales en el ámbito de aplicación del presente Reglamento debe llevarse a cabo de conformidad con los principios y disposiciones aplicables en materia de protección de datos establecidos en el Reglamento (UE) 2018/1725. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Plantilla para la notificación de incidentes graves relacionados con las TIC
1. Las entidades financieras utilizarán la plantilla establecida en el anexo I para presentar la notificación inicial, el informe intermedio y el informe final a que se refiere el artículo 19, apartado 4, del Reglamento (UE) 2022/2554, como sigue:
a) las entidades financieras que presenten una notificación inicial cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 2 del Reglamento Delegado (UE) 2025/301 (7) y podrán cumplimentar, cuando ya dispongan de esa información, los campos de datos cuya cumplimentación no sea necesaria para la notificación inicial, pero sí para el informe intermedio o final;
b) las entidades financieras que presenten un informe intermedio cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 3 del Reglamento Delegado (UE) 2025/301 y podrán cumplimentar, cuando ya dispongan de la información pertinente, los campos de datos cuya cumplimentación no sea necesaria para el informe intermedio, pero sí para el informe final;
c) las entidades financieras que presenten un informe final cumplimentarán los campos de datos de la plantilla que correspondan a la información que debe facilitarse de conformidad con el artículo 4 del Reglamento Delegado (UE) 2025/301.
2. Las entidades financieras velarán por que la información contenida en la notificación inicial, así como en los informes intermedio y final, esté completa y sea exacta.
3. Las entidades financieras facilitarán valores estimados basados en otros datos e información disponibles, en la medida de lo posible, cuando no se disponga de datos exactos en el momento de presentar la notificación inicial o el informe intermedio.
4. Al presentar un informe intermedio o final, las entidades financieras utilizarán la plantilla que figura en el anexo I para presentar toda la información requerida y actualizar, en su caso, la información facilitada previamente en la notificación inicial o en el informe intermedio.
5. Las entidades financieras seguirán el glosario de datos y las instrucciones que figuran en el anexo II al cumplimentar la plantilla incluida en el anexo I.
Artículo 2
Presentación conjunta de la notificación inicial y los informes intermedio y final
Las entidades financieras podrán combinar la presentación de la notificación inicial, el informe intermedio y el informe final para facilitar al mismo tiempo dos de ellos o todos, cuando se hayan recuperado las actividades regulares o se haya finalizado el análisis de las causas subyacentes y siempre que se cumplan los plazos establecidos en el artículo 5 del Reglamento Delegado (UE) 2025/301.
Artículo 3
Incidentes relacionados con las TIC recurrentes
Las entidades financieras que faciliten información sobre incidentes no graves relacionados con las TIC recurrentes que cumplan acumulativamente las condiciones para un incidente grave relacionado con las TIC establecidas en el artículo 8, apartado 2, del Reglamento Delegado (UE) 2024/1772 facilitarán dicha información de forma agregada.
Artículo 4
Uso de canales electrónicos seguros
1. Las entidades financieras utilizarán los canales electrónicos seguros puestos a disposición por su autoridad competente para presentar la notificación inicial y los informes intermedio y final.
2. Las entidades financieras que no puedan utilizar los canales electrónicos seguros puestos a disposición por su autoridad competente informarán a esta sobre un incidente grave relacionado con las TIC por otros medios seguros, de acuerdo con la autoridad competente. Si así lo exige dicha autoridad, las entidades financieras volverán a presentar la notificación inicial, o el informe intermedio o final, a través del canal electrónico seguro puesto a disposición una vez que puedan hacerlo.
Artículo 5
Reclasificación de incidentes graves relacionados con las TIC
Cuando, tras una nueva evaluación, la entidad financiera concluya que el incidente relacionado con las TIC notificado previamente como grave no cumplía en ningún momento los criterios y umbrales de clasificación establecidos en el artículo 8 del Reglamento Delegado (UE) 2024/1772, notificará a la autoridad competente que ha reclasificado el incidente relacionado con las TIC de grave a no grave facilitando la información sobre dicha reclasificación en la plantilla que figura en el anexo II del presente Reglamento en relación con los campos «tipo de informe» y «otra información».
Artículo 6
Notificación de la externalización de las obligaciones de notificación
1. Las entidades financieras que hayan externalizado la obligación de notificar incidentes graves relacionados con las TIC de conformidad con el artículo 19, apartado 5, del Reglamento (UE) 2022/2554 informarán a su autoridad competente de dicho acuerdo de externalización tan pronto como se haya celebrado este y, a más tardar, antes de la primera notificación o informe.
2. Las entidades financieras facilitarán a la autoridad competente el nombre, los datos de contacto y el código de identificación del tercero que vaya a presentar las notificaciones de incidentes graves relacionados con las TIC o los informes correspondientes.
3. Las entidades financieras informarán a su autoridad competente tan pronto como dejen de externalizar sus obligaciones de notificación a que se refiere el artículo 19, apartado 5, del Reglamento (UE) 2022/2554.
Artículo 7
Notificación agregada
1. Un proveedor tercero de servicios al que se hayan externalizado las obligaciones de notificación a que se refiere el artículo 19, apartado 5, del Reglamento (UE) 2022/2554 podrá utilizar la plantilla que figura en el anexo I del presente Reglamento para proporcionar información agregada sobre un incidente grave relacionado con las TIC que afecte a varias entidades financieras en una única notificación o informe, y presentar dicha notificación o informe a la autoridad competente en nombre de todas las entidades financieras afectadas, siempre que se cumplan todas las condiciones siguientes:
a) que el incidente grave relacionado con las TIC que deba notificarse tenga su origen en un proveedor tercero de servicios de TIC o esté causado por este;
b) que el proveedor tercero de servicios preste el servicio de TIC pertinente a más de una entidad financiera o a un grupo;
c) que el incidente relacionado con las TIC esté clasificado como grave por todas las entidades financieras incluidas en la notificación o informe agregado;
d) que el incidente grave relacionado con las TIC afecte a entidades financieras de un único Estado miembro y el informe agregado se refiera a entidades financieras supervisadas por la misma autoridad competente;
e) que las autoridades competentes hayan permitido explícitamente a este tipo de entidades financieras agregar su notificación.
2. El apartado 1 no se aplicará a las entidades de crédito que se consideren de importancia significativa según el artículo 2, punto 16, del Reglamento (UE) n.o 468/2014 del Banco Central Europeo (8), a los gestores de centros de negociación ni a las entidades de contrapartida central, que solo utilizarán la plantilla del anexo I para presentar notificaciones o informes de incidentes graves relacionados con las TIC individualmente a su autoridad competente.
3. Cuando las autoridades competentes exijan información sobre las repercusiones específicas del incidente grave relacionado con las TIC en una única entidad financiera, a petición de la autoridad competente, la entidad financiera presentará una notificación o un informe individual sobre el incidente grave relacionado con las TIC.
Artículo 8
Notificación de ciberamenazas importantes
1. Las entidades financieras que notifiquen ciberamenazas importantes a las autoridades competentes de conformidad con el artículo 19, apartado 2, del Reglamento (UE) 2022/2554 utilizarán la plantilla que figura en el anexo III del presente Reglamento y seguirán el glosario de datos y las instrucciones que figuran en el anexo IV del presente Reglamento.
2. Las entidades financieras velarán por que la información contenida en la notificación de ciberamenazas importantes esté completa y sea exacta.
