# Gap analysis — ETSI EN 319 401 — Política general TSP (transversal)

**Aplicabilidad:** Obligatoria (transversal)
**Versión:** v3.2.1

> Exportado desde la plataforma psc-audit-web. Total: 312 controles.

---

| Control ID | Tema | Requisito | Aplicabilidad | Estado | Brecha | Severidad | Owner | Evidencia | WP |
|---|---|---|---|---|---|---|---|---|---|
| EN 319 401 §4.2 (REQ-4.2-01) | T01 | Al implementar los requisitos, el TSP debe tener en cuenta exposición al riesgo, tamaño, probabilidad e impacto de incidentes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §4.2 (REQ-4.2-02) | T01 | Los requisitos marcados [PRO] se implementan según criterios de proporcionalidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §4.2 (REQ-4.2-03) | T01 | Documentar el análisis de aplicabilidad de requisitos como parte del marco de gestión de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §4.2 (REQ-4.2-04) | T01 | Mantener el análisis y resultados como parte de la documentación de evaluación de riesgos y a disposición de las autoridades. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §4.2 (REQ-4.2-05) | T01 | No descartar requisitos PRO sin justificación adecuada, independientemente del tamaño o alcance del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §4.2 (REQ-4.2-06) | T01 | Garantizar que el efecto acumulado de los PRO no aplicados no comprometa la postura de seguridad global. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-01) | T01 | Realizar y documentar evaluaciones de riesgos, plan de tratamiento, procesos de gestión de ciberriesgos, marco de riesgos para redes/SI y revisión anual o tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-02) | T01 | Establecer, implementar y monitorizar un plan de tratamiento del riesgo proporcional al riesgo (referencia a ISO/IEC 27005:2022). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-03) | T01 | Determinar todos los requisitos de seguridad y procedimientos operativos necesarios para implementar las medidas de tratamiento, documentados en la política de seguridad y en el TSP Practice Statement. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-04) | T01 | Revisar y actualizar la evaluación y el plan de tratamiento al menos anualmente y tras cambios o incidentes significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-05) | T01 | Los órganos de dirección (o responsables con autoridad) deben aprobar el marco de evaluación de riesgos y aceptar el riesgo residual. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-06) | T01 | Al priorizar opciones de tratamiento, considerar resultados de la evaluación, eficacia, coste/beneficio, clasificación de activos y BIA. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-07) | T01 | Aplicar metodología de gestión de riesgos: tolerancia/apetito, criterios, identificación all-hazards (incluye terceros), análisis con threat intelligence, evaluación, priorización, monitorización continua, asignación de responsables y documentación de tratamiento y aceptación del residual. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §5 (REQ-5-08) | T01 | Determinar qué medidas se monitorizan/miden, métodos, frecuencia, responsables y análisis de resultados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-01) | T01 | El TSP debe especificar el conjunto de políticas y prácticas adecuadas a los servicios prestados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-02) | T01 | El conjunto de políticas y prácticas debe ser aprobado por la dirección, publicado y comunicado a empleados y partes externas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-03) | T01 | Disponer de un Practice Statement que cubra los requisitos de la trust service policy aplicable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-04) | T01 | El Practice Statement debe identificar las obligaciones de todas las organizaciones externas que dan soporte a los servicios. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-05) | T01 | Hacer disponibles a suscriptores y relying parties el Practice Statement y la documentación necesaria para demostrar conformidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-06) | T01 | Existir un órgano de dirección con responsabilidad global del TSP y autoridad final para aprobar el Practice Statement. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-07) | T01 | La dirección debe implementar las prácticas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-08) | T01 | Definir un proceso de revisión del Practice Statement, incluyendo responsabilidades de mantenimiento. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-09) [CONDITIONAL] | T01 | Notificar adecuadamente a suscriptores y relying parties los cambios que puedan afectar a la aceptación del servicio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-10) | T01 | Hacer disponible inmediatamente el Practice Statement revisado tras su aprobación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.1 (REQ-6.1-11) | T01 | Indicar en las prácticas las disposiciones para la terminación del servicio (referencia a §7.12). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-01) | T01 | Hacer disponibles los términos y condiciones del servicio a todos los suscriptores y relying parties. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-02) | T01 | Los T&C deben especificar al menos política aplicada, limitaciones, obligaciones del suscriptor, información a relying parties, retención de logs, limitaciones de responsabilidad, sistema legal aplicable, procedimientos de quejas, conformidad con el esquema de evaluación, contacto y compromisos de disponibilidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-03) | T01 | Informar a suscriptores y relying parties de los términos de forma clara, comprensible y accesible públicamente antes de la relación contractual. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-04) | T01 | Los T&C deben distribuirse por un medio de comunicación duradero. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-05) | T01 | Los T&C deben estar disponibles en lenguaje fácilmente comprensible. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.2 (REQ-6.2-06) | T01 | Los T&C pueden transmitirse electrónicamente. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-01) | T01 | Definir una política de seguridad de redes y SI aprobada por dirección, alineada con la estrategia de negocio, con objetivos, mejora continua, recursos, comunicación, roles, retención documental, políticas específicas, indicadores y fecha de aprobación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-02) | T01 | Comunicar los cambios de la política a terceros relevantes (suscriptores, relying parties, organismos supervisores y de evaluación). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-03) | T01 | La política debe estar documentada, implementada y mantenida; revisada y actualizada al menos anualmente y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-04) | T01 | Notificar al organismo supervisor cambios importantes en la prestación (al menos un mes antes del cambio) y la cesación (al menos tres meses antes). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-05) | T01 | Publicar y comunicar la política a todos los empleados afectados (referencia a ISO/IEC 27002:2022 §5.1). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-06) | T01 | Revisar periódicamente, al menos anualmente, la política y el inventario de activos para asegurar idoneidad y eficacia. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-07) | T01 | Los cambios que afecten al nivel de seguridad deben ser aprobados por el órgano de dirección de §6.1-07. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-08) | T01 | Comprobar regularmente la configuración de los sistemas para detectar cambios que violen la política de seguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §6.3 (REQ-6.3-09) | T01 | Documentar en el Practice Statement el intervalo máximo entre dos comprobaciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-01) | T01 | Definir y asignar responsabilidades y autoridades para la seguridad de redes y SI; comunicarlas a los órganos de dirección. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-02) | T01 | Exigir a personal y terceros aplicar la seguridad de redes y SI conforme a la política, políticas específicas y procedimientos del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-03) | T01 | Al menos una persona debe reportar directamente a la dirección sobre seguridad de redes y SI. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.1 (PRO-7.1.1-04) | T01 | Según el tamaño del TSP, cubrir la seguridad mediante roles dedicados o duties asignados a roles existentes; documentarlo en el plan de gestión de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-05) | T01 | Revisar roles, responsabilidades y autoridades a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-01) | T01 | La organización del TSP debe ser confiable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-02) | T01 | Las prácticas del TSP no deben ser discriminatorias. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-03) | T01 | Hacer accesibles los servicios a todos los solicitantes cuya actividad cae dentro del ámbito declarado y que aceptan los T&C. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-04) | T01 | Mantener recursos financieros suficientes y/o seguro de responsabilidad civil adecuado conforme a la ley aplicable (referencia a art. 13 Reglamento (UE) 910/2014). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-05) | T01 | Tener la estabilidad financiera y los recursos necesarios para operar conforme a esta política. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-06) | T01 | Disponer de políticas y procedimientos para resolver quejas y disputas de clientes y relying parties. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.1.3 (REQ-7.1.3-01) | T01 | Segregar deberes y responsabilidades en conflicto para reducir oportunidades de uso indebido o modificación no autorizada de los activos del TSP (referencia a ISO/IEC 27002:2022 §5.3). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-01) | T02 | Asegurar que empleados, proveedores y contratistas comprenden y se comprometen con sus responsabilidades de seguridad; mecanismos de awareness, formación y revisión anual de asignaciones (referencia a ISO/IEC 27002:2022 §5.4). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-02) | T02 | Emplear personal y subcontratistas con expertise, fiabilidad, experiencia y formación en ciberseguridad y protección de datos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-03) | T02 | Identificar al menos una persona responsable de seguridad de redes y SI que reporte a la alta dirección. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-04) | T02 | El personal en trusted roles (incl. subcontratistas) debe poder demostrar conocimientos expertos mediante formación formal, credenciales o experiencia. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-05) | T02 | El personal en trusted roles debe recibir actualizaciones sobre nuevas amenazas y prácticas de seguridad al menos cada 12 meses. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-06) | T02 | Aplicar sanciones disciplinarias proporcionadas tras un proceso documentado, revisado anualmente, considerando requisitos legales y contractuales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-07) | T02 | Documentar roles y responsabilidades de seguridad en descripciones de puesto accesibles al personal. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-08) | T02 | Identificar claramente los trusted roles de los que depende la operación del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-09) | T02 | Definir descripciones de puesto con segregación de funciones y mínimo privilegio, sensibilidad de la posición, screening y formación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (PRO-7.2-10) | T02 | Diferenciar funciones generales y específicas del TSP en las descripciones de puesto, incluyendo skills y experiencia. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-11) | T02 | El personal debe ejercer procedimientos de gestión coherentes con los procedimientos de seguridad de la información del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-12) | T02 | El personal directivo debe poseer experiencia/formación en el servicio de confianza, procedimientos de seguridad y evaluación de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-13) | T02 | El personal en trusted roles debe estar libre de conflictos de interés que perjudiquen la imparcialidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-14) | T02 | Los trusted roles deben incluir Security Officers, System Administrators, System Operators y System Auditors con responsabilidades específicas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-15) | T02 | El personal debe ser nombrado formalmente en los trusted roles por la alta dirección responsable de seguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-16) | T02 | Los trusted roles deben ser aceptados por la persona designada. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-17) | T02 | El personal no debe acceder a las trusted functions hasta que se completen los chequeos necesarios. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-18) [CONDITIONAL] | T02 | Cuando el personal trabaja en remoto, implementar medidas de ciberseguridad para proteger la información accedida fuera de las instalaciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-19) [CONDITIONAL] | T02 | Si se permite trabajo remoto, emitir una política específica que defina condiciones y restricciones de ciberseguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-20) | T02 | Verificar el background de empleados (y proveedores/contratistas cuando aplique) en la medida que sea factible y proporcional al rol. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-21) | T02 | Establecer criterios para la verificación de background y realizarla antes de que las personas ejerzan los roles, considerando ley, ética y riesgos percibidos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-22) | T02 | Revisar y actualizar la política de verificación de background al menos cada dos años. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-23) | T02 | Asegurar que las responsabilidades de seguridad que sigan siendo válidas tras la terminación o cambio de empleo se definen y exigen contractualmente. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.2 (REQ-7.2-24) | T02 | Incluir en los términos de empleo las responsabilidades válidas tras la terminación, como cláusulas de confidencialidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.1 (REQ-7.3.1-01) | T03 | Garantizar un nivel adecuado de protección de los activos, incluyendo activos de información. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.1 (REQ-7.3.1-02) | T03 | Los activos provistos a través de la cadena de suministro deben protegerse según §7.14. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-01) | T03 | Mantener un inventario preciso de activos como prerrequisito de la gestión de vulnerabilidades técnicas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-02) | T03 | Establecer un sistema de niveles de clasificación y asociar a cada activo un nivel basado en CIA y criticidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-03) | T03 | Asignar nivel de clasificación a cada activo o grupo según requisitos de CIA, evaluación de riesgos y valor de negocio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-04) | T03 | Asegurar que la disponibilidad clasificada de cada activo está alineada con los objetivos del plan de continuidad/recuperación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-05) | T03 | Realizar revisiones periódicas de los niveles de clasificación y actualizarlos cuando proceda. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-06) | T03 | Identificar, documentar e implementar reglas para el uso aceptable y el manejo de activos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.2 (REQ-7.3.2-07) | T03 | Implementar procedimientos de cambio/terminación que incluyan la devolución de los activos físicos y electrónicos confiados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-01) | T03 | Establecer y aplicar una política de manejo de activos que cubra ciclo de vida, soportes extraíbles, uso/almacenamiento/transporte/destrucción seguros y transferencia segura. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-02) | T03 | Manejar de forma segura los soportes de almacenamiento utilizados en los sistemas del TSP frente a daño, robo, acceso no autorizado y obsolescencia. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-03) | T03 | Mantener un procedimiento de gestión de soportes durante el período de retención requerido (referencia a ISO/IEC 27002:2022 §7.10). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-04) | T03 | Revisar y actualizar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.3.3 (REQ-7.3.3-05) | T03 | Aplicar una política específica sobre soportes extraíbles que incluya prohibición técnica, deshabilitar autoejecución, escaneo de malware, controles en tránsito y cifrado cuando proceda. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-01) | T03 | Establecer e implementar políticas de control de acceso lógico y físico que cubran personas, sistemas y autenticación adecuada. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-02) | T03 | Administrar el acceso de operadores, administradores y auditores aplicando el principio de mínimo privilegio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-03) | T03 | Configurar cuentas específicas para tareas administrativas (instalación, configuración, mantenimiento). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-04) | T03 | Las cuentas privilegiadas se utilizan solo cuando sus privilegios son necesarios para la actividad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-05) | T03 | Aplicar identificación, autenticación y autorización fuertes para cuentas privilegiadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-06) [CONDITIONAL] | T03 | Cuando proceda, autenticar usuarios y dispositivos con MFA o autenticación continua antes de acceder a redes y SI del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-07) | T03 | Aprovisionar, modificar, retirar y documentar derechos de acceso conforme a la política, con revisiones planificadas para cuentas privilegiadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-08) | T03 | Asignar/revocar derechos basados en need-to-know, mínimo privilegio y separación de deberes; modificar tras cambio de empleo; gestionar acceso de terceros; mantener registro y aplicar logging. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-09) | T03 | Restringir el acceso a las funciones del sistema de información y aplicaciones conforme a la política de acceso. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-10) | T03 | Garantizar la separación de trusted roles mediante controles de seguridad informática, incluida la separación de la administración de seguridad y operación; restringir utilidades del sistema. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-11) | T03 | Identificar y autenticar al personal antes de usar aplicaciones críticas relacionadas con el servicio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-12) | T03 | El personal debe ser accountable de sus actividades (p. ej. mediante logs). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-13) | T03 | Proteger los datos sensibles frente a su recuperación a través de objetos o soportes reutilizados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.1 (REQ-7.4.1-14) | T03 | Revisar y actualizar las políticas de control de acceso a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-01) | T03 | Mantener políticas de gestión de cuentas privilegiadas y de administración como parte de la política de acceso. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-02) | T03 | Las políticas deben incluir MFA/autenticación fuerte, cuentas dedicadas a administración, individualización y restricción al máximo, y uso solo para conectarse a sistemas de administración. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.2 (REQ-7.4.2-03) | T03 | Revisar y documentar los derechos de acceso de cuentas privilegiadas a intervalos planificados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-01) | T03 | Restringir y controlar el uso de los sistemas de administración. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.3 (REQ-7.4.3-02) | T03 | Los sistemas de administración deben usarse solo para administración, separarse lógicamente del software no administrativo y protegerse mediante autenticación y cifrado. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-01) | T03 | Gestionar el ciclo de vida completo de las identidades de redes, SI y sus usuarios. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-02) | T03 | Para la gestión de identidades: identidades únicas, vincular usuarios a una persona, supervisión de identidades y logging de la gestión. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-03) | T03 | Permitir identidades compartidas solo cuando sean necesarias y bajo proceso explícito de aprobación y documentación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-04) | T03 | Considerar las identidades compartidas en el marco de gestión de ciberriesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.4 (REQ-7.4.4-05) | T03 | Revisar regularmente las identidades y desactivarlas sin demora cuando ya no sean necesarias. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-01) | T03 | Implementar procedimientos y tecnologías de autenticación segura basados en restricciones de acceso y la política. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-02) | T03 | La autenticación debe garantizar fortaleza acorde a la clasificación, gestión segura de credenciales, cambios periódicos, bloqueos por intentos fallidos, terminación de sesiones inactivas y separación de credenciales para cuentas privilegiadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-03) | T03 | Utilizar, en la medida de lo posible, métodos de autenticación state-of-the-art acordes al riesgo y la clasificación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.5 (REQ-7.4.5-04) | T03 | Revisar los procedimientos y tecnologías de autenticación a intervalos planificados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.4.6 (REQ-7.4.6-01) | T03 | Garantizar la autenticación de usuarios según REQ-7.4.1-06 y REQ-7.4.5-02 a). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.5 (REQ-7.5-01) | T04 | Aplicar controles adecuados al ciclo de vida de claves, algoritmos y dispositivos criptográficos (referencia a ISO/IEC 27002:2022 §8.24). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.5 (REQ-7.5-02) | T04 | Establecer y aplicar una política/procedimiento de criptografía alineado con la clasificación de activos y el resultado del análisis de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.5 (REQ-7.5-03) | T04 | La política debe definir tipo/fortaleza/calidad de medidas, protocolos/algoritmos y enfoque completo de gestión de claves (generación, emisión, distribución, almacenamiento, cambio, compromiso, revocación, recuperación, backup, destrucción, logging, fechas de activación). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.5 (REQ-7.5-04) | T04 | Revisar y actualizar la política y procedimientos criptográficos a intervalos planificados, considerando el estado del arte. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.5 (REQ-7.5-05) | T04 | Seleccionar y usar técnicas criptográficas adecuadas conforme a estándares reconocidos (referencia a ETSI TS 119 312). | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-01) | T05 | Controlar el acceso físico a los componentes críticos del sistema TSP y prevenir/reducir consecuencias de eventos físicos y ambientales (referencia a ISO/IEC 27002:2022 §7.x y §8.1). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-02) | T05 | Limitar el acceso físico a componentes críticos a personas autorizadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-03) | T05 | Implementar controles para evitar pérdida, daño o compromiso de activos e interrupciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-04) | T05 | Implementar controles para evitar el compromiso o robo de información e instalaciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-05) | T05 | Ubicar componentes críticos en un perímetro de seguridad protegido físicamente con control de accesos y alarmas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-06) | T05 | Prevenir pérdidas, daños o interrupciones derivados del fallo de utilities. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (PRO-7.6-07) [CONDITIONAL] | T05 | Para la protección de utilities: protección de fallos eléctricos, redundancia, protección frente a interceptación/daño, monitorización, contratos de emergencia y mantenimiento de electricidad/temperatura/comunicaciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-08) | T05 | Probar, revisar y actualizar las medidas de protección de utilities tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-09) | T05 | Prevenir o reducir consecuencias de amenazas físicas y ambientales (incluyendo desastres naturales) en función del análisis de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (PRO-7.6-10) [CONDITIONAL] | T05 | Para protección frente a amenazas físicas y ambientales: diseñar medidas, definir umbrales mínimos/máximos, monitorizar y reportar excepciones. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-11) | T05 | Probar, revisar y actualizar las medidas frente a amenazas físicas/ambientales tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-12) | T05 | Establecer perímetros de seguridad para proteger las áreas donde se ubican redes/SI y activos asociados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-13) | T05 | Monitorizar continuamente las instalaciones para detectar accesos físicos no autorizados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.6 (REQ-7.6-14) | T05 | Probar, revisar y actualizar las medidas de control de acceso físico tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-01) | T06 | Utilizar sistemas y productos confiables, protegidos frente a modificaciones y que aseguren la seguridad técnica y fiabilidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-02) | T06 | Realizar análisis de requisitos de seguridad en la fase de diseño/especificación de proyectos de desarrollo. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-03) | T06 | Aplicar procedimientos de control de cambios para releases, modificaciones y parches de emergencia del software operacional. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-04) | T06 | Documentar los cambios en los procedimientos de control. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-05) | T06 | Proteger la integridad de los sistemas e información frente a virus, malware y software no autorizado. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-06) | T06 | Establecer procedimientos para todos los trusted/administrative roles que impactan en el servicio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-07) | T06 | Especificar y aplicar procedimientos para que los parches se apliquen en plazo razonable, no se apliquen si introducen vulnerabilidades, y se documente la decisión de no aplicar. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-08) | T06 | Establecer, documentar, monitorizar y revisar las configuraciones de hardware, software, servicios y redes (incluida la configuración de seguridad). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-09) | T06 | Monitorizar configuraciones con un conjunto comprensivo de herramientas de gestión. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-10) | T06 | Revisar configuraciones regularmente para verificar parámetros, fortaleza de contraseñas y actividades. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-11) | T06 | Establecer procesos para gestionar los riesgos de adquisición de servicios/productos ICT críticos basados en el análisis de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-12) | T06 | Los procesos de adquisición deben incluir requisitos de seguridad, actualizaciones, descripción de componentes, funciones de ciberseguridad, garantía de cumplimiento y métodos de validación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-13) | T06 | Revisar y actualizar los procesos al menos anualmente y tras incidentes significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-14) | T06 | Antes de desarrollar redes/SI (incl. software), establecer reglas para el desarrollo seguro y aplicarlas en desarrollo interno o externalizado, cubriendo todas las fases. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-15) | T06 | Para desarrollo seguro: análisis de requisitos, principios de ingeniería segura/zero-trust, requisitos del entorno, testing, gestión de datos de prueba y anonimización. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-16) | T06 | Para desarrollo externalizado, aplicar también las políticas y procedimientos de proveedores y adquisición de productos/servicios ICT. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-17) | T06 | Revisar y actualizar las reglas de desarrollo seguro a intervalos planificados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-18) | T06 | Aplicar procedimientos de gestión de cambios para controlar cambios en redes y SI, coherentes con las políticas generales de cambio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-19) | T06 | Aplicar gestión de cambios a releases, modificaciones y emergencias en software/hardware y configuración, asegurando documentación, testeo y evaluación de impacto. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-20) | T06 | Si no es posible seguir los procedimientos regulares de cambio por emergencia, documentar el resultado y la justificación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-21) | T06 | Revisar y actualizar los procedimientos de gestión de cambios a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-22) | T06 | Establecer y aplicar política y procedimientos de testing de seguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-23) | T06 | El testing de seguridad debe definir necesidad, alcance, frecuencia, tipo, metodología documentada, evaluación de criticidad y acciones mitigadoras. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-24) | T06 | Revisar y actualizar las políticas de testing de seguridad a intervalos planificados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (REQ-7.7-25) | T06 | Especificar y aplicar procedimientos de parches alineados con cambio, vulnerabilidades y riesgos: aplicación oportuna, testeo previo, fuentes confiables, integridad y compensaciones cuando no aplican. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.7 (PRO-7.7-26) [CONDITIONAL] | T06 | El TSP puede no aplicar parches si las desventajas superan los beneficios; debe documentar y justificar la decisión. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-01) | T06 | Proteger la red y los sistemas frente a ataques (referencia a ISO/IEC 27002:2022 §8.20-§8.23). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-02) | T06 | Segmentar los sistemas en redes/zonas según el análisis de riesgos y separar los sistemas/redes de los de terceros. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-03) | T06 | Aplicar los mismos controles a sistemas co-ubicados en una zona y conceder acceso a una red/zona conforme a su evaluación de seguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-04) | T06 | Restringir accesos y comunicaciones entre zonas y dentro de cada zona a las necesarias para la operación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-05) | T06 | Prohibir o desactivar conexiones y servicios no necesarios; permitir solo el acceso de dispositivos autorizados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-06) | T06 | Revisar regularmente y tras incidentes el conjunto de reglas, segmentación y medidas de protección. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-07) | T06 | Mantener todos los sistemas críticos para la operación del TSP en una o más zonas seguras. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-08) | T06 | Separar la red dedicada a administración de IT y la red operacional, y segregar los canales de administración del resto del tráfico. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-09) | T06 | Separar lógicamente los sistemas/redes de administración del resto y no usarlos para otros fines. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-10) | T06 | Separar los sistemas de producción de los sistemas de desarrollo y test (incluyendo backups). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-11) | T06 | Establecer comunicaciones entre sistemas confiables solo a través de canales aislados (lógica/criptográfica/físicamente) con identificación de extremos y protección de la integridad/confidencialidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-12) [CONDITIONAL] | T06 | Si se requiere alta disponibilidad de acceso externo, asegurar redundancia de la conexión y desplegar una DMZ. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-13) | T06 | Realizar escaneos regulares de vulnerabilidades sobre IPs públicas y privadas, registrando evidencia de la independencia y competencia del ejecutor. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-14) | T06 | Realizar el escaneo de vulnerabilidades al menos trimestralmente. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-15) | T06 | Monitorizar información sobre vulnerabilidades a través de CSIRTs, autoridades, proveedores y otros canales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-16) | T06 | Proteger redes/SI frente a software malicioso con detección y eliminación, actualizadas al menos diariamente. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-17) | T06 | Actualizar regularmente el software de detección de malware. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-18) | T06 | Realizar pentests al instalar y tras cambios significativos en infraestructura/aplicaciones; abordar sin demora vulnerabilidades críticas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-19) | T06 | Los pentests deben realizarse al menos anualmente; mitigar o documentar la justificación si no se mitiga. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-20) | T06 | Registrar evidencia de la independencia y competencia de quien ejecuta el pentest. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-21) | T06 | Proteger los dominios internos frente a accesos no autorizados (incluidos suscriptores y terceros) mediante firewalls u otros controles. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-22) | T06 | Configurar los firewalls para impedir todos los protocolos y accesos no necesarios para la operación del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-23) | T06 | Adoptar plan de implementación para protocolos de red de última generación, comunicaciones email seguras y mejores prácticas en seguridad DNS y enrutamiento. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.8 (REQ-7.8-24) | T06 | Documentar de forma comprensible y actualizada la arquitectura de red. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-01) | T10 | Establecer mecanismos para detectar incidentes y permitir la monitorización y logging continuo de actividades en redes/SI (referencia a ISO/IEC 27002:2022 §8.16, §5.24-5.28, §6.8). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-02) | T10 | La monitorización debe considerar la sensibilidad de la información recabada. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-03) | T10 | Las actividades anómalas (incl. intrusiones) deben detectarse y reportarse como alarmas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-04) | T10 | Mantener y revisar logs de tráfico, gestión de usuarios/permisos, accesos, autenticación, administración, cambios en ficheros críticos, eventos de seguridad, uso de recursos, accesos físicos y eventos ambientales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-05) | T10 | Monitorizar los sistemas, incluida la revisión de audit logs, con mecanismos automáticos para procesar logs y alertar sobre eventos críticos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-06) | T10 | Establecer procedimientos y herramientas para monitorizar y registrar actividades, detectar incidentes y mitigar el impacto. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-07) | T10 | La monitorización debe automatizarse y realizarse continuamente o a intervalos en la medida de lo posible. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-08) | T10 | Implementar la monitorización minimizando falsos positivos y negativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-09) | T10 | Establecer una lista de activos sometidos a logging según la evaluación de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-10) | T10 | Revisar regularmente los logs en busca de tendencias inusuales o no deseadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-11) | T10 | Establecer valores adecuados para los umbrales de las alarmas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-12) [CONDITIONAL] | T10 | Si se sobrepasan los umbrales, dispararse alarma automáticamente cuando proceda. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-13) | T10 | Asegurar que ante una alarma se inicia una respuesta cualificada en plazo. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-14) | T10 | Mantener y respaldar los logs un periodo predefinido y protegerlos frente a cambios o accesos no autorizados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-15) | T10 | Sincronizar las fuentes de tiempo de todos los sistemas para correlación de logs en la medida de lo posible. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-16) | T10 | Mantener inventario de activos con logging y asegurar la redundancia de los sistemas de monitorización/logging. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-17) | T10 | Establecer un sistema independiente para monitorizar la disponibilidad de los sistemas de monitorización/logging. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-18) | T10 | Revisar y actualizar los procedimientos y la lista de activos a intervalos regulares y tras incidentes significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-01) | T10 | Establecer e implementar una política de gestión de incidentes con roles, responsabilidades y procedimientos de detección, contención, respuesta, recuperación, documentación y reporte. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-02) | T10 | Cumplir con las obligaciones de notificación de los marcos legislativos aplicables (DORA, CER, eIDAS art. 19a/24(2)(fb), CRA, DSA, DGA, NIS2, etc.). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-03) | T10 | Informar a los stakeholders sobre incidentes según los planes de comunicación acordados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-04) | T10 | Mantener planes de comunicación efectivos con categorización de incidentes, escalado y protocolos estandarizados de reporte. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-05) | T10 | Asegurar que el personal cuenta con las competencias necesarias para detectar y responder a incidentes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-06) | T10 | Mantener documentación comprensiva durante todo el proceso de detección y respuesta. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-07) | T10 | Establecer interfaces claras entre la gestión de incidentes y la continuidad de negocio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-08) | T10 | Probar y revisar regularmente y tras incidentes los roles, responsabilidades y procedimientos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-09) | T10 | Atender cualquier vulnerabilidad crítica no abordada previamente en un plazo de 48 horas tras su descubrimiento. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-10) [CHOICE] | T10 | Para cualquier vulnerabilidad: implementar un plan de mitigación o documentar la base factual de no remediarla. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-11) | T10 | Aplicar los procedimientos de reporte y respuesta para minimizar daños por incidentes y malfuncionamientos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-12) | T10 | Designar personal en trusted role para hacer follow-up de alertas potencialmente críticas y reportar incidentes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-13) | T10 | La política de incidentes debe ser coherente con la continuidad y recuperación, e incluir categorización, planes de comunicación, asignación de roles y documentos operativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-14) | T10 | Probar y revisar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-15) | T10 | Responder a incidentes según los procedimientos documentados y en plazo. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-16) | T10 | Los procedimientos de respuesta deben incluir contención, erradicación y recuperación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-17) | T10 | Establecer planes y procedimientos de comunicación con CSIRTs/autoridades y entre el personal del TSP y stakeholders externos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-18) | T10 | Registrar las actividades de respuesta conforme a los procedimientos de monitorización/logging. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-19) | T10 | Probar a intervalos planificados los procedimientos de respuesta. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-01) | T10 | Notificar a las partes apropiadas las brechas de seguridad o pérdidas de integridad significativas en un plazo de 24 horas tras su identificación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-02) | T10 | Notificar sin demora a la persona física o jurídica afectada cuando la brecha pueda perjudicarle. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-03) | T10 | Establecer un procedimiento simple para que personal, contratistas y clientes reporten posibles incidentes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-04) | T10 | Comunicar el procedimiento de reporte a contratistas y clientes y formarles sobre cómo dirigirse al punto de contacto. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-05) | T10 | Implementar un mecanismo simple para que empleados, proveedores y clientes reporten eventos sospechosos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (PRO-7.9.3-06) [CONDITIONAL] | T10 | Si se implementa, comunicar el mecanismo a proveedores/clientes y formar regularmente a los empleados sobre su uso. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-07) | T10 | Considerar significativo un incidente si cumple uno o más de los criterios listados (pérdidas financieras, exfiltración, daño a personas, indisponibilidad del servicio, accesos comprometidos, etc.). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-08) | T10 | Las interrupciones programadas y sus consecuencias planificadas no se consideran incidentes significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-09) | T10 | Para calcular usuarios impactados, considerar clientes con contrato y personas asociadas a clientes empresariales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-10) | T10 | Considerar incidentes individuales no significativos como uno significativo si son recurrentes (≥2 en 6 meses, misma causa raíz y suman umbrales financieros). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-01) | T10 | Analizar los eventos reportados y evaluar su severidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-02) | T10 | Reevaluar y reclasificar eventos en función de nuevos inputs. