ISMS Copilot
DORA con IA

Cómo implementar la notificación de incidentes de DORA mediante IA

Resumen

Aprenderá a implementar los requisitos de notificación de incidentes relacionados con las TIC de DORA en virtud de los artículos 17 a 23 mediante IA. Esta guía cubre los criterios de clasificación de incidentes, los plazos obligatorios de notificación de 4 horas/72 horas/1 mes, plantillas de notificación, procedimientos de análisis de causa raíz e integración con sus procesos de gestión de incidentes existentes, con prompts específicos de ISMS Copilot para generar cada componente.

Para quién es esto

Esta guía es para:

  • Responsables de respuesta a incidentes y líderes de SOC encargados de la detección y clasificación de incidentes de TIC

  • Responsables de cumplimiento que gestionan las notificaciones reglamentarias de incidentes

  • CISO que supervisan los programas de gestión de incidentes en entidades financieras

  • Gestores de riesgos que evalúan el impacto de los incidentes y realizan el seguimiento de la remediación

  • Consultores que implementan la notificación de incidentes de DORA para clientes de entidades financieras

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Su marco de gestión de riesgos de TIC establecido según Cómo crear un marco de gestión de riesgos de TIC de DORA mediante IA

  • Su inventario de activos de TIC con clasificaciones de criticidad (necesario para la evaluación del impacto de los incidentes)

  • Sus procedimientos actuales de respuesta a incidentes y cualquier proceso vigente de notificación reglamentaria

  • Comprensión de los canales y formatos de notificación de su autoridad competente

  • Acceso a su equipo de respuesta a incidentes, SOC y función de cumplimiento

Obligaciones de tiempo crítico: DORA exige la notificación inicial de incidentes graves relacionados con las TIC en un plazo de 4 horas tras su clasificación. Este es uno de los plazos de notificación más estrictos de la regulación financiera de la UE. Sus procedimientos de clasificación y notificación de incidentes deben estar predefinidos, probados y ser comprendidos por todo el personal relevante antes de que ocurra un incidente.

Comprender los requisitos de notificación de incidentes de DORA

Desglose artículo por artículo

El Capítulo III de DORA (Artículos 17-23) establece un régimen integral de gestión y notificación de incidentes. Cada artículo aborda un aspecto específico del proceso:

Artículo

Título

Requisitos clave

Entregables clave

Art. 17

Proceso de gestión de incidentes relacionados con las TIC

Establecer un proceso de gestión de incidentes con indicadores de alerta temprana, procedimientos y funciones

Documento del proceso de gestión de incidentes, matriz de funciones

Art. 18

Clasificación de incidentes relacionados con las TIC y ciberamenazas

Clasificar los incidentes utilizando los criterios prescritos (graves frente a no graves)

Matriz de clasificación, criterios de severidad, diagrama de flujo de decisión

Art. 19

Notificación de incidentes graves relacionados con las TIC

Notificación en tres etapas: inicial (4 h), intermedia (72 h), final (1 mes)

Plantillas de informes, procedimientos de escalada, flujos de trabajo de envío

Art. 20

Armonización del contenido y las plantillas de los informes

Formatos de informe estandarizados según las RTS

Plantillas de informes completadas alineadas con los formatos RTS

Art. 21

Centralización de las notificaciones

Notificación a través de un único centro de la UE (requisito futuro)

Procedimientos de los canales de notificación

Art. 22

Comentarios de supervisión

Recibir y actuar sobre los comentarios de la supervisión

Proceso de integración de comentarios

Art. 23

Notificación de ciberamenazas significativas

Notificación voluntaria de ciberamenazas significativas

Procedimientos de notificación de amenazas

La cronología de notificación en tres etapas

Comprender el cronograma de notificación de DORA es fundamental para crear sus procedimientos:

Etapa del informe

Plazo

Activador

Contenido requerido

Desafío clave

Notificación inicial

En un plazo de 4 horas tras la clasificación como grave

Incidente clasificado como grave

Resumen del incidente, justificación de la clasificación, evaluación inicial del impacto, servicios afectados

Velocidad de clasificación y envío

Informe intermedio

En un plazo de 72 horas tras la notificación inicial

Investigación en curso

Impacto actualizado, análisis de causa raíz (inicial), medidas de contención, estado de la recuperación