Artículo 9
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 23 de octubre de 2024.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Reglamento Delegado (UE) 2024/1772 de la Comisión, de 13 de marzo de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo mediante normas técnicas de regulación que especifican los criterios para la clasificación de los incidentes relacionados con las TIC y las ciberamenazas, establecen umbrales de importancia relativa y especifican la información detallada de las notificaciones de incidentes graves (DO L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).
(3) Reglamento (UE) n.o 1093/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Bancaria Europea), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/78/CE de la Comisión (DO L 331 de 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Reglamento (UE) n.o 1094/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Seguros y Pensiones de Jubilación), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/79/CE de la Comisión (DO L 331 de 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Reglamento Delegado (UE) 2025/301 de la Comisión de 23 de octubre de 2024, por el que se completa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican el contenido y los plazos para la notificación inicial y los informes intermedio y final sobre incidentes graves relacionados con las TIC, así como el contenido de la notificación voluntaria de ciberamenazas importantes. (DO L, 2025/301, 20.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/301/oj).
(8) Reglamento (UE) n.o 468/2014 del Banco Central Europeo, de 16 de abril de 2014, por el que se establece el marco de cooperación en el Mecanismo Único de Supervisión entre el Banco Central Europeo y las autoridades nacionales competentes y con las autoridades nacionales designadas (Reglamento Marco del MUS) (BCE/2014/17) (DO L 141 de 14.5.2014, p. 1, ELI: http://data.europa.eu/eli/reg/2014/468/oj).
ANEXO I
PLANTILLAS PARA LA NOTIFICACIÓN DE INCIDENTES GRAVES
|
Número de campo |
Campo de datos |
|
|
Información general sobre la entidad financiera |
||
|
1.1 |
Tipo de presentación |
|
|
1.2 |
Nombre de la entidad que presenta el informe |
|
|
1.3 |
Código de identificación de la entidad que presenta el informe |
|
|
1.4 |
Tipo de entidad financiera afectada |
|
|
1.5 |
Nombre de la entidad financiera afectada |
|
|
1.6 |
Código LEI de la entidad financiera afectada |
|
|
1.7 |
Nombre de la persona de contacto principal |
|
|
1.8 |
Correo electrónico de la persona de contacto principal |
|
|
1.9 |
Teléfono de la persona de contacto principal |
|
|
1.10 |
Nombre de la segunda persona de contacto |
|
|
1.11 |
Correo electrónico de la segunda persona de contacto |
|
|
1.12 |
Teléfono de la segunda persona de contacto |
|
|
1.13 |
Razón social de la empresa matriz última |
|
|
1.14 |
Código LEI de la empresa matriz última |
|
|
1.15 |
Moneda de referencia |
|
|
Contenido de la notificación inicial |
||
|
2.1 |
Código de referencia del incidente asignado por la entidad financiera |
|
|
2.2 |
Fecha y hora de detección del incidente grave relacionado con las TIC |
|
|
2.3 |
Fecha y hora de la clasificación del incidente relacionado con las TIC como grave |
|
|
2.4 |
Descripción del incidente grave relacionado con las TIC |
|
|
2.5 |
Criterios de clasificación que activaron el informe de incidente |
|
|
2.6 |
Umbrales de importancia para el criterio de clasificación «Distribución geográfica» |
|
|
2.7 |
Descubrimiento del incidente grave relacionado con las TIC |
|
|
2.8 |
Indicación de si el incidente grave relacionado con las TIC tiene su origen en un proveedor tercero u otra entidad financiera |
|
|
2.9 |
Activación del plan de continuidad de la actividad, si se activa |
|
|
2.10 |
Otros datos de interés |
|
|
Contenido del informe intermedio |
||
|
3.1 |
Código de referencia del incidente facilitado por la autoridad competente |
|
|
3.2 |
Fecha y hora en que se produjo el incidente grave relacionado con las TIC |
|
|
3.3 |
Fecha y hora en que se han recuperado los servicios, actividades u operaciones |
|
|
3.4 |
Número de clientes afectados |
|
|
3.5 |
Porcentaje de clientes afectados |
|
|
3.6 |
Número de contrapartes financieras afectadas |
|
|
3.7 |
Porcentaje de contrapartes financieras afectadas |
|
|
3.8 |
Repercusión en los clientes o las contrapartes financieras pertinentes |
|
|
3.9 |
Número de transacciones afectadas |
|
|
3.10 |
Porcentaje de transacciones afectadas |
|
|
3.11 |
Valor de las transacciones afectadas |
|
|
3.12 |
Información sobre si las cifras son reales o estimadas, o si no se ha producido ninguna repercusión |
|
|
3.13 |
Repercusión en la reputación |
|
|
3.14 |
Información contextual sobre la repercusión en la reputación |
|
|
3.15 |
Duración del incidente grave relacionado con las TIC |
|
|
3.16 |
Duración de la interrupción del servicio |
|
|
3.17 |
Información sobre si las cifras correspondientes a la duración del incidente y a la duración de la interrupción del servicio son reales o estimadas. |
|
|
3.18 |
Tipos de repercusiones en los Estados miembros |
|
|
3.19 |
Descripción de la repercusión del incidente grave relacionado con las TIC en otros Estados miembros |
|
|
3.20 |
Umbrales de importancia para el criterio de clasificación «Pérdidas de datos» |
|
|
3.21 |
Descripción de las pérdidas de datos |
|
|
3.22 |
Criterio de clasificación «Servicios esenciales afectados» |
|
|
3.23 |
Tipo de incidente grave relacionado con las TIC |
|
|
3.24 |
Otros tipos de incidentes |
|
|
3.25 |
Amenazas y técnicas utilizadas por el agente de riesgo |
|
|
3.26 |
Otros tipos de técnicas |
|
|
3.27 |
Información sobre las áreas funcionales y los procesos empresariales afectados |
|
|
3.28 |
Componentes de la infraestructura afectados que apoyan los procesos empresariales |
|
|
3.29 |
Información sobre los componentes de la infraestructura afectados que apoyan los procesos empresariales |
|
|
3.30 |
Repercusiones en los intereses financieros de los clientes |
|
|
3.31 |
Notificación a otras autoridades |
|
|
3.32 |
Especificación de «otras» autoridades |
|
|
3.33 |
Acciones/medidas temporales adoptadas o previstas para recuperarse del incidente |
|
|
3.34 |
Descripción de las acciones y medidas temporales adoptadas o previstas para recuperarse del incidente |
|
|
3.35 |
Indicadores de compromiso |
|
|
Contenido del informe final |
||
|
4.1 |
Clasificación de alto nivel de las causas profundas del incidente |
|
|
4.2 |
Clasificación detallada de las causas profundas del incidente |
|
|
4.3 |
Clasificación adicional de las causas profundas del incidente |
|
|
4.4 |
Otros tipos de causas profundas |
|
|
4.5 |
Información sobre las causas profundas del incidente |
|
|
4.6 |
Resumen de la resolución del incidente |
|
|
4.7 |
Fecha y hora en que se abordó la causa profunda del incidente |
|
|
4.8 |
Fecha y hora en que se resolvió el incidente |
|
|
4.9 |
Información si la fecha de resolución permanente del incidente difiere de la fecha de aplicación inicialmente prevista |
|
|
4.10 |
Evaluación del riesgo para las funciones esenciales a efectos de resolución |
|
|
4.11 |
Información pertinente para las autoridades de resolución |
|
|
4.12 |
Umbral de importancia para el criterio de clasificación «Consecuencias económicas» |
|
|
4.13 |
Importe de los costes y pérdidas directos e indirectos brutos |
|
|
4.14 |
Importe de las recuperaciones financieras |
|
|
4.15 |
Información sobre si los incidentes no graves han sido recurrentes |
|
|
4.16 |
Fecha y hora en que se produjeron los incidentes recurrentes |
|
ANEXO II
GLOSARIO DE DATOS E INSTRUCCIONES PARA LA NOTIFICACIÓN DE INCIDENTES GRAVES
|
Campo de datos |
Descripción |
Obligatorio para la notificación inicial |
Obligatorio para el informe intermedio |
Obligatorio para el informe final |
Tipo de campo |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información general sobre la entidad financiera |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indíquese el tipo de notificación o informe de incidente que se presenta a la autoridad competente. |
Sí |
Sí |
Sí |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Razón social completa de la entidad que presenta el informe. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Código de identificación de la entidad que presenta el informe. Cuando las entidades financieras presenten la notificación o el informe, el código de identificación será un identificador de entidad jurídica (LEI), que es un código único de veinte caracteres alfanuméricos, basado en la norma ISO 17442-1:2020. Cuando un proveedor tercero presente un informe en nombre de una entidad financiera, este podrá utilizar un código de identificación tal como se especifica en las normas técnicas de ejecución adoptadas de conformidad con el artículo 28, apartado 9, del Reglamento (UE) 2022/2554. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Tipo de entidad a que se refiere el artículo 2, apartado 1, letras a) a t), del Reglamento (UE) 2022/2554 para la que se presenta el informe. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, los diferentes tipos de entidades financieras incluidas en el informe agregado que se seleccionará. |