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-03) | T10 | Evaluar eventos sospechosos para determinar si constituyen incidentes y, en su caso, su naturaleza y severidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-04) | T10 | Para la evaluación de eventos: realizar el análisis con criterios predefinidos y triage, evaluar recurrencias trimestralmente, revisar logs, correlación, y reclasificar con nueva información. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-01) | T10 | Mantener informado al TSP sobre vulnerabilidades técnicas de los sistemas que utiliza. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-02) | T10 | Evaluar la exposición a dichas vulnerabilidades y tomar medidas (referencia a ISO/IEC 27002:2022 §8.8). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-03) | T10 | Identificar la causa raíz de cada incidente y realizar una post-incident review que pueda derivar en medidas para evitar la recurrencia. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-04) | T10 | Asegurar que cada incidente pasado dio lugar a una post-incident review. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-05) | T10 | Cuando proceda, realizar post-incident reviews tras la recuperación. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-06) | T10 | Las post-incident reviews deben identificar la causa raíz cuando sea posible y producir lecciones aprendidas documentadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-07) | T10 | Asegurar que las post-incident reviews contribuyen a mejorar la seguridad, las medidas de tratamiento de riesgos y los procedimientos de incidentes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-08) | T10 | Revisar a intervalos planificados si los incidentes condujeron efectivamente a post-incident reviews. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-01) | T06 | Registrar y mantener accesible durante un periodo adecuado (incluso tras el cese) toda la información relevante para evidencia legal y continuidad del servicio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-02) | T06 | Mantener la confidencialidad e integridad de los registros de operación, actuales y archivados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-03) | T06 | Archivar de forma completa y confidencial los registros de operación de servicios conforme a las prácticas declaradas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-04) | T06 | Hacer disponibles los registros como evidencia ante procesos legales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-05) | T06 | Registrar el momento preciso de los eventos significativos relativos a entorno, gestión de claves y sincronización del reloj del TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-06) | T06 | Sincronizar el reloj utilizado para los registros con UTC al menos una vez al día. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-07) | T06 | Conservar los registros durante el tiempo establecido en los T&C del servicio (§6.2). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.10 (REQ-7.10-08) | T06 | Registrar los eventos de modo que no puedan eliminarse o destruirse fácilmente durante el periodo de retención (write-only, off-site, almacenamiento paralelo, etc.). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-01) | T10 | Mantener copias de seguridad y recursos suficientes (incluyendo personal, instalaciones y SI) para asegurar redundancia conforme al análisis de riesgos y al plan de continuidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-02) | T10 | En caso de desastre (incluido el compromiso de claves privadas o credenciales), restaurar las operaciones dentro del plazo establecido tras abordar las causas (referencia a ISO/IEC 27002:2022 §5.29-§5.30, §8.13). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-03) | T10 | Asegurar disponibilidad mediante redundancia parcial al menos de redes/SI, activos, personal y canales de comunicación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-04) | T10 | Documentar los resultados de las pruebas y aplicar acciones correctivas cuando proceda. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-01) | T10 | Mantener un plan de backup y actualizarlo regularmente. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-02) | T10 | El plan de backup debe contemplar tiempos de recuperación, integridad y completitud, almacenamiento off-site, controles físicos/lógicos, procesos de restauración con aprobación y períodos de retención. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-03) | T10 | Realizar comprobaciones regulares de integridad sobre las copias. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-04) | T10 | Probar a intervalos planificados la recuperación de copias y redundancias y aplicar acciones correctivas; documentar los resultados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (PRO-7.11.2-05) | T10 | Cuando proceda, asegurar que la monitorización y ajuste de recursos refleja debidamente las necesidades de backup y redundancia. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-06) | T10 | Realizar pruebas regulares de recuperación de backups y redundancias para confirmar que pueden ser fiables en condiciones reales. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-01) | T10 | Establecer procesos de gestión de crisis que cubran roles, comunicación con autoridades competentes y aplicación de controles para mantener seguridad de redes/SI en crisis. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-02) | T10 | Implementar un proceso para gestionar y aprovechar la información recibida del CSIRT nacional (o autoridades competentes) sobre incidentes, vulnerabilidades, amenazas o medidas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-03) | T10 | Probar y revisar el plan de gestión de crisis a intervalos planificados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-04) | T10 | Actualizar el plan de gestión de crisis tras incidentes/cambios significativos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-01) | T10 | Minimizar las disrupciones a suscriptores y relying parties como consecuencia del cese, manteniendo en particular la información necesaria para verificar la corrección de los servicios. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-02) | T10 | Disponer de un plan de cese actualizado. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-03) | T10 | Antes del cese, informar a suscriptores, otras entidades con relación contractual y autoridades como el supervisor. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-04) | T10 | Antes del cese, hacer disponible la información del cese a otras relying parties. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-05) | T10 | Antes del cese, retirar la autorización a todos los subcontratistas que actúen en nombre del TSP en la emisión de tokens. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-06) | T10 | Antes del cese, transferir las obligaciones a una parte fiable para mantener accesible la información necesaria como evidencia, salvo que pueda demostrarse que el TSP no la posee. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-07) | T10 | Antes del cese, destruir o retirar de uso las claves privadas del TSP (incluidas las copias de seguridad) de forma irrecuperable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-08) | T10 | Antes del cese, en lo posible, gestionar la transferencia de la prestación de los servicios a otro TSP. | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-09) | T10 | Disponer de un acuerdo para cubrir los costes mínimos del cese en caso de quiebra u otra causa que impida cubrirlos por sí mismo, en lo posible dentro de la legislación aplicable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-10) | T10 | Indicar en las prácticas las disposiciones del cese, incluyendo notificación a entidades afectadas y, en su caso, transferencia de obligaciones a otras partes. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.12 (REQ-7.12-11) | T10 | Mantener o transferir a una parte fiable la obligación de hacer disponibles a relying parties la clave pública o los tokens del TSP durante un periodo razonable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-01) | T01 | El TSP debe operar de forma legal y confiable. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-02) | T01 | Aportar evidencia de cómo se cumplen los requisitos legales aplicables. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-03) | T01 | Hacer accesibles los servicios y productos finales a personas con discapacidad cuando sea factible. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-04) | T01 | Tener en cuenta las normas de accesibilidad aplicables (referencia a ETSI EN 301 549). | Recomendada | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-05) | T01 | Aplicar medidas técnicas y organizativas adecuadas frente al tratamiento no autorizado/ilegal de datos personales y frente a la pérdida o destrucción accidental (referencia a Reglamento (UE) 2016/679 — RGPD; ISO/IEC 27701:2019). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.13 (REQ-7.13-06) | T01 | Disponer de un sistema efectivo de reporte de cumplimiento adecuado a la estructura/entorno y capaz de informar a la dirección sobre el estado de gestión de riesgos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-01) | T11 | Establecer y aplicar una política de seguridad de la cadena de suministro que regule las relaciones con proveedores directos para mitigar riesgos a redes/SI y comunicarla. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-02) | T11 | Definir e implementar procesos para gestionar los riesgos de los productos/servicios de proveedores, incluyendo criterios de selección y contratación. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-03) | T11 | La política debe identificar y comunicar el rol del TSP en la cadena. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-04) | T11 | Definir criterios de selección de proveedores (prácticas de ciberseguridad, capacidad para cumplir requisitos, calidad/resiliencia ICT, diversificación de origen y resultados de evaluaciones coordinadas). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-05) | T11 | Revisar la política y monitorizar a los proveedores a intervalos planificados y tras cambios/incidentes significativos en sus prácticas de ciberseguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-06) | T11 | Para monitorizar a proveedores: monitorizar SLAs, revisar incidentes, evaluar la necesidad de revisiones no planificadas y analizar riesgos de cambios en productos/servicios ICT. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-01) | T11 | Definir e implementar procesos para gestionar los riesgos de seguridad de los productos/servicios ICT a través de la cadena de suministro. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-02) | T11 | Definir requisitos de seguridad para la adquisición de productos/servicios ICT. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-03) | T11 | Exigir a los proveedores de servicios ICT propagar los requisitos de seguridad a sus subcontratistas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-04) | T11 | Exigir a los proveedores de productos ICT propagar prácticas de seguridad a otros proveedores cuyos componentes incorporen. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-05) | T11 | Solicitar a los proveedores de productos ICT información sobre los componentes software incluidos. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-06) | T11 | Solicitar a los proveedores información sobre las funciones de seguridad implementadas y la configuración requerida para su operación segura. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-07) | T11 | Implementar un proceso de monitorización y métodos aceptables de validación de la conformidad de los productos/servicios ICT con los requisitos de ciberseguridad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-08) | T11 | Implementar un proceso para identificar y documentar los componentes de productos o servicios críticos para mantener la funcionalidad. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-09) | T11 | Obtener garantía de que los componentes críticos y su origen pueden trazarse a través de la cadena de suministro. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-10) | T11 | Obtener garantía de que los productos ICT entregados funcionan según lo esperado, sin características inesperadas. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-11) | T11 | Implementar procesos para verificar que los componentes provenientes de proveedores son genuinos y no han sido alterados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-12) | T11 | Definir reglas para compartir información sobre la cadena de suministro y posibles incidencias entre el TSP y sus proveedores. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-13) | T11 | Implementar procesos específicos para gestionar el ciclo de vida y disponibilidad de los componentes ICT (referencia a ISO/IEC 27002:2022 §5.21). | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-14) | T11 | Monitorizar, revisar, evaluar y gestionar regularmente los cambios en las prácticas de seguridad y entrega de los proveedores. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-15) | T11 | Definir, implementar y comunicar políticas específicas sobre el uso de servicios cloud y sobre la gestión de los riesgos de seguridad asociados. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-01) [CONDITIONAL] | T11 | Cuando el TSP recurre a otras partes (incluyendo subcontratación o outsourcing) mantiene la responsabilidad global de la conformidad con la política de cadena de suministro, la de seguridad y la del servicio. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-02) | T11 | Definir la responsabilidad de los outsourcers y asegurar que están obligados a aplicar los controles requeridos por el TSP. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-03) | T11 | Los procesos deben incluir las acciones del TSP, las exigidas al proveedor para iniciar el uso de sus productos/servicios y las exigidas para terminarlo. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-04) | T11 | Mantener acuerdos contractuales documentados que clarifiquen las obligaciones de seguridad de cada parte cuando la prestación implique subcontratación, outsourcing u otros acuerdos con terceros. | Obligatoria | TBD | — | TBD | — | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-05) [CONDITIONAL] | T11 | Cuando el TSP utilice un componente de servicio confiable provisto por otra parte, asegurar que el uso de la interfaz cumple con los requisitos especificados por el proveedor del componente. | Obligatoria | TBD | — | TBD | — | — | — |