Proporcionar un análisis significativo mientras el incidente puede estar en curso

Informe final

En un plazo de 1 mes tras la notificación inicial

Resolución del incidente

Causa raíz completa, impacto total (financiero, operativo, reputacional), acciones de remediación, lecciones aprendidas

Análisis exhaustivo y evidencia de remediación

El plazo de 4 horas corre a partir del momento de la clasificación como incidente grave, no desde el momento de la detección. Sin embargo, DORA también exige procesos de detección y clasificación rápidos. Si su clasificación se retrasa injustificadamente, los reguladores pueden considerar que esto no cumple con el espíritu del requisito de notificación.

Paso 1: Establecer su proceso de gestión de incidentes (Artículo 17)

Proceso central de gestión de incidentes

El Artículo 17 exige un proceso integral de gestión de incidentes relacionados con las TIC. Este proceso debe estar integrado con sus capacidades de detección (Artículo 10) y su marco general de gestión de riesgos de TIC.

  1. Abra su espacio de trabajo de DORA en ISMS Copilot

  2. Genere el proceso de gestión de incidentes:

    "Cree un proceso integral de gestión de incidentes relacionados con las TIC para una [tipo de entidad] que cumpla con el Artículo 17 de DORA. Incluya: propósito, alcance y objetivos del proceso, fases del ciclo de vida del incidente (detección, triaje, clasificación, contención, erradicación, recuperación, revisión post-incidente), funciones y responsabilidades (comandante del incidente, responsable técnico, responsable de comunicaciones, cumplimiento/notificación reglamentaria, enlace con el órgano de dirección), indicadores de alerta temprana y activadores de detección (vinculados al monitoreo del Artículo 10), matriz de escalada por severidad del incidente, protocolos de comunicación (equipos internos, órgano de dirección, clientes, autoridad competente), integración con los procesos existentes de gestión de servicios de TI (ITSM), requisitos de documentación y preservación de evidencia, criterios de activación del proceso y árboles de decisión, y métricas de rendimiento del proceso. Proporcione el proceso en un formato listo para diagrama de flujo con puntos de decisión claros."

  3. Defina la estructura del equipo de respuesta a incidentes:

    "Defina la estructura del equipo de respuesta a incidentes de TIC (IRT) para una [tipo de entidad] con [número] empleados. Incluya: composición del equipo (equipo central, equipo ampliado, personal de guardia), criterios de selección del líder del equipo y niveles de autoridad, procedimientos de activación (horario comercial y fuera de horario), canales y herramientas de comunicación, plantilla de directorio de contacto de los miembros del equipo, requisitos de capacitación y ejercicios, e integración con partes externas (reguladores, fuerzas de seguridad, proveedores forenses, proveedores de TIC externos). Aborde los requisitos de cobertura 24/7 para cumplir con el plazo de notificación de 4 horas."

Consejo profesional: El reloj de notificación de 4 horas comienza en la clasificación, por lo que su proceso de triaje a clasificación es de misión crítica. Diséñelo para que se complete en un máximo de 1 a 2 horas, dejando de 2 a 3 horas para la preparación y el envío del informe. Complete previamente las plantillas de informes con datos organizativos permanentes para reducir el tiempo de preparación bajo presión.

Paso 2: Crear su matriz de clasificación de incidentes (Artículo 18)

Criterios de clasificación de incidentes graves

El Artículo 18 establece criterios para clasificar los incidentes relacionados con las TIC como graves. Las Normas Técnicas de Regulación (RTS) proporcionan umbrales de materialidad detallados. Su matriz de clasificación debe operativizar estos criterios para la toma de decisiones rápida durante un incidente.