Sí |
Sí |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Razón social completa de la entidad financiera afectada por el incidente grave relacionado con las TIC y obligada a notificar el incidente grave a su autoridad competente con arreglo al artículo 19 del Reglamento (UE) 2022/2554. En caso de notificación agregada:
|
Sí, si la entidad financiera afectada por el incidente es diferente de la entidad que presenta el informe y en caso de notificación agregada. |
Sí, si la entidad financiera afectada por el incidente es diferente de la entidad que presenta el informe y en caso de notificación agregada. |
Sí, si la entidad financiera afectada por el incidente es diferente de la entidad que presenta el informe y en caso de notificación agregada |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Identificador de entidad jurídica (LEI) de la entidad financiera afectada por el incidente grave relacionado con las TIC, asignado de conformidad con la Organización Internacional de Normalización. En caso de notificación agregada:
El orden de aparición de los códigos LEI y los nombres de las entidades financieras será idéntico. |
Sí, si la entidad financiera afectada por el incidente grave relacionado con las TIC es diferente de la entidad que presenta el informe y en caso de notificación agregada. |
Sí, si la entidad financiera afectada por el incidente grave relacionado con las TIC es diferente de la entidad que presenta el informe y en caso de notificación agregada. |
Sí, si la entidad financiera afectada por el incidente grave relacionado con las TIC es diferente de la entidad que presenta el informe y en caso de notificación agregada. |
Código único de veinte caracteres alfanuméricos, basado en la norma ISO 17442-1:2020 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Nombre y apellidos de la persona de contacto principal de la entidad financiera. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el nombre de la persona de contacto principal de la entidad que presenta el informe agregado. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Dirección de correo electrónico de la persona de contacto principal que puede utilizar la autoridad competente para la comunicación de seguimiento. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el correo electrónico de la persona de contacto principal de la entidad que presenta el informe agregado. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de teléfono de la persona de contacto principal que puede utilizar la autoridad competente para la comunicación de seguimiento. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el número de teléfono de la persona de contacto principal de la entidad que presenta el informe agregado. Se indicará el número de teléfono con todos los prefijos internacionales (por ejemplo, +33 XXXXXXXXX). |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Nombre y apellidos de la segunda persona de contacto o nombre del equipo responsable de la entidad financiera o de una entidad que presente el informe en nombre de la entidad financiera. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Dirección de correo electrónico de la segunda persona de contacto o dirección de correo electrónico funcional del equipo que pueda utilizar la autoridad competente para la comunicación de seguimiento. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de teléfono de la segunda persona de contacto, o de un equipo, que puede utilizar la autoridad competente para la comunicación de seguimiento. Se indicará el número de teléfono con todos los prefijos internacionales (por ejemplo, +33 XXXXXXXXX). |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Razón social de la empresa matriz última del grupo al que pertenece la entidad financiera afectada, cuando proceda. |
Sí, si la entidad financiera pertenece a un grupo. |
Sí, si la entidad financiera pertenece a un grupo. |
Sí, si la entidad financiera pertenece a un grupo. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
LEI de la empresa matriz última del grupo al que pertenece la entidad financiera afectada, cuando proceda. Asignado de conformidad con la Organización Internacional de Normalización. |
Sí, si la entidad financiera pertenece a un grupo. |
Sí, si la entidad financiera pertenece a un grupo. |
Sí, si la entidad financiera pertenece a un grupo. |
Código único de veinte caracteres alfanuméricos, basado en la norma ISO 17442-1:2020. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Moneda utilizada para la notificación de incidentes |
Sí |
Sí |
Sí |
La opción que corresponda se indicará utilizando los códigos de moneda ISO 4217 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Contenido de la notificación inicial |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Código de referencia único emitido por la entidad financiera que identifique inequívocamente el incidente grave relacionado con las TIC. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el código de referencia del incidente asignado por el proveedor tercero. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que la entidad financiera ha tenido conocimiento del incidente relacionado con las TIC. En el caso de incidentes recurrentes, fecha y hora en que se detectó el último incidente relacionado con las TIC. |
Sí |
Sí |
Sí |
UTC conforme a la norma ISO 8601 (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que el incidente relacionado con las TIC se clasificó como grave con arreglo a los criterios de clasificación establecidos en el Reglamento Delegado (UE) 2024/1772. |
Sí |
Sí |
Sí |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de los aspectos más pertinentes del incidente grave relacionado con las TIC. Las entidades financieras proporcionarán un resumen general de la siguiente información, como posibles causas, repercusiones inmediatas, sistemas afectados y otros. Las entidades financieras incluirán, cuando se conozca o se prevea razonablemente, si el incidente afecta a proveedores terceros u otras entidades financieras, el tipo de proveedor o entidad financiera, su nombre, sus respectivos códigos de identificación y el tipo de código de identificación (por ejemplo, LEI o EUID). En informes posteriores, el contenido del campo puede evolucionar con el tiempo para reflejar lo que se vaya conociendo sobre el incidente relacionado con las TIC y describir cualquier otra información pertinente sobre este no recogida en los campos de datos, como la evaluación interna de la gravedad por parte de la entidad financiera (por ejemplo, muy baja, baja, media, alta o muy alta) y una indicación del nivel y el nombre de las estructuras de decisión de mayor rango que hayan participado en la respuesta al incidente relacionado con las TIC. |
Sí |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Criterios de clasificación con arreglo al Reglamento Delegado (UE) 2024/1772 que han dado lugar a la determinación del incidente relacionado con las TIC como grave y a su posterior notificación. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, los criterios de clasificación que hayan dado lugar a la determinación del incidente relacionado con las TIC como grave para al menos una de las entidades financieras. |
Sí |
Sí |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Estados miembros del EEE afectados por el incidente grave relacionado con las TIC. Al evaluar la repercusión del incidente grave relacionado con las TIC en otros Estados miembros, las entidades financieras tendrán en cuenta los artículos 4 y 12 del Reglamento Delegado (UE) 2024/1772. |
Sí, si se alcanza el umbral de «Extensión geográfica». |
Sí, si se alcanza el umbral de «Extensión geográfica». |
Sí, si se alcanza el umbral de «Extensión geográfica». |
La opción (selección múltiple) que corresponda se indicará utilizando los códigos conforme a la norma ISO 3166 alfa-2 de los países afectados. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de cómo se ha descubierto el incidente grave relacionado con las TIC. |
Sí |
Sí |
Sí |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de si el incidente grave relacionado con las TIC procede de un proveedor tercero u otra entidad financiera. Las entidades financieras indicarán si el incidente grave relacionado con las TIC tiene su origen en un proveedor tercero u otra entidad financiera (incluidas las entidades financieras pertenecientes al mismo grupo que la entidad informadora) y el nombre, el código de identificación del proveedor tercero o la entidad financiera y el tipo de código de identificación (por ejemplo, LEI o EUID). |
Sí, si el incidente procede de un proveedor tercero u otra entidad financiera |
