# Gap analysis — eIDAS + Ley 6/2020 — obligaciones legales

**Aplicabilidad:** Obligatoria
**Versión:** consolidado

> Exportado desde la plataforma psc-audit-web. Total: 53 controles.

---

| Control ID | Tema | Requisito | Aplicabilidad | Estado | Brecha | Severidad | Owner | Evidencia | WP |
|---|---|---|---|---|---|---|---|---|---|
| eIDAS §19.1 | T10 | Adoptar medidas técnicas y organizativas adecuadas para gestionar riesgos | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §19.1 (2) | T10 | Adoptar medidas para evitar y reducir impacto de incidentes; informar a afectados | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §19.2 | T10 | Notificar al supervisor violaciones de seguridad o pérdida de integridad — **plazo 24 h** | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §19.2 (2) | T10 | Notificar a la persona afectada cuando proceda | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §19.2 (3) | T10 | Notificar a otros organismos relevantes (CSIRT, autoridad protección datos) | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §13.3 | T10 | Notificación complementaria al supervisor — **plazo 1 mes** tras la inicial y tras la resolución | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §13.2 | T10 | Tomar medidas necesarias para resolver incidentes | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §18.3.f | T10 | Incumplir notificación de incidentes — **infracción grave** (multa 50.001-150.000 €) | Información | TBD | — | TBD | — | — | — |
| eIDAS §20.1 | T01 | Auditoría por CAB acreditado **cada 24 meses como máximo** | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §20.1 (2) | T01 | Coste a cargo del QTSP | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §20.1 (3) | T01 | Enviar CAR al supervisor en **3 días hábiles** desde recepción | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §9.3.d | T01 | Idem (envío del CAR al Ministerio) — su incumplimiento conlleva retirada de cualificación | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §20.2 | T01 | Soportar auditoría extraordinaria del supervisor en cualquier momento | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §20.3 | T01 | Corregir incumplimientos en plazo fijado por supervisor; en su defecto retirada de cualificación | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §21.1 | T01 | Notificación previa al supervisor con CAR positivo del CAB | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §21.2 | T01 | Esperar resolución del supervisor — plazo eIDAS: 3 meses | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §16.2 | T01 | Plazo nacional España: **6 meses** (silencio negativo) | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §21.3 | T01 | **No prestar servicio cualificado** hasta aparecer en TSL | Bloqueante | TBD | — | TBD | — | — | — |
| eIDAS §22 | T01 | Aparición y mantenimiento en la TSL española | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §23.1 | T01 | Uso correcto de la etiqueta UE — solo si se está en TSL | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §23.2 | T01 | Enlace en sitio web a la TSL aplicable | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §18.3.b | T01 | Usar la etiqueta sin estar cualificado — **infracción grave** | Información | TBD | — | TBD | — | — | — |
| eIDAS §24.2.a | T11 | Informar al supervisor de cambios en el servicio + intención de cesar | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.b | T02 | Personal y subcontratistas con conocimientos, fiabilidad y formación adecuados | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.c | T11 | Recursos financieros suficientes / pólizas RC adecuadas | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §9.3.b | T11 | Seguro RC mínimo **1.500.000 € + 500.000 € por servicio adicional** | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.d | T11 | Información clara al usuario antes del contrato (limitaciones incluidas) | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.e | T06 | Sistemas y productos fiables protegidos contra alteración | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.f | T06 | Sistemas fiables para almacenar datos verificables (acceso, integridad, autenticidad) | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.g | T06 | Medidas adecuadas contra falsificación y robo de datos | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.h | T10 | Registrar y mantener accesible información relevante (incluso tras cese) — para prueba | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §9.3.a | T10 | **Conservación 15 años** desde extinción del certificado o finalización del servicio | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.i | T10 | Plan de cese actualizado verificado por supervisor | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §9.3.c | T10 | Comunicar cese a clientes y supervisor con **2 meses** de antelación | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §24.2.j | T11 | Tratamiento lícito de datos personales (RGPD) | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §18.3.g | T11 | Incumplimiento de 24.2 (b/c/d/e/f/g/h/k) — **infracción grave** | Información | TBD | — | TBD | — | — | — |
| eIDAS §41.2 | T07 | Garantizar presunción de exactitud de fecha/hora e integridad de los datos | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §42.1.a | T07 | Vincular fecha/hora a los datos de forma que se elimine razonablemente posibilidad de modificación sin detección | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §42.1.b | T07 | Basarse en fuente temporal vinculada a UTC | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §42.1.c | T07 | Firmado con firma o sello electrónico avanzado del QTSP | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §43.2 | T09 | Garantizar presunción de integridad, identificación de remitente y destinatario, y exactitud temporal | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.a | T09 | Servicio prestado por uno o más QTSPs | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.b | T08 | Identificación del **remitente** con alto nivel de fiabilidad | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.c | T08 | Identificación del **destinatario antes de la entrega** de los datos | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.d | T09 | Envío y recepción protegidos por firma o sello electrónico avanzado de QTSP | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.e | T09 | Indicar al emisor y destinatario cualquier modificación de los datos | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1.f | T09 | Marcar mediante sello cualificado de tiempo fecha/hora de envío, recepción y modificación | Obligatoria | TBD | — | TBD | — | — | — |
| eIDAS §44.1 (final) | T09 | Si datos pasan entre 2+ QTSPs, todos cumplen a-f | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §17.3 | T01 | **Informe anual de actividad** al Ministerio antes del **1 de febrero** de cada año | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §17.1 | T01 | Permitir acceso del inspector a instalaciones y documentación | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §15.3 | T01 | Asumir coste de pruebas en laboratorio si las requiere el supervisor | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §8.1 | T11 | Tratamiento de datos personales conforme a normativa de protección de datos | Obligatoria | TBD | — | TBD | — | — | — |
| Ley 6/2020 §10 | T11 | Asumir responsabilidad por personas/subcontratistas en quienes se delegue | Obligatoria | TBD | — | TBD | — | — | — |