  1. Genere la matriz de clasificación:

    "Cree una matriz de clasificación de incidentes relacionados con las TIC para una [tipo de entidad] que cumpla con el Artículo 18 de DORA. Incluya los siguientes criterios de clasificación del reglamento y las RTS: número de clientes/contrapartes financieras afectados (proporcione umbrales específicos para nuestro tipo de entidad), duración del incidente, extensión geográfica del incidente, pérdidas de datos (confidencialidad, integridad, disponibilidad), criticidad de los servicios afectados (mapeados a nuestra clasificación de activos de TIC), impacto económico (pérdidas financieras directas e indirectas), evaluación del impacto reputacional. Para cada criterio, defina: umbrales cuantitativos específicos que activan la clasificación como 'grave', metodología de medición, fuentes de datos para una evaluación rápida y ejemplos. Cree una matriz de puntuación que permita la clasificación entre 1 y 2 horas tras la detección del incidente. Incluya un diagrama de flujo de decisión: si cualquier criterio individual alcanza el umbral de grave, el incidente se clasifica como grave."

  2. Cree el diagrama de flujo de decisión de clasificación:

    "Diseñe un diagrama de flujo de decisión de clasificación de incidentes paso a paso para el Artículo 18 de DORA. El diagrama debe poder ser utilizado por gestores de incidentes de guardia a las 3 AM con información limitada. Comience con: detalles iniciales del incidente (qué sucedió, cuándo, qué se ve afectado). Luego evalúe cada criterio de incidente grave secuencialmente: clientes afectados (umbral: [X]), duración (umbral: [X] horas), impacto en los datos (cualquier brecha de datos confirmada), servicios críticos afectados (cualquier servicio en nuestra lista crítica), impacto económico (estimado por encima de [X] EUR). Si se cumple algún criterio, clasifíquelo como GRAVE y active la notificación de 4 horas. Si es dudoso, escale a [función] para la decisión de clasificación. Si no se cumple ningún criterio, clasifíquelo como no grave y siga el proceso estándar de incidentes. Proporcione orientación para situaciones con información incompleta."

Clasificación bajo incertidumbre: Durante las primeras horas de un incidente, rara vez se tiene información completa. DORA espera que clasifique basándose en la información disponible y que actualice si la clasificación cambia. Diseñe su proceso para clasificar de forma conservadora (en caso de duda, clasifique como grave) y baje de categoría más adelante si procede. La falta de notificación es un riesgo regulatorio mayor que la notificación excesiva.

Seguimiento de incidentes no graves

Aunque solo los incidentes graves requieren notificación reglamentaria, DORA le obliga a realizar un seguimiento y análisis de todos los incidentes relacionados con las TIC:

"Cree un procedimiento de seguimiento y análisis de incidentes de TIC no graves para el cumplimiento de DORA. Incluya: requisitos de registro para todos los incidentes de TIC (plantilla de registro de incidentes), metodología de análisis de tendencias (identificar patrones que podrían indicar problemas sistémicos), criterios de escalada (cuando la acumulación de incidentes no graves sugiere un problema grave), informes periódicos a la dirección (frecuencia, formato, contenido) e integración con el proceso de mejora continua bajo el Artículo 13. Proporcione una plantilla de informe trimestral de tendencias de incidentes."

Paso 3: Crear plantillas de notificación reglamentaria (Artículos 19-20)

Plantilla de notificación inicial (4 horas)

La notificación inicial debe enviarse a su autoridad competente en un plazo de 4 horas tras clasificar un incidente como grave. Elabore plantillas precargadas para cumplir con este plazo:

  1. Genere la plantilla de notificación inicial:

    "Cree una plantilla de notificación inicial de incidentes para el Artículo 19 de DORA (plazo de 4 horas). Complete previamente con datos organizativos permanentes. Incluya campos para: identificación de la entidad informante (nombre, LEI, tipo de entidad, autoridad competente), identificador del incidente y fecha/hora de clasificación, descripción del incidente (qué sucedió, cronograma inicial), justificación de la clasificación (qué criterios graves se cumplen, con evidencia), servicios afectados y evaluación inicial del impacto, número de clientes potencialmente afectados (estimación si no se conoce el número exacto), alcance geográfico, acciones iniciales de contención tomadas, duración estimada si se conoce, detalles de contacto para el seguimiento e indicador de impacto transfronterizo. Diseñe la plantilla para que pueda completarse en menos de 60 minutos con la información disponible en el momento de la clasificación. Incluya notas de orientación para cada campo."