Sí, si el incidente procede de un proveedor tercero u otra entidad financiera |
Sí, si el incidente procede de un proveedor tercero u otra entidad financiera |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de si ha habido una activación formal de las medidas de respuesta de continuidad de la actividad de la entidad financiera. |
Sí |
Sí |
Sí |
Booleano (sí o no) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Cualquier otra información no incluida en la plantilla. Las entidades financieras que hayan reclasificado un incidente grave relacionado con las TIC como no grave describirán las razones por las que este no cumple ni se espera que cumpla los criterios para ser considerado un incidente grave relacionado con las TIC. |
Sí, si hay otra información no incluida en la plantilla o si el incidente grave relacionado con las TIC se ha reclasificado como no grave. |
Sí, si hay otra información no incluida en la plantilla o si el incidente grave relacionado con las TIC se ha reclasificado como no grave. |
Sí, si hay otra información no incluida en la plantilla o si el incidente grave relacionado con las TIC se ha reclasificado como no grave |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Contenido del informe intermedio |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Código de referencia único asignado por la autoridad competente en el momento de la recepción de la notificación inicial para identificar inequívocamente el incidente grave relacionado con las TIC. |
No |
Sí, si procede. |
Sí, si procede |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que se produjo el incidente grave relacionado con las TIC, si es diferente del momento en que la entidad financiera tuvo conocimiento de este. En el caso de los incidentes graves relacionados con las TIC recurrentes, fecha y hora en que se produjera el último de ellos. |
No |
Sí |
Sí |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre la fecha y hora de recuperación de los servicios, actividades u operaciones afectados por el incidente grave relacionado con las TIC. |
No |
Sí, si se ha cumplimentado el campo de datos 3.16, «Duración de la interrupción del servicio». |
Sí, si se ha cumplimentado el campo de datos 3.16, «Duración de la interrupción del servicio». |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de clientes afectados por el incidente grave relacionado con las TIC que utilizan el servicio prestado por la entidad financiera. Al evaluar el número de clientes afectados, las entidades financieras tendrán en cuenta el artículo 1, apartado 1, y el artículo 9, apartado 1, letra b), del Reglamento Delegado (UE) 2024/1772 en su evaluación. Las entidades financieras que no puedan determinar el número real de clientes afectados utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el número total de clientes afectados de todas las entidades financieras. |
No |
Sí |
Sí |
Número entero |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Porcentaje de clientes afectados por el incidente grave relacionado con las TIC respecto al número total de clientes que hacen uso del servicio prestado por la entidad financiera afectado. En caso de que haya más de un servicio afectado, los servicios se indicarán de forma agregada. Las entidades financieras tendrán en cuenta el artículo 1, apartado 1, y el artículo 9, apartado 1, letra a), del Reglamento Delegado (UE) 2024/1772 en su evaluación. Las entidades financieras que no puedan determinar el porcentaje real de clientes afectados utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, la entidad financiera dividirá la suma de todos los clientes afectados por el número total de clientes de todas las entidades financieras afectadas. |
No |
Sí |
Sí |
Expresado como porcentaje, cualquier valor de hasta cinco caracteres numéricos, incluido hasta un decimal (por ejemplo, 2,4 en lugar de 2,4 %). Si el valor tiene más de un dígito después del decimal, las contrapartes notificantes redondearán hacia arriba. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de contrapartes financieras afectadas por el incidente grave relacionado con las TIC que han celebrado un contrato con la entidad financiera. Al evaluar el número de contrapartes financieras afectadas, las entidades financieras tendrán en cuenta el artículo 1, apartado 2, del Reglamento Delegado (UE) 2024/1772 en su evaluación. Las entidades financieras que no puedan determinar el número real de contrapartes financieras afectadas utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el número total de contrapartes financieras afectadas en todas las entidades financieras. |
No |
Sí |
Sí |
Número entero |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Porcentaje de contrapartes financieras afectadas por el incidente grave relacionado con las TIC respecto al número total de contrapartes financieras que han celebrado un contrato con la entidad financiera. Al evaluar el porcentaje de contrapartes financieras afectadas, las entidades financieras tendrán en cuenta el artículo 1, apartado 1, y el artículo 9, apartado 1, letra c), del Reglamento Delegado (UE) 2024/1772 en su evaluación. Las entidades financieras que no puedan determinar el porcentaje real de contrapartes financieras afectadas utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, indíquese la suma de todas las contrapartes financieras afectadas dividida por el número total de contrapartes financieras de todas las entidades financieras afectadas. |
No |
Sí |
Sí |
Expresado como porcentaje, cualquier valor de hasta cinco caracteres numéricos, incluido hasta un decimal (por ejemplo, 2,4 en lugar de 2,4 %). Si el valor tiene más de un dígito después del decimal, las contrapartes notificantes redondearán hacia arriba. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Cualquier repercusión detectada en los clientes o las contrapartes financieras pertinentes a que se refieren el artículo 1, apartado 3, y el artículo 9, apartado 1, letra f), del Reglamento Delegado (UE) 2024/1772. |
No |
Sí, si se alcanza el umbral de «Pertinencia de los clientes y las contrapartes financieras» |
Sí, si se alcanza el umbral de «Pertinencia de los clientes y las contrapartes financieras» |
Booleano (sí o no) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de transacciones afectadas por el incidente grave relacionado con las TIC. Al evaluar la repercusión en las transacciones, las entidades financieras tendrán en cuenta el artículo 1, apartado 4, del Reglamento Delegado (UE) 2024/1772, incluidas todas las transacciones nacionales y transfronterizas afectadas que contengan un importe monetario y que se hayan llevado a cabo al menos parcialmente en la Unión. Las entidades financieras que no puedan determinar el número real de transacciones afectadas utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, indíquese el número total de transacciones afectadas en todas las entidades financieras. |
No |
Sí, si alguna transacción se ha visto afectada por el incidente. |
Sí, si alguna transacción se ha visto afectada por el incidente |
Número entero |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Porcentaje de transacciones afectadas en relación con el número medio diario de transacciones nacionales y transfronterizas realizadas por la entidad financiera en relación con el servicio afectado. Las entidades financieras tendrán en cuenta el artículo 1, apartado 4, y el artículo 9, apartado 1, letra d), del Reglamento Delegado (UE) 2024/1772. Las entidades financieras que no puedan determinar el porcentaje real de transacciones afectadas utilizarán estimaciones. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, la entidad financiera sumará el número de todas las transacciones afectadas y lo dividirá por el número total de transacciones de todas las entidades financieras afectadas. |
No |
Sí, si alguna transacción se ha visto afectada por el incidente |
Sí, si alguna transacción se ha visto afectada por el incidente |
Expresado como porcentaje, cualquier valor de hasta cinco caracteres numéricos, incluido hasta un decimal (por ejemplo, 2,4 en lugar de 2,4 %). Si el valor tiene más de un dígito después del decimal, las contrapartes notificantes redondearán hacia arriba. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
El valor total de las transacciones afectadas por el incidente grave relacionado con las TIC se evaluará de conformidad con el artículo 1, apartado 4, y el artículo 9, apartado 1, letra e), del Reglamento Delegado (UE) 2024/1772. Las entidades financieras que no puedan determinar el valor real de transacciones afectadas utilizarán estimaciones basadas en los datos disponibles de períodos de referencia comparables. Las entidades financieras comunicarán el importe monetario como valor positivo. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, el valor total de las transacciones afectadas de todas las entidades financieras. |
No |
