Gap analysis
Cargando…
Cargando…
| Control | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| NIS2 §3 + Anexo I (AMB-01) | T11 | Identificación formal de Correos como **entidad esencial** bajo NIS2 (Anexo I, sector "infraestructura digital", entidades QTSP). Independiente del tamaño — los QTSPs siempre son esenciales (Art. 3.1.f). | Obligatoria | TBD | TBD | — | — |
| NIS2 §3.4 (REG-01) | T11 | Registro de Correos como entidad esencial ante la autoridad nacional competente (España: previsiblemente CNI/CCN o autoridad designada en la ley de transposición). Incluye datos de contacto, IPs, dominios, ámbito territorial de prestación. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.1 (GOV-01) | T01 | Los órganos de dirección (Consejo de Administración de Correos) deben **aprobar** las medidas de ciberseguridad y **supervisar** su implementación. Acta del Consejo aprobando la política de ciberseguridad y los resultados de la última auditoría. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.1 (GOV-02) | T01 | **Responsabilidad personal** de los miembros de los órganos de dirección por incumplimientos. Es novedad clave de NIS2 vs NIS1. Asegura que el Consejo no puede delegar la responsabilidad por incumplimiento de medidas de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.2 (GOV-03) | T01 | Formación periódica del Consejo de Administración en ciberseguridad. Debe ser proporcional al riesgo del sector. Para QTSP, la formación debe cubrir riesgos específicos: compromiso de claves, suplantación, ataques a infraestructura cualificada. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.a (RISK-01) | T01 | Políticas de análisis de riesgos y de seguridad de los sistemas de información. Solapa con ISO 27001 / EN 319 401 §5 — reutilizar la misma evidencia, pero el régimen sancionador es independiente. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.b (INC-01) | T10 | Gestión de incidentes (detección, análisis, contención, respuesta, recuperación). Procedimiento documentado con roles claros y plazos. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.c (BCP-01) | T10 | Continuidad de negocio: gestión de copias de seguridad y de recuperación, gestión de crisis. Plan BCP/DRP probado periódicamente (al menos anual). | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.d (SUPPLY-01) | T11 | **Seguridad de la cadena de suministro**. Énfasis particular de NIS2: el QTSP debe evaluar la postura de seguridad de sus proveedores (cloud, datacenter, CA externa, IPSP, hardware crypto). Inventario de proveedores críticos con su evaluación de riesgo. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.e (ACQ-01) | T11 | Seguridad en adquisición, desarrollo y mantenimiento de sistemas de información, incluyendo gestión y notificación de vulnerabilidades. Procedimiento de gestión de parches con SLAs por severidad. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.f (EVAL-01) | T01 | Políticas y procedimientos para evaluar la **eficacia** de las medidas de gestión de riesgos. Auditorías internas, métricas, indicadores. No basta con tener medidas; hay que probar que funcionan. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.g (HIGIENE-01) | T01 | Prácticas básicas de ciberhigiene y formación en ciberseguridad para todo el personal. Programa de concienciación anual obligatorio + onboarding. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.h (CRYPTO-01) | T04 | Políticas y procedimientos sobre uso de criptografía y, cuando proceda, de cifrado. Para QTSP, esto se concreta en algoritmos conformes a ETSI TS 119 312, HSMs cualificados, gestión de claves. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.i (RRHH-01) | T02 | Seguridad de los recursos humanos: políticas de control de acceso y gestión de activos. Solapa con 401 §7.2 y 27001 §6. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.j (MFA-01) | T03 | Uso de **autenticación multifactor (MFA)** o autenticación continua. Comunicaciones seguras de voz, vídeo y texto. Sistemas de comunicaciones de emergencia seguros. Aplica a acceso a sistemas críticos (TSU, sello QERDS, consola HSM). | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.a (NOT-24H) | T10 | **Alerta temprana en 24 horas** al CSIRT o autoridad competente, indicando si se sospecha actuación maliciosa o transfronteriza. Procedimiento documentado, plantilla preparada, canal con CCN-CERT / INCIBE-CERT operativo 24/7. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.b (NOT-72H) | T10 | **Notificación de incidente en 72 horas**, con evaluación inicial: gravedad, impacto, indicadores de compromiso. Coordinada con la notificación eIDAS §19.2 (24h) y RGPD §33 (72h) si hay datos personales. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.c (NOT-INT) | T10 | Informe intermedio cuando lo solicite el CSIRT/autoridad. Capacidad de proporcionar actualizaciones del estado del incidente. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.d (NOT-1M) | T10 | **Informe final en 1 mes** desde la notificación inicial: descripción detallada del incidente, gravedad e impacto, tipo de amenaza/causa raíz, medidas de mitigación aplicadas y en curso, repercusión transfronteriza si la hay. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.2 (NOT-USUARIOS) | T10 | Cuando proceda, notificación sin demora indebida a los destinatarios de los servicios afectados por incidentes significativos que puedan afectar negativamente a la prestación. Coordinada con eIDAS §19.2 y RGPD §34. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.3 (UMBRAL-INC) | T10 | Definición operativa de "incidente significativo" — los que cumplen alguno de: causan o pueden causar grave perturbación operativa o pérdida financiera; afectan o pueden afectar a otras personas físicas o jurídicas con daños materiales o inmateriales considerables. Criterios documentados. | Obligatoria | TBD | TBD | — | — |
| NIS2 §32 (SUPER-01) | T11 | Sujeción a las medidas de supervisión "ex ante" propias de las entidades esenciales: inspecciones in situ, auditorías de seguridad por terceros, solicitudes de información, escaneos de seguridad. Procedimiento interno para responder. | Obligatoria | TBD | TBD | — | — |
| NIS2 §32.5 (SUPER-02) | T11 | La autoridad competente puede ordenar adoptar medidas correctivas, hacer pública la no conformidad, designar un funcionario de supervisión, suspender certificados o autorizaciones. Coordinación interna para gestionar requerimientos. | Obligatoria | TBD | TBD | — | — |
| NIS2 §34 (SANC-01) | T11 | Régimen sancionador: hasta **10.000.000 € o 2% del volumen de negocios anual mundial total** (el mayor) para entidades esenciales. Coordinación con el equipo legal sobre exposición real. | Información | TBD | TBD | — | — |
| NIS2 §32.6 (SANC-DIR) | T01 | Posibilidad de imponer responsabilidad temporal a personas físicas que ejerzan funciones directivas de la entidad (suspensión de la facultad de ejercer funciones directivas). Es la consecuencia personal del control GOV-02. | Obligatoria (riesgo) | TBD | TBD | — | — |
| NIS2 §29 (COOP-01) | T11 | Participación activa en intercambios voluntarios de información sobre ciberamenazas con otras entidades del sector (otros QTSPs, operadores críticos). Sumarse a Information Sharing and Analysis Centres (ISACs) sectoriales. | Recomendada | TBD | TBD | — | — |
| NIS2 §27 (CSIRT) | T11 | Relación con el CSIRT competente: canal seguro de comunicación establecido (PGP), persona/equipo de contacto designada, conocimiento de los procedimientos de notificación del CSIRT. Para España: CCN-CERT (sector público) e INCIBE-CERT (sector privado/empresarial). | Obligatoria | TBD | TBD | — | — |