  2. Genere la plantilla de informe intermedio (72 horas):

    "Cree una plantilla de informe de incidente intermedio para el Artículo 19 de DORA (plazo de 72 horas). Incluya campos para: referencia a la notificación inicial, cronograma actualizado del incidente, evaluación de impacto actualizada (clientes afectados, impacto financiero, impacto en los datos), análisis de causa raíz (hallazgos preliminares), medidas de contención y mitigación implementadas, estado de recuperación y cronograma estimado, cualquier cambio en la clasificación del incidente, acciones de comunicación realizadas (clientes, contrapartes, público), participación de partes externas (fuerzas de seguridad, proveedores forenses), evaluación de riesgos actualizada y cualquier acción de supervisión solicitada. Incluya orientación sobre cómo proporcionar un análisis de causa raíz significativo incluso cuando la investigación esté en curso."

  3. Genere la plantilla de informe final (1 mes):

    "Cree una plantilla de informe de incidente final para el Artículo 19 de DORA (plazo de 1 mes). Incluya secciones completas para: cronograma completo del incidente (desde la detección hasta la resolución), análisis de causa raíz confirmado (técnico y organizativo), evaluación del impacto total (pérdidas financieras cuantificadas, clientes afectados, servicios interrumpidos, datos comprometidos), descripción completa de las acciones de contención, erradicación y recuperación, evaluación de la eficacia de los controles existentes, plan de remediación (acciones, responsables, plazos, estado), lecciones aprendidas y mejoras del marco, notificación y decisiones del órgano de dirección, cumplimiento del cronograma de notificación reglamentaria y referencias cruzadas a cualquier incidente relacionado. Este informe debe ser adecuado para la revisión de supervisión y servir como aporte para el proceso de revisión post-incidente bajo el Artículo 13."

Consejo profesional: Complete previamente la sección de identificación organizativa de las tres plantillas con sus datos permanentes (nombre de la entidad, LEI, detalles de la autoridad competente, contacto principal). Guarde estas plantillas precargadas en un lugar accesible para su equipo de respuesta a incidentes. Durante un incidente real, cada minuto ahorrado en campos administrativos es un minuto ganado para el análisis sustantivo.

Procedimientos de envío

Establezca procedimientos claros para el envío de informes a su autoridad competente:

"Cree un procedimiento de envío de informes de incidentes para notificaciones reglamentarias de DORA. Incluya: identificación de nuestra autoridad competente y su canal de notificación (portal, correo electrónico, API), autorización de envío (quién puede autorizar el envío y en qué momento del día), lista de verificación de revisión de calidad antes del envío (integridad, exactitud, coherencia con informes anteriores), confirmación y seguimiento del envío, procedimientos para el envío fuera del horario comercial (para el plazo de 4 horas), métodos de envío de respaldo si el canal principal no está disponible, requisitos de mantenimiento de registros (copias de todos los envíos con marcas de tiempo) y procedimientos para manejar los comentarios de supervisión bajo el Artículo 22. Aborde el escenario en el que el propio incidente afecte a nuestra capacidad de enviar informes."

Paso 4: Crear procedimientos de escalada y comunicación

Matriz de escalada interna

Una escalada eficaz es fundamental para cumplir con los ajustados plazos de DORA. Defina rutas de escalada claras para cada escenario:

  1. Genere la matriz de escalada:

    "Cree una matriz de escalada de incidentes de TIC para una [tipo de entidad] que cubra los requisitos de notificación de DORA. Defina niveles de escalada: Nivel 1 (SOC/Operaciones de TI): detección inicial y triaje, Nivel 2 (Equipo de respuesta a incidentes): investigación y contención, Nivel 3 (CISO/CRO): decisión de clasificación de incidente grave, Nivel 4 (Órgano de dirección): notificación de incidentes graves, aprobación de comunicación reglamentaria. Para cada nivel, especifique: criterios de escalada (qué activa la escalada al siguiente nivel), cronograma de escalada (tiempo máximo en cada nivel antes de la escalada), método de notificación y detalles de contacto, información a proporcionar al escalar y autoridad de decisión en cada nivel. Incluya procedimientos de escalada fuera de horario y contactos de respaldo. Diseñe para asegurar que la clasificación pueda ocurrir dentro de las 2 horas posteriores a la detección."