Sí, si alguna transacción se ha visto afectada por el incidente. |
Sí, si alguna transacción se ha visto afectada por el incidente |
Monetario Las entidades financieras comunicarán este dato en unidades utilizando una precisión mínima equivalente a miles de unidades (por ejemplo, 2,5 en lugar de 2 500 EUR). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre si los valores comunicados en los campos de datos 3.4 a 3.11 son reales o estimados, o si no se ha producido ninguna repercusión. |
No |
Sí |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre la repercusión en la reputación derivada del incidente grave relacionado con las TIC a que se refieren los artículos 2 y 10 del Reglamento Delegado (UE) 2024/1772. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las categorías de repercusión en la reputación que se aplican al menos a una entidad financiera. |
No |
Sí, si se cumple el criterio «Repercusión en la reputación». |
Sí, si se cumple el criterio «Repercusión en la reputación» |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información que describa de qué manera el incidente grave relacionado con las TIC ha afectado o podría afectar a la reputación de la entidad financiera, en particular las infracciones de la legislación, los requisitos reglamentarios no cumplidos, el número de quejas de los clientes, etc. La información contextual incluirá el tipo de medios de comunicación (por ejemplo, medios tradicionales y digitales, blogs, plataformas de emisión en continuo) y la cobertura mediática, incluido el alcance de los medios de comunicación (local, nacional, internacional). La cobertura mediática en este contexto no se referirá a unos cuantos comentarios negativos de seguidores o usuarios de redes sociales. Las entidades financieras indicarán también si la cobertura mediática ha puesto de relieve riesgos significativos para sus clientes en relación con el incidente grave relacionado con las TIC, incluido el riesgo de insolvencia de la entidad financiera o el riesgo de pérdida de fondos. Las entidades financieras también indicarán si han facilitado información a los medios de comunicación que haya servido para informar de manera fiable al público sobre el incidente grave relacionado con las TIC y sus consecuencias. Las entidades financieras también podrán indicar si se ha difundido información falsa en los medios de comunicación sobre el incidente relacionado con las TIC, en particular información basada en la difusión deliberada de información errónea por parte de agentes de riesgo, o información relativa a la degradación del sitio web de la entidad financiera o que refleje dicha degradación. |
No |
Sí, si se cumple el criterio «Repercusión en la reputación». |
Sí, si se cumple el criterio «Repercusión en la reputación». |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Las entidades financieras medirán la duración del incidente grave relacionado con las TIC desde el momento en que se haya producido hasta el momento en que se haya resuelto. Las entidades financieras que no puedan determinar el momento en que se haya producido el incidente grave relacionado con las TIC medirán su duración o bien desde el momento en que lo hayan detectado, o bien desde el momento en que lo hayan reflejado en registros de redes o sistemas o en otras fuentes de datos, en caso de que esto se haya producido antes de su detección. Las entidades financieras que aún no sepan cuándo se va a resolver el incidente grave relacionado con las TIC realizarán estimaciones. El valor se expresará en días, horas y minutos. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las entidades financieras indicarán la duración más larga del incidente grave relacionado con las TIC en caso de haber diferencias entre las entidades financieras. |
No |
Sí |
Sí |
DD: HH: MM |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Duración de la interrupción del servicio medida desde el momento en que el servicio no esté total o parcialmente disponible para los clientes, las contrapartes financieras u otros usuarios internos o externos, hasta el momento en que se restablezcan las actividades u operaciones regulares al nivel de servicio que se prestaba antes del incidente grave relacionado con las TIC. Cuando la interrupción del servicio provoque retrasos en la prestación del servicio después de que se hayan restablecido las actividades u operaciones regulares, las entidades financieras medirán su duración desde el inicio del incidente grave relacionado con las TIC hasta el momento en que se preste el servicio que haya sufrido un retraso. Las entidades financieras que no puedan determinar el momento en que se haya iniciado la interrupción del servicio medirán su duración desde el momento en que se haya detectado el incidente o desde el momento en que se haya registrado, en caso de que esto se haya producido antes de su detección. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las entidades financieras indicarán la duración más larga de la interrupción del servicio en caso de haber diferencias entre las entidades financieras. |
No |
Sí, si el incidente ha provocado una interrupción del servicio. |
Sí, si el incidente ha provocado una interrupción del servicio |
DD: HH: MM |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre si los valores comunicados en los campos de datos 3.15 y 3.16 son reales o estimados. |
No |
Sí, si se cumple el criterio «Duración del incidente y duración de la interrupción del servicio». |
Sí, si se cumple el criterio de «Duración del incidente y a la duración de la interrupción del servicio» |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Tipos de repercusiones en los respectivos Estados miembros del EEE. Indicación de si el incidente grave relacionado con las TIC ha tenido repercusiones en otros Estados miembros del EEE (distintos del Estado miembro de la autoridad competente a la que se haya notificado directamente el incidente), de conformidad con el artículo 4 del Reglamento Delegado (UE) 2024/1772, y en particular la importancia de dichas repercusiones en lo que respecta a:
|
No |
Sí, si se alcanza el umbral de «Extensión geográfica». |
Sí, si se alcanza el umbral de «Extensión geográfica» |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de la repercusión y la gravedad del incidente grave relacionado con las TIC en cada Estado miembro afectado, incluida una evaluación de la repercusión y la gravedad en relación con:
|
No |
Sí, si se alcanza el umbral de «Extensión geográfica» |
Sí, si se alcanza el umbral de «Extensión geográfica» |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Tipos de pérdidas de datos que el incidente grave relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la integridad y la confidencialidad de los datos. Las entidades financieras tendrán en cuenta los artículos 5 y 13 del Reglamento Delegado (UE) 2024/1772 en su evaluación. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las pérdidas de datos que afecten al menos a una entidad financiera. |
No |
Sí, si se cumple el criterio «Pérdidas de datos». |
Sí, si se cumple el criterio «Pérdidas de datos» |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de la repercusión del incidente grave relacionado con las TIC en la disponibilidad, autenticidad, integridad y confidencialidad de los datos esenciales, de conformidad con los artículos 5 y 13 del Reglamento Delegado (UE) 2024/1772. Información sobre la repercusión en la consecución de los objetivos empresariales de la entidad financiera o en el cumplimiento de los requisitos reglamentarios. Como parte de la información facilitada, las entidades financieras indicarán si los datos afectados son datos de clientes, datos de otras entidades (por ejemplo, contrapartes financieras) o datos de la propia entidad financiera. La entidad financiera también puede indicar el tipo de datos afectados por el incidente, en particular, si los datos son confidenciales y de qué tipo de confidencialidad se trata (por ejemplo, secreto comercial, datos personales, secreto profesional: secreto bancario, secreto de los seguros, secreto de los servicios de pago, etc.). La información también puede incluir posibles riesgos asociados a las pérdidas de datos, por ejemplo, si los datos afectados por el incidente pueden utilizarse para identificar a personas concretas y si pueden ser utilizados por el agente de riesgo para obtener créditos o préstamos sin su consentimiento, para llevar a cabo ataques de phishing personalizado o para divulgar información públicamente. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, una descripción general de las repercusiones del incidente en las entidades financieras afectadas. Cuando existan diferencias entre las repercusiones, su descripción indicará claramente la repercusión específica en las distintas entidades financieras. |
No |
Sí, si se cumple el criterio «Pérdidas de datos» |
