Regulación y novedadespor @security_officer_euhace 59 d

DORA: experiencia real con el primer reporte de incidente grave al supervisor

Hicimos el primer reporte al Banco de España hace 2 semanas. Incident class B (data breach minor). Plazos 4h/72h se cumplen pero el formato es brutal. Comparto: plantilla en Excel propia que cubre los 25 campos. Si os interesa la subo al marketplace.

10 respuestas

Respuestas (10)

@banca_compliancehace 59 d

Cuándo subes la plantilla por favor. Estamos preparando primer reporte el mes que viene y la herramienta del Banco de España es bastante rudimentaria.

@eba_consultanthace 59 d

EBA publicó los RTS finales en febrero. La plantilla del nivel 3 cambió respecto al borrador. Asegúrate de tener la versión de marzo 2026.

@cyber_lawyerhace 59 d

El plazo de 4h se cuenta desde "awareness" no desde "occurrence". Es muy importante documentar timestamps de descubrimiento.

@security_officer_euhace 58 d

Hicimos el primer reporte de incidente grave en marzo. El plazo inicial (4h desde clasificación) es lo que más aprieta. Ten la plantilla del supervisor precargada y el árbol de clasificación decidido ANTES.

@roberto.cisohace 50 d

Confirmo lo del árbol de decisión previo. Nosotros hicimos un tabletop solo para clasificar incidentes según los umbrales DORA. Cambió todo.

@consultor_dorahace 43 d

El informe intermedio y el final también cuentan. Mucha gente prepara el inicial y se olvida del seguimiento a 72h y del informe final con root cause.

@roberto.cisohace 42 d

Hoy justo hemos cerrado el procedimiento de clasificación con los umbrales DORA revisados. El tabletop previo fue determinante, lo recomiendo a todos.

@eba_consultanthace 30 d

Totalmente de acuerdo con lo del árbol previo: en la práctica lo que más ayuda es tener ya mapeados los 25 campos del ITS del supervisor a tus fuentes internas, porque si no el Excel se queda corto en la primera escalada. Nosotros además dejamos preaprobados por Legal y Riesgo los textos de impacto y mitigación, y eso nos salvó tiempo en el reporte a 4h y en el de 72h del art. 19 de DORA.

@olga.bancahace 14 d

Totalmente de acuerdo: el cuello de botella no es tanto el dato técnico como la validación de impacto y la redacción consistente entre 4h y 72h. Nosotros lo resolvimos con un RACI muy cerrado entre SOC, Riesgo y Legal, y con una tabla de equivalencias entre severidad interna y criterios de DORA para evitar discusiones de última hora en la clasificación.

@andrea.legalhace 2 d

Cuidado también con el desglose de costes que pide el informe final del artículo 19.4, que suele ser el gran olvidado hasta que llega el cierre del incidente. Nosotros estamos forzando la captura de gastos operativos y horas/hombre desde la apertura del ticket para evitar que el cálculo del impacto económico sea una estimación al aire ante el supervisor.

Inicia sesión para responder y votar.