  2. Cree procedimientos de notificación al cliente:

    "Desarrolle procedimientos de notificación a clientes para incidentes graves de TIC bajo DORA. Incluya: criterios sobre cuándo se debe notificar a los clientes, el momento de la notificación en relación con la notificación reglamentaria, el contenido de la notificación (qué divulgar, qué retener durante la investigación), los canales de comunicación (correo electrónico, portal, teléfono para clientes críticos), plantillas de notificaciones a clientes para tipos de incidentes comunes (interrupción del servicio, brecha de datos, degradación del sistema), cadencia de comunicación de seguimiento y requisitos de mantenimiento de registros. Aborde escenarios donde el incidente afecte nuestra capacidad de comunicarnos con los clientes."

El Artículo 19(3) de DORA exige que las entidades financieras informen a sus clientes sobre los incidentes graves relacionados con las TIC que afecten a sus intereses financieros. También debe informar sobre las medidas correctivas tomadas. Integre esta comunicación con el cliente en su proceso de respuesta a incidentes desde el principio.

Notificación al órgano de dirección

El Artículo 5 exige que se informe al órgano de dirección sobre los incidentes de TIC. Defina cómo sucede esto durante los incidentes:

"Cree un procedimiento de notificación de incidentes al órgano de dirección para el cumplimiento del Artículo 5 de DORA. Incluya: activadores de notificación (todos los incidentes graves, incidentes no graves significativos), cronograma de notificación (dentro de las [X] horas posteriores a la clasificación), formato de notificación (plantilla de informe estructurado), contenido (resumen del incidente, evaluación de impacto, acciones de respuesta, estado de notificación reglamentaria, impacto en los clientes, riesgo mediático), puntos de decisión que requieren la intervención del órgano de dirección (comunicaciones públicas, compensación a clientes, compromiso reglamentario), cadencia de informes de seguimiento durante incidentes en curso y presentación de lecciones aprendidas y sesión informativa post-incidente. Proporcione la plantilla de informe de incidentes para el órgano de dirección."

Paso 5: Integración con la gestión de incidentes existente

Mapeo de los requisitos de DORA a sus procesos actuales

La mayoría de las entidades financieras ya cuentan con procesos de gestión de incidentes. Utilice ISMS Copilot para integrar los requisitos de DORA en su marco actual en lugar de crear procesos paralelos:

"Actualmente utilizamos procesos de gestión de incidentes [ITIL/NIST/personalizado] con [describa las herramientas actuales: ServiceNow, Jira, PagerDuty, etc.]. Mapee los requisitos de los Artículos 17-23 de DORA con nuestro proceso existente. Identifique: dónde nuestro proceso actual ya satisface DORA (detección, triaje, contención, recuperación), dónde necesitamos añadir pasos específicos de DORA (clasificación de incidente grave, notificación reglamentaria, notificación al cliente), modificaciones de proceso necesarias (compresión de cronogramas, mejoras de escalada), cambios de herramientas requeridos (automatización de clasificación, generación de informes, seguimiento de envíos) y actualizaciones de documentación necesarias. Proporcione un análisis de brechas con acciones de remediación específicas."

Automatización de la clasificación y notificación

Dado el plazo de 4 horas, considere las oportunidades de automatización:

"Identifique oportunidades para automatizar la clasificación y notificación de incidentes de DORA para una [tipo de entidad]. Considere: recopilación automatizada de puntos de datos de clasificación (número de clientes afectados de los sistemas de monitoreo, métricas de disponibilidad del servicio, impactos en el volumen de transacciones), precarga automatizada de plantillas de informes desde herramientas de gestión de incidentes, cálculo automatizado de umbrales de criterios de incidentes graves, automatización del flujo de trabajo para escaladas y notificaciones, integración entre SIEM/plataforma de incidentes y el flujo de trabajo de notificación, seguimiento automatizado de plazos y alertas de recordatorio, y compilación automatizada de métricas de incidentes para el análisis de tendencias. Proporcione recomendaciones de implementación priorizadas por el impacto en el plazo de 4 horas."

Consejo profesional: Incluso si no puede automatizar completamente la clasificación, automatice la recopilación de datos que informa las decisiones de clasificación. Si sus sistemas pueden informar automáticamente cuántos clientes se ven afectados, qué servicios están degradados y durante cuánto tiempo, su decisión de clasificación será mucho más rápida y defendible ante los reguladores.