Sí, si se cumple el criterio «Pérdidas de datos» |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información relacionada con el criterio «Servicios esenciales afectados». Las entidades financieras tendrán en cuenta el artículo 6 del Reglamento Delegado (UE) 2024/1772 en su evaluación, en particular la información sobre:
En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las repercusiones en los servicios esenciales de al menos a una entidad financiera. |
No |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Clasificación de los incidentes por tipo. |
No |
Sí |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Otros tipos de incidentes relacionados con las TIC: las entidades financieras que hayan seleccionado «otros» tipos de incidentes en el campo de datos 3.23 especificarán el tipo de incidente relacionado con las TIC. |
No |
Sí, si se selecciona «otros» tipos de incidentes en el campo de datos 3.23 |
Sí, si se selecciona «otros» tipos de incidentes en el campo de datos 3.23 |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de los tipos de amenazas y técnicas utilizadas por el agente de riesgo, como por ejemplo:
|
No |
Sí, si el tipo de incidente relacionado con las TIC está «relacionado con la ciberseguridad», según el campo 3.23. |
Sí, si el tipo de incidente relacionado con las TIC está «relacionado con la ciberseguridad» en el campo 3.23 |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Otros tipos de técnicas Las entidades financieras que hayan seleccionado «otros» tipos de técnicas en el campo de datos 3.25 especificarán el tipo de técnica. |
No |
Sí, si se selecciona «otros» tipos de técnicas en el campo de datos 3.25 |
Sí, si se selecciona «otros» tipos de técnicas en el campo de datos 3.25 |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de las áreas funcionales y los procesos empresariales afectados por el incidente, incluidos los productos y servicios. Entre las áreas funcionales figurarán las siguientes:
Entre los procesos empresariales figurarán los siguientes:
En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las áreas funcionales y los procesos empresariales afectados en al menos una entidad financiera. |
No |
Sí |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre si los componentes de la infraestructura (servidores, sistemas operativos, software, servidores de aplicación, middleware, componentes de red, otros) que apoyan los procesos empresariales se han visto afectados por el incidente grave relacionado con las TIC. |
No |
Sí |
Sí |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de las repercusiones del incidente grave relacionado con las TIC en los componentes de la infraestructura que apoyan los procesos empresariales, incluidos el hardware y el software. El hardware abarca servidores, ordenadores, centros de datos, conmutadores, encaminadores y concentradores. El software abarca sistemas operativos, aplicaciones, bases de datos, herramientas de seguridad, componentes de red y otros componentes (especifíquense). Las descripciones explicarán o nombrarán los componentes o sistemas de la infraestructura afectados e incluirán, cuando esté disponible:
|
No |
Sí, si el incidente ha afectado a los componentes de la infraestructura que apoyan los procesos empresariales. |
Sí, si el incidente ha afectado a los componentes de la infraestructura que apoyan los procesos empresariales |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre si el incidente grave relacionado con las TIC ha afectado a los intereses financieros de los clientes. |
No |
Sí |
Sí |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Especificación de qué autoridades han sido informadas sobre el incidente grave relacionado con las TIC. Teniendo en cuenta las diferencias que se derivan de la legislación nacional de los Estados miembros, las entidades financieras interpretarán el concepto de autoridades policiales en sentido amplio para incluir a las autoridades públicas facultadas para perseguir la ciberdelincuencia, entre ellas la Policía, las fuerzas y cuerpos de seguridad y los fiscales. |
No |
Sí |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Especificación de los otros tipos de autoridades que fueron informadas sobre el incidente grave relacionado con las TIC. Si se selecciona en el campo de datos 3.31. En caso de seleccionarse «otras», la descripción incluirá información más detallada sobre la autoridad a la que la entidad financiera haya presentado información sobre el incidente grave relacionado con las TIC. |
No |
Sí, si la entidad financiera ha informado a otro tipo de autoridades sobre el incidente grave relacionado con las TIC. |
Sí, si la entidad financiera ha informado a otro tipo de autoridades sobre el incidente grave relacionado con las TIC. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Indicación de si la entidad financiera ha aplicado (o tiene previsto aplicar) alguna medida temporal que se haya adoptado (o se prevea adoptar) para recuperarse del incidente grave relacionado con las TIC. |
No |
Sí |
Sí |
Booleano (sí o no) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
La información describirá las medidas inmediatas adoptadas, como el aislamiento del incidente a nivel de red, los procedimientos alternativos activados, los puertos USB bloqueados, el centro de recuperación en caso de catástrofe activado y cualquier otro control de seguridad adicional establecido temporalmente. Las entidades financieras indicarán la fecha y la hora de ejecución de las acciones temporales y la fecha prevista de retorno al centro primario. En el caso de las acciones temporales que aún no se hayan ejecutado, sino que estén previstas, indicación de la fecha en que se espera su ejecución. Si no se han emprendido medidas o acciones temporales, indíquese el motivo. |
No |
Sí, si se han adoptado acciones o medidas temporales o está previsto que se adopten (campo de datos 3.33) |
Sí, si se han adoptado acciones o medidas temporales o está previsto que se adopten (campo de datos 3.33) |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información relativa al incidente grave relacionado con las TIC que pueda ayudar a detectar actividades malintencionadas dentro de una red o sistema de información (indicadores de compromiso), cuando proceda. Este campo se aplica únicamente a las entidades financieras que entran en el ámbito de aplicación de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (1) y a las entidades financieras identificadas como entidades esenciales o importantes con arreglo a las normas nacionales de transposición del artículo 3 de la Directiva (UE) 2022/2555, cuando proceda. Los indicadores de compromiso proporcionados por la entidad financiera incluirán las siguientes categorías de datos:
En la práctica, este tipo de información puede incluir datos relativos, entre otras cosas, a indicadores que describan patrones en el tráfico de la red correspondientes a ataques o comunicaciones de redes de ordenadores esclavos conocidos, direcciones IP de máquinas infectadas con programas maliciosos (bots), datos relativos a servidores de «mando y control» utilizados por programas maliciosos (normalmente dominios o direcciones IP) y URL relativas a sitios de phishing o sitios web en los que se haya observado el alojamiento de programas maliciosos o kits de programas intrusos. |
No |
Sí, si se selecciona «relacionado con la ciberseguridad» como tipo de incidente en el campo de datos 3.23. |
Sí, si se selecciona «relacionado con la ciberseguridad» como tipo de incidente en el campo de datos 3.23. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Contenido del informe final |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Clasificación general de las causas subyacentes del incidente grave relacionado con las TIC según el tipo de incidente, de tal manera que figuren, entre otras, las siguientes categorías generales:
|
No |
No |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Clasificación detallada de las causas subyacentes del incidente grave relacionado con las TIC según el tipo de incidente, de tal manera que figuren, entre otras, las siguientes categorías detalladas vinculadas a las categorías generales que se hayan notificado en el campo de datos 4.1:
Las entidades financieras considerarán que, en el caso de los incidentes graves relacionados con las TIC recurrentes, se tiene en cuenta la aparente causa subyacente específica del incidente y no las categorías generales incluidas en este campo. |
No |
No |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Clasificación adicional de las causas subyacentes del incidente grave relacionado con las TIC según el tipo de incidente, de tal manera que figuren, entre otras, las siguientes categorías de clasificación adicionales vinculadas a las categorías detalladas que se notifican en el campo de datos 4.2. El campo es obligatorio para el informe final si en el campo de datos 4.2 se indican categorías específicas que requieren un mayor nivel de detalle.