Paso 6: Procedimientos de análisis de causa raíz

Metodología estructurada de análisis de causa raíz

DORA exige un análisis de causa raíz como parte de los informes intermedios (72 horas) y finales (1 mes). Establezca una metodología estandarizada:

  1. Genere la metodología de RCA:

    "Cree una metodología de análisis de causa raíz (RCA) para la notificación de incidentes de TIC de DORA. Incluya: criterios de inicio de RCA y tiempos (comenzar dentro de las 24 horas posteriores a la clasificación de incidente grave), métodos de investigación (5 Porqués, espina de pescado/Ishikawa, análisis de árbol de fallos, análisis de cronograma), procedimientos de recopilación y preservación de evidencia, pasos de investigación técnica (análisis de registros, forense, examen del sistema), pasos de investigación organizativa (revisión de procesos, cumplimiento de políticas, adecuación de la capacitación), categorías de causa raíz (fallo técnico, error humano, brecha de proceso, fallo de terceros, ataque externo, fallo de diseño), proceso de RCA preliminar para el informe intermedio de 72 horas (estructurado incluso con información incompleta), proceso de RCA exhaustivo para el informe final de 1 mes, revisión de calidad de los hallazgos de RCA antes del envío y vínculo entre las causas raíz y las acciones de remediación. Proporcione una plantilla de informe de RCA con ejemplos."

  2. Cree procedimientos de seguimiento de la remediación:

    "Desarrolle un procedimiento de seguimiento de remediación post-incidente para el cumplimiento de DORA. Incluya: cómo se identifican las acciones de remediación a partir de los hallazgos del RCA, metodología de priorización de acciones (crítica, alta, media basada en el riesgo), asignación de acciones (propietario, plazo, recursos), seguimiento e información del progreso, supervisión del órgano de dirección sobre el progreso de la remediación, verificación de la eficacia de la remediación, criterios de cierre para las acciones de remediación e integración con el registro de riesgos de TIC (actualización de las evaluaciones de riesgos basadas en los hallazgos del incidente). Proporcione una plantilla de registro de seguimiento de remediación."

Paso 7: Notificación de ciberamenazas (Artículo 23)

Notificación voluntaria de amenazas

El Artículo 23 anima a las entidades financieras a notificar a las autoridades competentes las ciberamenazas significativas, incluso si aún no han dado lugar a incidentes. Establezca procedimientos para esta notificación voluntaria:

"Cree un procedimiento de notificación de ciberamenazas significativas para el Artículo 23 de DORA. Incluya: criterios de lo que constituye una 'ciberamenaza significativa' que justifica la notificación voluntaria (ataques dirigidos detectados pero contenidos, inteligencia sobre amenazas inminentes, vulnerabilidades de día cero que afectan a sistemas críticos, patrones de amenazas en todo el sector), proceso interno de evaluación y decisión (quién decide si notificar), plantilla de notificación para ciberamenazas (diferente de los informes de incidentes), expectativas de cronograma (no obligatorio pero debe ser pronto), consideraciones de confidencialidad y limitaciones en el intercambio de información, y beneficios de la notificación voluntaria (buena voluntad de la supervisión, protección de todo el sector, intercambio de inteligencia). Proporcione criterios de decisión y una plantilla de notificación."

Paso 8: Probar su capacidad de notificación de incidentes

Ejercicios de simulación (tabletop)

Sus procedimientos de clasificación y notificación de incidentes deben probarse antes de que ocurra un incidente real. Utilice ISMS Copilot para diseñar ejercicios realistas:

  1. Diseñe escenarios de ejercicios de simulación:

    "Diseñe tres escenarios de ejercicios de simulación para probar nuestros procedimientos de clasificación y notificación de incidentes de DORA. Cada escenario debe: ser realista para una [tipo de entidad], desarrollarse en múltiples fases (detección inicial, escalada, contención, notificación), probar la decisión de clasificación de incidente grave, probar el proceso de notificación inicial de 4 horas de extremo a extremo, incluir complicaciones (información incompleta, detección fuera de horario, múltiples problemas simultáneos), probar los activadores de comunicación con el cliente y requerir la notificación al órgano de dirección. Los escenarios deben cubrir: (1) ataque de ransomware que afecte a sistemas bancarios/de pago críticos, (2) interrupción del proveedor de la nube que afecte a múltiples servicios, (3) brecha de datos descubierta a través de una notificación externa. Para cada escenario, proporcione una guía para el facilitador del ejercicio con un cronograma de inyecciones de información, acciones esperadas de los participantes y criterios de evaluación."

  2. Cree un marco de evaluación de ejercicios:

    "Cree un marco de evaluación para los ejercicios de simulación de notificación de incidentes de DORA. Evalúe: tiempo desde la detección hasta la clasificación (objetivo menos de 2 horas), tiempo desde la clasificación hasta el envío de la notificación inicial (objetivo menos de 4 horas), exactitud de la decisión de clasificación, integridad de la notificación inicial, calidad de la escalada y comunicación, eficacia de la notificación al órgano de dirección, adecuación de la comunicación con el cliente, calidad de la documentación y coordinación del equipo. Proporcione una rúbrica de puntuación y una plantilla de informe post-ejercicio."

Expectativa de auditoría: Las autoridades competentes esperan pruebas de que sus procedimientos de notificación de incidentes han sido probados. Realice ejercicios de simulación al menos anualmente (con más frecuencia en el primer año de implementación) y documente los resultados, las lecciones aprendidas y las mejoras realizadas. Esta evidencia demuestra a los reguladores que su capacidad de notificación en 4 horas es genuina, no teórica.

Próximos pasos

Ahora cuenta con una capacidad integral de notificación de incidentes de DORA:

  • Proceso de gestión de incidentes integrado con capacidades de detección

  • Matriz de clasificación con umbrales cuantitativos para incidentes graves

  • Plantillas de notificación reglamentaria en tres etapas (4 horas, 72 horas, 1 mes)

  • Matriz de escalada con autoridades de decisión y cronogramas claros

  • Metodología de análisis de causa raíz con seguimiento de remediación

  • Procedimientos de notificación de ciberamenazas

  • Procedimientos probados mediante ejercicios de simulación

Continúe con las siguientes guías de esta serie DORA:

  • Cómo planificar las pruebas de resiliencia de DORA mediante IA -- Diseñe su programa de pruebas, incluyendo escenarios que validen sus capacidades de respuesta e información de incidentes

  • Cómo gestionar el riesgo de TIC de terceros de DORA mediante IA -- Asegúrese de que sus proveedores externos puedan respaldar sus obligaciones de notificación de incidentes con cláusulas de notificación y SLA adecuados

Para la configuración fundamental, consulte Cómo empezar con la implementación de DORA mediante IA. Para el marco de riesgo de TIC que sustenta la gestión de incidentes, consulte Cómo construir un marco de gestión de riesgos de TIC de DORA mediante IA.

Para obtener prompts listos para usar, consulte la Biblioteca de Prompts de Cumplimiento de DORA. Para obtener el resumen reglamentario completo, consulte la Guía de cumplimiento de DORA para entidades financieras.

Obtener ayuda

Para soporte adicional en la implementación de la notificación de incidentes de DORA:

  • Pregunte a ISMS Copilot: Utilice su espacio de trabajo de DORA para generar orientación de clasificación específica para cada escenario y personalizar las plantillas de informes para su tipo de entidad

  • Suba sus procedimientos existentes: Obtenga un análisis de brechas específico cargando su plan de respuesta a incidentes actual para compararlo con los Artículos 17-23 de DORA

  • Simule la notificación: Utilice ISMS Copilot para recorrer simulacros de incidentes y practicar la cumplimentación de plantillas de notificación bajo presión de tiempo

  • Valide los resultados: Revise todos los criterios de clasificación y plantillas de informes con el texto del reglamento DORA y las Normas Técnicas de Regulación pertinentes antes de su adopción formal

Siente hoy las bases de su capacidad de notificación de incidentes. Abra su espacio de trabajo de DORA en chat.ismscopilot.com y comience con su matriz de clasificación. Cuando ocurra el próximo incidente de TIC, estará listo para clasificarlo, informarlo y responder dentro de los estrictos plazos de DORA.

¿Te fue útil?