|
No |
No |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Las entidades financieras que hayan seleccionado «otros» tipos de causas subyacentes en el campo de datos 4.2 especificarán los otros tipos de causas subyacentes. |
No |
No |
Sí, si se selecciona «otros» tipos de causas subyacentes en el campo de datos 4.2. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de la secuencia de hechos que han dado lugar al incidente grave relacionado con las TIC y descripción de cómo dicho incidente tiene aparentemente una causa subyacente similar si se clasifica como incidente recurrente, incluida una descripción concisa de todas las razones subyacentes y de los principales factores que han contribuido a que se produzca el incidente grave relacionado con las TIC. Cuando se hayan producido acciones malintencionadas, descripción del modus operandi de dichas acciones, incluidas las tácticas, técnicas y procedimientos utilizados, así como el vector de entrada del incidente grave relacionado con las TIC, incluida una descripción de las investigaciones y el análisis que hayan conducido a la determinación de las causas subyacentes, si procede. |
No |
No |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información adicional sobre las acciones/medidas emprendidas o previstas para resolver de forma permanente el incidente grave relacionado con las TIC y evitar que este vuelva a producirse. Experiencia adquirida a partir del incidente grave relacionado con las TIC. La descripción contendrá los siguientes puntos:
|
No |
No |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que se abordó la causa profunda del incidente. |
No |
No |
Sí |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que se resolvió el incidente. |
No |
No |
Sí |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de la razón por la que la fecha de resolución permanente de los incidentes graves relacionados con las TIC es diferente de la fecha de aplicación inicialmente prevista, cuando proceda. |
No |
No |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Evaluación de si el incidente grave relacionado con las TIC plantea un riesgo para las funciones esenciales en el sentido del artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE del Parlamento Europeo y del Consejo (2). Las entidades a que se refiere el artículo 1, apartado 1, de la Directiva 2014/59/UE indicarán si el incidente plantea un riesgo para las funciones esenciales en el sentido del artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE, y según lo notificado en la plantilla Z 07.01 del Reglamento de Ejecución (UE) 2018/1624 de la Comisión (3) y asignadas a la entidad correspondiente en la plantilla Z 07.02. |
No |
No |
Sí, si el incidente plantea un riesgo para las funciones esenciales de las entidades financieras en el sentido del artículo 2, apartado 1, punto 35, de la Directiva 2014/59/UE. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de si el incidente grave relacionado con las TIC ha afectado a la resolubilidad de la entidad o del grupo y, en caso afirmativo, de qué manera. Las entidades a que se refiere el artículo 1, apartado 1, de la Directiva 2014/59/UE facilitarán información sobre si el incidente grave relacionado con las TIC ha afectado a la resolubilidad de la entidad o del grupo y, en caso afirmativo, de qué manera. Dichas entidades indicarán también si el incidente grave relacionado con las TIC afecta a la solvencia o liquidez de la entidad financiera y la posible cuantificación de las repercusiones. Dichas entidades también facilitarán información sobre las repercusiones en la continuidad operativa y en la resolubilidad de la entidad, así como cualquier otra repercusión en los costes y pérdidas derivados del incidente grave relacionado con las TIC, incluida la posición de capital de la entidad financiera, y si los acuerdos contractuales sobre el uso de servicios de TIC siguen siendo sólidos y plenamente ejecutables en caso de resolución de la entidad. |
No |
No |
Sí, si el incidente ha afectado a la resolubilidad de la entidad o del grupo. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información detallada sobre los umbrales finalmente alcanzados por el incidente grave relacionado con las TIC en relación con el criterio «Consecuencias económicas» a que se refieren los artículos 7 y 14 del Reglamento Delegado (UE) 2024/1772. |
No |
No |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Importe total de los costes y pérdidas directos e indirectos brutos soportados por la entidad financiera como consecuencia del incidente grave relacionado con las TIC, entre ellos:
Las entidades financieras tendrán en cuenta en su evaluación el artículo 7, apartados 1 y 2, del Reglamento Delegado (UE) 2024/1772. Las entidades financieras no incluirán en esta cifra las recuperaciones financieras de ningún tipo. Las entidades financieras comunicarán el importe monetario como valor positivo. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las entidades financieras tendrán en cuenta el importe total de los costes y pérdidas de todas las entidades financieras. Las entidades financieras comunicarán este dato en unidades utilizando una precisión mínima equivalente a miles de unidades. |
No |
No |
Sí |
Monetario |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Importe total de las recuperaciones financieras. Las recuperaciones financieras se referirán a la pérdida original causada por el incidente, independientemente del momento en que se reciban las recuperaciones financieras en forma de fondos o entradas de beneficios económicos. Las entidades financieras comunicarán el importe monetario como valor positivo. En el caso de la notificación agregada a que se refiere el artículo 7 del presente Reglamento, las entidades financieras tendrán en cuenta el importe total de las recuperaciones financieras de todas las entidades financieras. |
No |
No |
Sí |
Monetario Las entidades financieras comunicarán el punto de entrada de datos en unidades utilizando una precisión mínima equivalente a miles de unidades |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre si más de un incidente no grave relacionado con las TIC ha sido recurrente y, en conjunto, se consideran un incidente grave a efectos del artículo 8, apartado 2, del Reglamento Delegado (UE) 2024/1772. Las entidades financieras indicarán si los incidentes no graves relacionados con las TIC han sido recurrentes y, en conjunto, se consideran un incidente grave relacionado con las TIC. Las entidades financieras indicarán también el número de estos incidentes no graves relacionados con las TIC. |
No |
No |
Sí, si el incidente grave comprende más de un incidente no grave recurrente. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Cuando las entidades financieras notifiquen incidentes relacionados con las TIC recurrentes, fecha y hora en que se produjera el primero de ellos. |
No |
No |
Sí, en el caso de los incidentes recurrentes. |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
(1) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(2) Directiva 2014/59/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, por la que se establece un marco para la reestructuración y la resolución de entidades y empresas de servicios de inversión, y por la que se modifican la Directiva 82/891/CEE del Consejo y las Directivas 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE y 2013/36/UE, y los Reglamentos (UE) n.o 1093/2010 y n.o 648/2012 del Parlamento Europeo y del Consejo (DO L 173 de 12.6.2014, p. 190, ELI: http://data.europa.eu/eli/dir/2014/59/oj).
(3) Reglamento de Ejecución (UE) 2018/1624 de la Comisión, de 23 de octubre de 2018, por el que se establecen normas técnicas de ejecución en relación con los procedimientos, modelos de formularios y plantillas para la notificación de información a efectos de los planes de resolución para las entidades de crédito y las empresas de servicios de inversión, de conformidad con la Directiva 2014/59/UE del Parlamento Europeo y del Consejo, y por el que se deroga el Reglamento de Ejecución (UE) 2016/1066 de la Comisión (DO L 277 de 7.11.2018, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2018/1624/oj).
ANEXO III
PLANTILLAS PARA LA NOTIFICACIÓN DE CIBERAMENAZAS IMPORTANTES
|
Número de campo |
Campo de datos |
|
|
1 |
Nombre de la entidad que presenta la notificación |
|
|
2 |
Código de identificación de la entidad que presenta la notificación |
|
|
3 |
Tipo de entidad financiera que presenta la notificación |
|
|
4 |
Nombre de la entidad financiera |
|
|
5 |
Código LEI de la entidad financiera |
|
|
6 |
Nombre de la persona de contacto principal |
|
|
7 |
Correo electrónico de la persona de contacto principal |
|
|
8 |
Teléfono de la persona de contacto principal |
|
|
9 |
Nombre de la segunda persona de contacto |
|
|
10 |
Correo electrónico de la segunda persona de contacto |
|
|
11 |
Teléfono de la segunda persona de contacto |
|
|
12 |
Fecha y hora de detección de la ciberamenaza |
|
|
13 |
Descripción de la ciberamenaza importante |
|
|
14 |
Información sobre la posible repercusión |
|
|
15 |
Criterios de clasificación de posibles incidentes |
|
|
16 |
Situación de la ciberamenaza |
|
|
17 |
Medidas adoptadas para evitar la materialización |
|
|
18 |
Notificación a otras partes interesadas |
|
|
19 |
Indicadores de compromiso |
|
|
20 |
Otros datos de interés |
|
ANEXO IV
GLOSARIO DE DATOS E INSTRUCCIONES PARA LA NOTIFICACIÓN DE CIBERAMENAZAS IMPORTANTES
|
Campo de datos |
Descripción |
Campo obligatorio |
Tipo de campo |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Razón social completa de la entidad que presenta la notificación. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Código de identificación de la entidad que presenta la notificación. Cuando las entidades financieras presenten la notificación o el informe, el código de identificación será un identificador de entidad jurídica (LEI), que es un código único de veinte caracteres alfanuméricos, basado en la norma ISO 17442-1:2020. Cuando un proveedor tercero presente un informe en nombre de una entidad financiera, este podrá utilizar un código de identificación tal como se especifica en las normas técnicas de ejecución adoptadas de conformidad con el artículo 28, apartado 9, del Reglamento (UE) 2022/2554. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Tipo de entidad a que se refiere el artículo 2, apartado 1, letras a) a t), del Reglamento (UE) 2022/2554 que presenta el informe. |
Sí, si la entidad financiera afectada no presenta el informe directamente. |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||
|
Razón social completa de la entidad financiera que notifica la ciberamenaza importante. |
Sí, si la entidad financiera es diferente de la entidad que presenta la notificación. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Identificador de entidad jurídica (LEI) de la entidad financiera que notifica la ciberamenaza importante, asignado de conformidad con la Organización Internacional de Normalización. |
Sí, si la entidad financiera que notifica la ciberamenaza importante es diferente de la entidad que presenta el informe. |
Código único de veinte caracteres alfanuméricos, basado en la norma ISO 17442-1:2020. |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Nombre y apellidos de la persona de contacto principal de la entidad financiera. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Dirección de correo electrónico de la persona de contacto principal que puede utilizar la autoridad competente para la comunicación de seguimiento. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de teléfono de la persona de contacto principal que puede utilizar la autoridad competente para la comunicación de seguimiento. Se indicará el número de teléfono con todos los prefijos internacionales (por ejemplo, +33 XXXXXXXXX). |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Nombre y apellidos de la segunda persona de contacto de la entidad financiera o de una entidad que presente la notificación en nombre de la entidad financiera, cuando esté disponible. |
Sí, si se dispone del nombre y los apellidos de la segunda persona de contacto de la entidad financiera o de una entidad que presente la notificación en nombre de la entidad financiera. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Dirección de correo electrónico de la segunda persona de contacto o dirección de correo electrónico funcional del equipo que pueda utilizar la autoridad competente para la comunicación de seguimiento, cuando esté disponible. |
Sí, si se dispone de la dirección de correo electrónico de la segunda persona de contacto o de una dirección de correo electrónico funcional del equipo que pueda utilizar la autoridad competente para la comunicación de seguimiento. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Número de teléfono de la segunda persona de contacto que puede utilizar la autoridad competente para la comunicación de seguimiento, cuando esté disponible. Se indicará el número de teléfono con todos los prefijos internacionales (por ejemplo, +33 XXXXXXXXX). |
Sí, si se dispone del número de teléfono de la segunda persona de contacto que puede utilizar la autoridad competente para la comunicación de seguimiento. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Fecha y hora en que la entidad financiera ha tenido conocimiento de la ciberamenaza importante. |
Sí |
Norma ISO 8601 UTC (AAAA-MM-DD hh: mm:ss) |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Descripción de los aspectos más pertinentes de la ciberamenaza importante. Las entidades financieras facilitarán:
|
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre la posible repercusión de la ciberamenaza en la entidad financiera, sus clientes o sus contrapartes financieras si se ha materializado la ciberamenaza. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Los criterios de clasificación que podrían haber dado lugar a un informe de incidente grave si se hubiera materializado la ciberamenaza. |
Sí |
Opciones (selección múltiple):
|
||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre la situación de la ciberamenaza para la entidad financiera y si se han producido cambios en la actividad de la amenaza. Cuando la ciberamenaza haya dejado de comunicarse con los sistemas de información de la entidad financiera, la situación puede marcarse como inactiva. Si la entidad financiera dispone de información de que la amenaza sigue estando activa contra otras partes o contra el sistema financiero en su conjunto, la situación se marcará como activa. |
Sí |
Opciones:
|
||||||||||||||||||||||||||||||||||||||||||||||||
|
Información general sobre las medidas adoptadas por la entidad financiera para evitar la materialización de las ciberamenazas importantes, si procede. |
Sí |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Información sobre la notificación de la ciberamenaza a otras entidades financieras o autoridades. |
Sí, si otras entidades financieras o autoridades han sido informadas de la ciberamenaza. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Información relativa a la amenaza importante que pueda ayudar a detectar actividades malintencionadas dentro de una red o sistema de información (indicadores de compromiso), cuando proceda. Los indicadores de compromiso proporcionados por la entidad financiera pueden incluir, entre otras, las siguientes categorías de datos:
Este tipo de información puede incluir datos relativos a indicadores que describan patrones en el tráfico de la red correspondientes a ataques o comunicaciones botnet conocidos, direcciones IP de máquinas infectadas con programas maliciosos (bots), datos relativos a servidores de «mando y control» utilizados por programas maliciosos (normalmente dominios o direcciones IP) y URL relativas a sitios de phishing o sitios web en los que se haya observado alojamiento de programas maliciosos o kits de programas intrusos. |
Sí, si se dispone de información sobre los indicadores de compromiso relacionados con la ciberamenaza. |
Alfanumérico |
||||||||||||||||||||||||||||||||||||||||||||||||
|
Cualquier otra información pertinente sobre la ciberamenaza importante. |
Sí, si procede y si se dispone de más información que no se haya incluido en la plantilla. |
Alfanumérico |